Routerproblem !! Ping in anders NEtz möglich, jedoch kein PING zu öffentlichen IP's

[dave_magu]

Hallo Leute !

Bin gerade dabei mir einen LINUX ROuter aufzusetzen, mal kurz folgendes Szenario geschildert:


SERVER:

eth0 192.168.179.1 => geht zum anderen GATEWAY 192.168.179.254 ==> INTERNET, öffentliches Netz 0.0.0.0/0

eth1 192.168.178.1 => geht in anderes NEtz bspw. Client oder so, ganz egal, in meinem Fall ein Linksys Router, spielt ja aber mal keine ROlle :-)!

OK, soweit so gut, habe meine IPtables und IPv4_forwarding alles soweit aktiviert.

D.h. ich kann von einem Clienten aus dem NETZ 192.168.178.0/24 den Server mit eth0 und/oder eth1 ,,ANPINGEN" sogar darüber hinaus noch über eth0 weiter zu 192.168.179.254 (das andere Gateway) ebenso auch noch andere Systeme im NETZ 192.168.179.0/24 !!

Alles was im NETZ 192.168.179.0/24 liegt hat verbindung über 192.168.179.254 (GAteway und DNS) ins Internet, als auch der Server welcher sich in 2 NEtzen befindet.


====> Wie bereits erwähnt klappt vom NETZ 192.168.178.0/24 in Ping in KOMPLETTE NETZ 192.168.179.0/24 aber NICHT darüber hinaus!!

Also, kein PING web.de oder so !



hier mal meine IPtable !

iptables-save
# Generated by iptables-save v1.4.4 on Thu Jan 28 13:33:24 2010
*nat
:PREROUTING ACCEPT [66:6153]
:POSTROUTING ACCEPT [104:8250]
:OUTPUT ACCEPT [675:42427]
-A PREROUTING -d 192.168.179.0/24 -i eth1 -j DNAT --to-destination 192.168.178.1-192.168.178.3 
-A PREROUTING -d 192.168.178.0/24 -i eth1 -j DNAT --to-destination 192.168.179.1-192.168.179.254 
-A POSTROUTING -d 192.168.179.0/24 -o eth0 -j MASQUERADE 
-A POSTROUTING -d 192.168.178.0/24 -o eth1 -j MASQUERADE 
COMMIT
# Completed on Thu Jan 28 13:33:24 2010
# Generated by iptables-save v1.4.4 on Thu Jan 28 13:33:24 2010
*mangle
:PREROUTING ACCEPT [99156:73419841]
:INPUT ACCEPT [99113:73416841]
:FORWARD ACCEPT [43:3000]
:OUTPUT ACCEPT [96574:129389636]
:POSTROUTING ACCEPT [96727:129405620]
COMMIT
# Completed on Thu Jan 28 13:33:24 2010
# Generated by iptables-save v1.4.4 on Thu Jan 28 13:33:24 2010
*filter
:INPUT ACCEPT [453:40517]
:FORWARD ACCEPT [41:2832]
:OUTPUT ACCEPT [96572:129389412]
-A INPUT -s [B]192.168.178.0/32[/B] -i eth1 -j ACCEPT 
-A INPUT -s [B]192.168.179.0/32[/B] -i eth0 -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -[B]d 192.168.178.0/32[/B] -j ACCEPT 
-A FORWARD -d [B]192.168.179.0/32[/B] -j ACCEPT 
COMMIT
# Completed on Thu Jan 28 13:33:24 2010

Wie ich jetzt eben sah, FETT MARKIERT, kann es denn sein dass es an der 32bit notation liegt, denn schließlich ist ja ein OKET der Ip's = komplett 0, somit müsste es doch /24 sein, oder !?



An was kann das liegen, .. bitte um Hilfestellung!


Besten Dank im Voraus !


MfG

Dave

 

[foexle]

also 0/32 ist nur ein Host und zwra der eigene .... wenn du das gesamte Subnetz abbilden willst mussu /24 machen ja

aber ich werde aus dieser generierten config sowieso nicht schlau

wenn es ordentlich sein soll, würde ich dir empfehlen selbst so etwas zu schreiben ... vor allem strukturiert ... sonst hast du nacher einen unermesslichen wartungsaufwand

 

[dave_magu]

@ Foexle,

danke für die prompte Antwort, das dachte ich mir nun auch schon, habe die Notation wieder auf /24 gestellt, jedoch ohne Erfolg.

Wie gesagt, ins andere NETZ komme ich, allerdings nciht ins INTERNET welches mit dem anderen NEtz verbunden ist !

Vom Server aus ist ein Ping jederzeit zu web.de oder so, möglich !

iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.179.0/24 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -d 192.168.178.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.179.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -d 192.168.179.0/24 -j MASQUERADE -o eth0
iptables -t nat -A POSTROUTING -d 192.168.178.0/24 -j MASQUERADE -o eth1
iptables -t nat -A PREROUTING -i eth0 -d 192.168.178.0/24 -j DNAT --to-destination 192.168.179.1 - 192.168.179.254

iptables -t nat -A PREROUTING -i eth1 -d 192.168.179.0/24 -j DNAT --to-destination 192.168.178.1 - 192.168.178.3

 

[devilz]

Habs jetzt nur kurz überflogen, aber du willst von deinem Netz über das andere ins Internet?

Mal /proc/sys/net/ipv4/ip_forward aktiviert?

 

[dave_magu]

jup, ipv4 is aktiviert !!

cat /etc/sysctl.conf
#
# /etc/sysctl.conf - Configuration file for setting system variables
# See /etc/sysctl.d/ for additional system variables.
# See sysctl.conf (5) for information.
#

#kernel.domainname = example.com

# Uncomment the following to stop low-level messages on console
#kernel.printk = 4 4 1 7

##############################################################3
# Functions previously found in netbase
#

# Uncomment the next two lines to enable Spoof protection (reverse-path filter)
# Turn on Source Address Verification in all interfaces to
# prevent some spoofing attacks
#net.ipv4.conf.default.rp_filter=1
#net.ipv4.conf.all.rp_filter=1

# Uncomment the next line to enable TCP/IP SYN cookies
# This disables TCP Window Scaling (http://lkml.org/lkml/2008/2/5/167),
# and is not recommended.
#net.ipv4.tcp_syncookies=1

# Uncomment the next line to enable packet forwarding for IPv4
[B][U]net.ipv4.ip_forward=1[/U][/B]

# Uncomment the next line to enable packet forwarding for IPv6
#net.ipv6.conf.all.forwarding=1


###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Ignore ICMP broadcasts
#net.ipv4.icmp_echo_ignore_broadcasts = 1
#
# Ignore bogus ICMP errors
#net.ipv4.icmp_ignore_bogus_error_responses = 1
# 
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0
#
# Do not accept IP source route packets (we are not a router)
#net.ipv4.conf.all.accept_source_route = 0
#net.ipv6.conf.all.accept_source_route = 0
#
# Log Martian Packets
#net.ipv4.conf.all.log_martians = 1
#
# The contents of /proc/<pid>/maps and smaps files are only visible to 
# readers that are allowed to ptrace() the process
# kernel.maps_protect = 1

also:

der SERVER hat eth0 und eth1

eth0 mit 192.168.179.1 ====> geht zum anderen Gateway mit DNS, ins Internet
eth1 mit 192.168.178.1 ===> geht zu den Clienten

Über einen Clienten im NETZ 192.168.178.0 kann ich jegliches Device im NETZ 192.168.179.0 anpingen.

KAnn aber kein ÖFFENTLICHES ANPINGEN wie WEb.de oder so.

VOm Server selbst aus habe ich ZUgriff aufs INternet !

Beim Ping vom CLIENTEN aus zeigt er mir komischerweise die IP des zu pingenden HOSTS an, ... KEINE AUNG woher er die IP bekommt, wo/wie aufgelöst wird, .. und dennoch kein PING stattfindet !

root@wrt54glhtc:/etc# ping web.de
PING web.de (217.72.195.42): 56 data bytes

 

[Goodspeed]

Was sagt denn "route" auf Server und Client?

 

[dave_magu]

ES FUNKTIONIERT !!!!!


Hallo, für all diejenigen welche auch mit Routing Probleme haben/haben werden, ... hier mal ein Auszug meiner Routingtabellen am Client und mal am Server.

Des Weiteren unten noch der Auszug der IPTABLES:

am CLIENT ( es sei erwähnt dass es sich um einen WLAN-ROUTER handelt):

root@wrt54glhtc:/etc# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 br0
192.168.182.0   0.0.0.0         255.255.255.0   U     0      0        0 tun0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 br0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         192.168.178.1   0.0.0.0         UG    0      0        0 br0

am SERVER:

root@serverhtc:~# route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.179.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth1
0.0.0.0         192.168.179.254 0.0.0.0

root@serverhtc:~# iptables-save

# Generated by iptables-save v1.4.4 on Thu Jan 28 18:06:38 2010
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -d 192.168.179.0/24 -i eth1 
-A PREROUTING -d 192.168.178.0/24 -i eth0 
-A PREROUTING -j ACCEPT 
-A POSTROUTING -o eth0 -j MASQUERADE 
-A POSTROUTING -d 192.168.178.0/24 -o eth1 
-A POSTROUTING -j ACCEPT 
-A OUTPUT -j ACCEPT 
COMMIT
# Completed on Thu Jan 28 18:06:38 2010
# Generated by iptables-save v1.4.4 on Thu Jan 28 18:06:38 2010
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [4401:4059191]
:FORWARD ACCEPT [2:152]
:OUTPUT ACCEPT [4032:7693656]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -j ACCEPT 
-A POSTROUTING -j ACCEPT 
COMMIT
# Completed on Thu Jan 28 18:06:38 2010
# Generated by iptables-save v1.4.4 on Thu Jan 28 18:06:38 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -s 192.168.178.0/24 -i eth1 
-A INPUT -s 192.168.179.0/24 -i eth0 
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED 
-A INPUT -j ACCEPT 
-A FORWARD -m state --state RELATED,ESTABLISHED 
-A FORWARD -d 192.168.178.0/24 
-A FORWARD -d 192.168.179.0/24 
-A FORWARD -j ACCEPT 
-A OUTPUT -j ACCEPT 
COMMIT
# Completed on Thu Jan 28 18:06:38 2010

Das Szenario hierzu ist in diesem Thread mehrmals genannt !!