Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Ovo jos nisam doziveo (Linux - Nat - Router)

[es] :: Linux mreže :: Ovo jos nisam doziveo (Linux - Nat - Router)

[ Pregleda: 4151 | Odgovora: 11 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

IzNoGood
Nova Pazova, YU

Član broj: 20160
Poruke: 6
195.252.118.*



Profil

icon Ovo jos nisam doziveo (Linux - Nat - Router)28.06.2005. u 15:30 - pre 228 meseci
Ovako stvari stoje:

Linux kao gateway izmedju wireless mreze sa privatnim adresama sa jedne strane (eth0), i linka ka internetu (eth1). Linux radi SNAT.
iz wireless mreze mogu da pristupim vecini sajtova, medjutim nekima ne mogu (sasvim normalno otvara www.download.com, a nece da otvori www.hotmail.com), dok sa linux mashine otvara sve bez problema ?!?!

Ima li neko IKAKVU ideju sta bi mogao da bude problem???

PS: DNS razresava sve uredno.
Baroom Baroom
 
Odgovor na temu

vpetrovic
Vladimir Petrovic

Član broj: 57552
Poruke: 8
*.128.



Profil

icon Re: Ovo jos nisam doziveo (Linux - Nat - Router)29.06.2005. u 08:28 - pre 228 meseci
A sta se desi kada hoces da pristupis hotmailu ?
Moze biti da je neki problem sa firewallom ili nacinom na koji je konfigurisan NAT (hotmail verovatno koristi https, a download.com http). Posalji listu iptables komandi koje koristis na linuxu (za firewall i NAT), pa da vidimo.
 
Odgovor na temu

IzNoGood
Nova Pazova, YU

Član broj: 20160
Poruke: 6
195.252.118.*



Profil

icon Re: Ovo jos nisam doziveo (Linux - Nat - Router)29.06.2005. u 09:58 - pre 228 meseci
https nije problem, jer na nekim drugim sajtovima radi bez problema (www.gmail.com). Evo deo IPtables koji se odnosi na forward i nat:

_______________________________________________________________________________
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m policy --dir in --pol ipsec --proto esp
-j forward_int
-A FORWARD -i eth0 -j forward_ext
-A FORWARD -i eth1 -j forward_int

-A FORWARD -j DROP
______________________________________________________________________
-A forward_ext -p icmp -m state --state ESTABLISHED -m icmp --icmp-type 0 -j ACC
EPT

-A forward_ext -m state --state INVALID -j DROP

-A forward_ext -p icmp -m state --state RELATED -m icmp --icmp-type 3 -j ACCEPT

-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type
0 -j ACCEPT

-A forward_ext -d 172.16.10.0/255.255.255.0 -m state --state NEW,RELATED,ESTABLI
SHED -j ACCEPT

-A forward_ext -s 172.16.10.0/255.255.255.0 -m state --state NEW,RELATED,ESTABLI
SHED -m policy --dir in --pol ipsec --proto esp
-j ACCEPT

-A forward_ext -o eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

-A forward_ext -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A forward_ext -j DROP

-A forward_int -o eth0 -p icmp -m state --state NEW -m icmp --icmp-type 8 -j ACC
EPT

-A forward_int -m state --state INVALID -j DROP

-A forward_int -p icmp -m state --state RELATED -m icmp --icmp-type 3 -j ACCEPT

-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type
0 -j ACCEPT

-A forward_int -d 172.16.10.0/255.255.255.0 -m state --state NEW,RELATED,ESTABLI
SHED -j ACCEPT

-A forward_int -s 172.16.10.0/255.255.255.0 -m state --state NEW,RELATED,ESTABLI
SHED -m policy --dir in --pol ipsec --proto esp
-j ACCEPT

-A forward_int -o eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

-A forward_int -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A forward_int -j DROP

______________________________________________________________
:PREROUTING ACCEPT [331705:21771578]

:POSTROUTING ACCEPT [1925:264264]

:OUTPUT ACCEPT [0:0]

-A POSTROUTING -o eth1 -j MASQUERADE
______________________________________________________________________




[Ovu poruku je menjao IzNoGood dana 29.06.2005. u 12:04 GMT+1]
Baroom Baroom
 
Odgovor na temu

gorang

Član broj: 728
Poruke: 316
82.208.201.*



+1 Profil

icon Re: Ovo jos nisam doziveo (Linux - Nat - Router)29.06.2005. u 11:48 - pre 228 meseci
probaj sa manjom vrednoscu za MTU, to nekad pomogne... verovatno ti ne radi ni msn messenger, microsoft.com
 
Odgovor na temu

vpetrovic
Vladimir Petrovic

Član broj: 57552
Poruke: 8
*.128.



Profil

icon Re: Ovo jos nisam doziveo (Linux - Nat - Router)29.06.2005. u 13:16 - pre 228 meseci
Zaista vrlo cudno. Mada ne vidim nista sto bi pravilo problem, definitifno bih probao sa skroz cistim firewallom (koji ima ACCEPT za sve po defaultu, bez DROP pravila, ipseca i clamp mss-a) i samo MASQUARADE rule. Sta se desi kada sa windows masine uradis telent na port 80 na hotmail recimo ? Nikada ne uspostavi vezu ?




 
Odgovor na temu

IzNoGood
Nova Pazova, YU

Član broj: 20160
Poruke: 6
195.252.118.*



Profil

icon Re: Ovo jos nisam doziveo (Linux - Nat - Router)29.06.2005. u 17:59 - pre 228 meseci
Evo ovako stvari stoje....
Telnetujem se na port 80 na Hotmail.com bez problema, zatim sam izbrisao sve iptables rulove, i stavio polise na ACCEPT i , interesantna stvar, i dalje ne radi !???
Pokusavao sam i kombinacije sa smanjivanjem MTU-a, ni to nije pomoglo, polako postajem ochajan :/
Jedini moj zakljucak je da firewall radi, i NAT radi, ali NE ZNAM STA NE VALJA...
IPSec openSwan ?????????????
Baroom Baroom
 
Odgovor na temu

IzNoGood
Nova Pazova, YU

Član broj: 20160
Poruke: 6
195.252.118.*



Profil

icon Re: Ovo jos nisam doziveo (Linux - Nat - Router)29.06.2005. u 18:03 - pre 228 meseci
Inace, Gorane, u pravu si, ne rade ni msn, ni microsoft, ni icq ....... Da li si se mozda susretao sa slicnim problemom?
Baroom Baroom
 
Odgovor na temu

gandalf
Goran Raovic
senior network engineer
Belgrade

Član broj: 52
Poruke: 248
*.blueisp.co.yu.

Jabber: goran.raovic@gmail.com


+44 Profil

icon Re: Ovo jos nisam doziveo (Linux - Nat - Router)30.06.2005. u 09:38 - pre 228 meseci
Naime o cemu se radi kod tebe! Tvoji hostovi u intranet-u imaju veci MTU nego sto bi trebali da imaju (default za ethernet port je 1500) setuj im manji MTU npr. na 1400 i to ce da radi ali setovanje MTU-a moras da uradis na svakoj windows/linux masini u mrezi jer MTU koji setujes na gateway-u nema uticaja na hostove u intranet-u :oS Mozda postoji neko drugo resenje ali za ovo znam da radi.
 
Odgovor na temu

vpetrovic
Vladimir Petrovic

Član broj: 57552
Poruke: 8
*.128.



Profil

icon MTU30.06.2005. u 09:51 - pre 228 meseci
Intresantno je da u firewallu postoji pravilo sa --clamp-mss-to-pmtu. Posto mu svi paketi idu preko linuxa, trebalo bi da je dovoljna da linux outgoing interface (eth1) ima isparavan MTU. A posto mu svi siteovi rade sa linuxom, izgleda da eth1 ima ispravan MTU.

IzNoGoode, obavesti nas obavezno da li smanjenje MTU-a na windowsu resava problem, bas me zanima,
 
Odgovor na temu

gandalf
Goran Raovic
senior network engineer
Belgrade

Član broj: 52
Poruke: 248
*.blueisp.co.yu.

Jabber: goran.raovic@gmail.com


+44 Profil

icon Re: Ovo jos nisam doziveo (Linux - Nat - Router)30.06.2005. u 10:51 - pre 228 meseci
naime isto sam uradio kod mene jer sam imao isti problem. Iz intranet mreze nisu radili pojedini sajtovi tipa msn.con microsoft.com i sl. e posto u intranet mrezi imam linux masine bilo je dovoljno da setujem njihov mtu na 1400 i sve je odlicno radilo. E da! Da napomenem da je na firewall-u bilo dodato pravilo --clamp-mss-to-pmtu i s'tim pravilom nije radilo.
 
Odgovor na temu

IzNoGood
Nova Pazova, YU

Član broj: 20160
Poruke: 6
195.252.118.*



Profil

icon Re: Ovo jos nisam doziveo (Linux - Nat - Router)30.06.2005. u 11:42 - pre 228 meseci
Najzad radi !!!

na gatewayu, (na interfejsu koji ima javnu IP adresu) smanjio sam MTU na 1400, i sad sve radi bez problema. u firewall-u je vec bilo setovano --clamp-mss-to-pmtu, i na windows mashinama nema potrebe da se setuje nista.
Hvala vam puno svima, sad mogu malo da se opustim :)
Baroom Baroom
 
Odgovor na temu

gandalf
Goran Raovic
senior network engineer
Belgrade

Član broj: 52
Poruke: 248
*.gradac.net.

Jabber: goran.raovic@gmail.com


+44 Profil

icon Re: Ovo jos nisam doziveo (Linux - Nat - Router)30.06.2005. u 13:48 - pre 228 meseci
hm... cudno meni tako nece da radi !?!? mada ja preko wireless linka uspostavljam VPN tunel do pptpd server-a koji mi dodeljuje javnu adresu na interfejs ppp0. E sada ja setujem mtu na ppp0 na 1400 ali to ocigledno nema efekta.?!? E sada nemam ideju zato to negde radi a negde ne ??? stavio sam u input lanac su paketi tipa icmp type 3 dozvoljeni i u forward lanac --clamp-mss-to-pmtu pravilo i to ocigledno ne prolazi ...!! grrrrr
 
Odgovor na temu

[es] :: Linux mreže :: Ovo jos nisam doziveo (Linux - Nat - Router)

[ Pregleda: 4151 | Odgovora: 11 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.