Routing problem
Jan Marek
jmarek na jcu.cz
Středa Srpen 22 10:45:56 CEST 2001
Dobry den,
On Wed, Aug 22, 2001 at 10:22:16AM +0200, Marek Butas wrote:
> Ahoj,
>
> Prosim Vas, nevite kde je chyba? Nemohu navazat SMTP spojeni skrz
> firewall.
>
> Za firewallem jsou dve podsite 10.0.1.x (eth) a 10.0.0.x (tr). Na
> tokenring se pristupuje skrz gateway 10.0.1.3.
>
> Kernel IP routing table
> Destination Gateway Genmask Flags Metric Ref Use Iface
> X.5.36.10 0.0.0.0 255.255.255.255 UH 0 0 0 eth0
^^^^
tento radek je tu navic (viz radek 3)
> 10.0.1.0 0.0.0.0 255.255.255.255 UH 0 0 0 eth1
> X.5.36.0 0.0.0.0 255.255.255.224 U 0 0 0 eth0
> 10.0.0.0 10.0.1.3 255.255.255.0 UG 0 0 0 eth1
> 10.0.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
> 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
> 0.0.0.0 X.5.36.1 0.0.0.0 UG 0 0 0 eth0
>
> A tady je vypis z iptables ... Uz jsem vyhazel, co se dalo, ale
> nemohu prijit v cem je chyba.
>
> Chain PREROUTING (policy ACCEPT)
> target prot opt source destination
> DNAT tcp -- anywhere x.5.36.10 tcp dpt:smtp to:10.0.1.2:25
IMHO bude chyba tady (jeste s iptables namam moc zkusenosti,
spise s ipchains): spojeni na port 25 se sice preda na tu masinu,
ale jak ta masina odpovi? Jinymi slovy: ocekaval bych tu
pravidlo, ktere dovoli odpovidat te masine zpet
>
> Chain POSTROUTING (policy DROP)
> target prot opt source destination
> MASQUERADE all -- anywhere anywhere
tu maskaradu je treba taky omezit: mezi svyma sitema asi
maskaradovat nic nebudete, ne? Cili je tu treba pravidlo jako:
iptables -t nat -A POSTROUTING -d !10.0.0.0/8 -s 10.0.0.0/8 \
-j MASQUERADE
(a mozna i opacne, tj:
iptables -t nat -A POSTROUTING -s !10.0.0.0/8 -d 10.0.0.0/8 \
-j MASQUERADE
)
> Dohady ... telnetim-li na firewall {x.5.36.10} spojeni je odepreno.
no a mate tam spusteny telnetd? Pokud ne, tak se nedivte...
> Pokud ovsem zkusim port 25, tak to zkousi a zkousi a nic se nedej. Z
> firewallu samotneho nemohu pingnout ani na "jednu stranu" - operation
> not permitted.
Na jakou stranu? Zkuste uvest priklad. IMHO z firewallu se musi
dat pingnout kamkoliv, jinak je to spatne. Zkuste si prvne bez
iptables udelat routovani tak, abyste mel z firewallu dostupne
vsechny site. Pak se teprv snazte delat neco s iptables a
prubezne si to testujte. Jakmile se vam po zadani nejakeho
pravidla porusi moznost dostat se kamkoliv, tak to pravidlo bylo
spatne...
> Prolezl jsem how-to i par boardu, ale stale nevim, kde je chyba.
> Podle mne to vypada, ze firewall prijme smtp spojeni, ale pocitac kam
> to forwardovat nemuze najit. Routovaci tabulka je ale v poradku.
To je mozne...
>
> Dik za vsechny navrhy.
>
> Marek
> Butas
Zdravi
Honza Marek
--
Ing. Jan Marek
University of South Bohemia
Academic Computer Centre
Phone: +420-38-7772080
Další informace o konferenci Linux