Problem s routovanim 2 sitovky (ipforward) - znovu, delsi

Zdenek Kaminski xkaminsk na fi.muni.cz
Neděle Říjen 20 13:27:59 CEST 2002 

Dobry den,

> ->Sitova maska vsude 255.255.255.224
> ->Na Linux PC si pingnu odkudkoli, bohuzel za/pred nej uz ne
> 
> (1.1.1.68-120) (1.1.1.67)eth0|eth1(1.1.1.66) (1.1.1.65)(router poskyt)
> intranet--------------> PC Linux ------------> Internet


 takze pokud rikate, ze sitova maska je vsude 255.255.255.224, tak

sit, kterou vy chcete pouzit ma adresu 1.1.1.64, broadcast takove site je
1.1.1.95.

Vy vsak piste, ze v intranetu mate dokonce adresu 1.1.1.120, to znaci, ze
tam pouzivate logicky DRUHOU sit, jejiz adresa je 1.1.1.96, broadcast
takove site je 1.1.1.127.

Zde je jiz tak nejak prvni nekalost.

Pokracuji v uvaze dale:

Rikate, ze z Linuxu pingnete kamkoliv. No dobra, 


> Smeovaci tabulka v jadru pro IP
> Adresat  Brana     Maska      Priznak  Rozhranďż˝                       
>                                          1.1.1.64  *     255.255.255.224
> U     eth0 1.1.1.64  *     255.255.255.224 U     eth0 
> 127.0.0.0 *     255.0.0.0       U     lo 
> default  router 0.0.0.0         UG    eth1
> 

Opravdu nam uvadite celou routovaci tabulku tak, jak ji nastavily
startovaci skripty a nebo to, co jste rucne upravil/vytvoril?


<Ted myslim, ze zacinam trosku tapat>
hmm podle teto routovaci tabulky by jste mel pingnout jen na ty stroje,
jejich ip adresa je v rozsahu 1.1.1.64-1.1.1.94, asi se Vam dari pingnout
na 1.1.1.65, protoze GATEWAYDEV mate na eth1 a GATEWAY na 1.1.1.65. No a
na stroje v Inetu asi pignete, protoze se dostanete na vasi GATEWAY.
<konec tapani>

Pisete, ze Vam tcpdump rika:
> 15:47:38.229352 arp who-has router.neco.cz tell pocitac_intranet.neco.cz
> (to se opakuje ...)

I.

...to znaci, ze pocitac_intranet.neco.cz je prave z onoho rozsahu
1.1.1.65-94 a protoze chcete pingnout na 1.1.1.65, ktery je v tomtez
rozsahu, tak se pocitac_intranet.neco.cz pta rovnou po arp adrese one
sitovky, protoze predpoklada, ze ten pocitac je na teze siti a ze vubec
nemusi znat svou gateway (coz je pro nej pravdepodobne 1.1.1.67). On ale
neni, takze mu nema kdo na onen arp dotaz odpovedet. Resenim je to, ze
nastavite proxy arp na eth0 na Vasem linuxovem routeru. Pak ovsem budete

a) bud muset maskaradovat veskery provoz z intranetu, protoze kdyby ne,
tak icmp-echo by sice proslo na router Vaseho poskytovatele, ale
echo-reply by jste z nej nedostal, protoze by zkrachoval jeho arp dotaz z
tehoz duvodu. A nebo 

b) pak nastavite proxy arp na eth1 pro vsechny pocitace z one intraneti
site. coz je nesmyslne, i kdyz funkcni.

> -> Zkusim jsem to resit pomoci :
> iptables -A FORWARD -i eth0 -j ACCEPT
> iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
> -> Bohuzel nic se nedelo... :-(

jiste, protoze ani nezacly putovat pakety protokolu vyssich vrstev. K
iptables na teto urovni se to ani nedostalo.

II.

 Pokud by jste chtel pingat z pocitacu z rozsahu 1.1.1.97-1.1.1.126, tak
jakou gw nastavujete tam? 1.1.1.65? Ale to je adresa uplne z jine site,
nez ve ktere se nachazi ony pocitace. Jiste, jde to udelat neciste, ale o
tom tu nepisete a tak predpokladam, ze ani nevite, ze mate neco spatne v
nastaveni ci spise ve vypoctu rozsahu site, kterou chcete pouzivat.


Jak jste dospel k onem hodnotam adres siti, ktere nam tu predkladate?

Coz takhle navrhnout adresaci te vnitrni site trochu jinak?

Mam dnes psaci naladu, tak se klidne ozvete.

P.S. A nebo su uplne mimo misu, protoze je nedele odpoledne a ja jsem
jeste neobedval. A pak mne nekdo zkusenejsi opravte, at tu nematu
zacatecnika.



---------------------------------------------------------------------------
Bc. Zdenek Kaminski <xkaminsk at fi.muni.cz>

homepage: http://www.fi.muni.cz/~xkaminsk/
IPv6 router homepage: http://merlot.ics.muni.cz/

Další informace o konferenci Linux