linux-l: Routing Problem (?)

[Matthias Kraft]

Moin!

Problem geloest - glaub ich...

Ich habe Montag nachmittag nochmal dran gesessen und IMHO alles
genau so gemacht wie Freitag ... nur dass es diesmal funktioniert
... warum? Keine Ahnung.

--- Guenther Thomsen <tho at thomsen.isdn.cs.tu-berlin.de> wrote:
> > # ip alias setzen
> > ifconfig eth0:0 x.x.252.10 broadcast x.x.252.63 netmask
> 255.255.255.0
> > up
> Tut nichts zur Sache aber bedenke, dass unter Solaris devN und
> devN:0
> identisch sind, dort muss man also bei 1 anfangen. Soll Dich nur
> vor
> Verwirrung schuetzen, wenn Solaris einmal eingesetzt werden sollte
> (oder wenn die Linux Kerneldeveloper der Meinung sind, man muesste
> sich dem Look&Feel von Solaris weiter anpassen).

Trotzdem Danke! Da ich das an Leute abgebe, die bisher "nur" Solaris
kennen, sollte ich das wohl vorher anpassen.

> > route add -host x.x.252.10 dev eth0:0
> ??? Was soll denn das?

Aehm ... ich habe nie behauptet ich habe Ahnung :)...

Das habe ich aus dem IP-Alias-mini-HOWTO was bei mir
irgendwo auf der festen Platte rumfliegt. (Glaube sollte
es mal updaten, dort wird ein Kernel 2.0.27 als aktuell gefuehrt)

> > # port forwarding schalten
> > ipmasqadm portfw -a -P tcp -L x.x.252.10 22 -R 192.168.42.10 22
> und die Rueckrichtung? Du verwendest dann ip-masquerading? Kommt
> der Kernel damit zurecht?

Jep kommt er. Die Methode war in der ct Nr 17 beschrieben.

> > # ipchains config connect extern -> intern
> > ipchains -A input -p tcp --sport 1000:1023 -d x.x.252.10 22 -i
> eth0+
> > -j ACCEPT
> Du verwendest ein juengeres ipchains als ich, ich vermute einmal,
> dass
> --sport n:m das gleiche wie -s 0/0 n:m bedeutet. Funktioniert dev+?

Ich habe mir die aktuelle Version von der Homepage geholt.
dev+ funktioniert ebenfalls ohne Probleme.

> Ich hatte damit Probleme, bzw. mit dev* (ipchains hatte
> tatsaechlich 
> Regeln mit dem Device dev* angelegt, nicht viele Reglen fuer die
> devices
> dev0 bis devN).

dev* ist mir in der Anleitung gar nicht begegnet?! eth0+ deckt,
wenn ich das richtig verstanden habe, eth0 und alle aliases auf
eth0 ab. Wofuer soll dann dev* stehen?

> Und von innen soll niemand eine SSH Verbindung nach aussen
> initiieren 
> duerfen? (Gehoert nicht zum Problem, wundert mich nur).

Doch doch. Das Script ist noch zu optimieren. Der Uebersichtlichkeit
halber, habe ich bisher alle Rules einzeln gehalten.

> > Sooo ... wenn ich nun versuche von einem der Server, die vor der
> > Firewall und diesseits des Routers stehen, einen SSH Connect
> durch
> Aehm, bei einer Drei-Wege Verbindung von diesseits und jenseits zu
> sprechen, laesst Fragen offen. Ich verstehe diesseits i.d.Z. als
> vom Perimeter Netzwerk (aka DMZ) und jenseits als vom Internet aus.

So wars gemeint. Obwohl ich mir nicht sicher bin, ob die Server
wirklich als DMZ anzusehen sind. Sie stehen halt neben der Firewall
- netztopologisch gesehen.

> > die Firewall zur 252.10 aufzubauen, funtioniert das wunnerbah!
> > Wenn ich aber versuche von jenseits des Routers auf die 252.10
> > per ssh zuzugreifen kommt das nicht an.
> > Ich habe dann die Netzwerkkarte in den Promi-Modus gesetzt und
> mir
> > per
> > tcpdump angesehen, ob die Pakete im Netz ankommen und - surprise,
> > surprise - sie sind da?! 
> Sonst waere auch der Router schuld ;-)
> > Nur irgendwie fuehlt sich der Rechner nicht so richtig zustaendig
> > und nimmt die Pakete nicht an?!
> Wie aeussert sich dass? Hast Du einmal auf die Paketzaehler des
> Packetfilters geschaut? Schalte doch einmal logging bei den
> Filterregeln
> ein.

Der Kernel bekam die Pakete gar nicht zu sehen, so dass er auch keine
Chance hatt sie zu droppen. Der Paketzaehler stand still.

Aber wie oben schon erwaehnt, es funktioniert nun. Ganz gluecklich
bin ich darueber aber nicht gerade...



=====
...regards Matthias Kraft *
  * * * * * * * * * * * *
* EMail: matzeK at yahoo.com

__________________________________________________
Do You Yahoo!?
Bid and sell for free at http://auctions.yahoo.com