Запомняне

» Здравейте
[ Вход :: Регистриране ]
 » Начало » Li Форуми » Help & Support » Networking » Linux Bridge
Тема: Linux Bridge, Проблем с отдалечен достъп към машината
Мнение #1 Skip to the next post in this topic.
Написано на: Октомври 08 2007, 10:55
damian

No avatar chosen




Група: Li fans
Мнения: 21
Регистриран: Юни 2005

Оценка: няма

Offline
Здравейте!

Конфигурирам bridge под Linux (Gentoo), и се натъкнах на интересен проблем, за който не намирам решение :) Машината си работи като bridge, разхвърля пакети насам-натам, но до самата машина няма никакъв достъп. От машината също така няма достъп до интернет. Сега ще се опитам по спомен да опиша постановката и настройките, тъй като bridge се намира на около 30км от мен и, както вече написах, нямам достъп до него :)

Код: 

<btc modem>
|
|
|
<linksys router (прави vpn)>
| 10.0.33.1
|
| 10.0.33.100 (br0)
<bridge>
|
|
| 10.0.33.101-xxx (през DHCP от машината bridge)
<LAN>


Ping до машините от LAN има. Ping до Linksys рутера има. Машините от LAN имат достъп до мрежата. Bridge няма интернет, няма и достъп до него от никъде.

eth0 на bridge е свързан към Linksys-a, eth2 е към локалната мрежа.

Как правя bridge?
Код: 

/sbin/ifconfig eth0 up
/sbin/ifconfig eth1 up

/sbin/brctl addbr br0

/sbin/brctl addif br0 eth0
/sbin/brctl addif br0 eth1

/sbin/ifconfig br0 up
/sbin/brctl stp br0 on
/sbin/ifconfig br0 10.0.33.100 netmask 255.255.255.0 up


Всичко това е описано в startup скрипта /etc/conf.d/net по следния начин:
Код: 

dns_domain_lo=( "xxx.xx" )
dns_servers_br0=( "217.30.208.113 212.124.78.126" )
config_eth0=( "null" )
config_eth1=( "null" )
config_eth2=( "null" )
bridge_br0=( "eth0 eth2" )
config_br0=( "10.0.33.100 broadcast 10.0.0.255 netmask 255.255.255.0" )
brctl_br0=( "stp on" )
depend_br0()
{
       need net.eth0
}

routes_eth1=( "default via 10.0.33.1" )


iptables:
Код: 

#!/bin/bash

if [ "$1" = "start" ]
then
       echo "Starting firewall..."

       # Default chain policy
       iptables -P INPUT DROP
       iptables -P OUTPUT ACCEPT
       iptables -P FORWARD DROP

       iptables -A INPUT -p tcp -d 10.0.33.100 --dport 22 -j ACCEPT

       # Forward only established and related connections
       iptables -A FORWARD -m state --state INVALID -j DROP
       iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

       # Limit ICMP
       iptables -A FORWARD -p icmp -m limit --limit 4/s -j ACCEPT

       # Generel internet rules
       iptables -A FORWARD -p tcp -s 10.0.33.0/24 --dport 80 -j ACCEPT
       iptables -A FORWARD -p tcp -s 10.0.33.0/24 --dport 3306 -j ACCEPT
       iptables -A FORWARD -p tcp -s 10.0.33.0/24 --dport 59325 -j ACCEPT
       iptables -A FORWARD -p udp -s 10.0.33.0/24 --dport 59325 -j ACCEPT

       # DHCP
       iptables -A FORWARD -p udp --sport 67:68 --dport 67:68 -j ACCEPT

       # DNS
       iptables -A FORWARD -p udp --dport 53 -j ACCEPT
       iptables -A FORWARD -p tcp --dport 53 -j ACCEPT

       # Redirect to squid
       iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80 -j REDIRECT --to-port 3128

       echo "Done."

elif [ "$1" = "stop" ]
then
       iptables -F INPUT
       iptables -F OUTPUT
       iptables -F FORWARD
       iptables -P INPUT ACCEPT
       iptables -P FORWARD ACCEPT
       iptables -P OUTPUT ACCEPT
       iptables -t nat -F PREROUTING
       echo "Firewall stopped"
fi


Самият bridge работи и като DHCP сървър, и като transparent proxy. Тъй като там няма проблеми, а и не виждам връзка с текущия проблем, няма да описвам тяхната конфигурация. Не работи дори с default policy ACCEPT на INPUT/OUTPUT в iptables.

Постановката е почти еднаква с една друга машина, правеща същото нещо, единствената разлика е, че там интернета идва по eth1 (default route) с bridge между eth0 и eth2, докато при тази проблемна машина интернета идва по единия interface, включен в bridge. Най-вероятно оттам идва проблема, но не можах да намеря решение в интернет и за това се обръщам към вас.

Кернела е 2.6.22 с ck patchset, конфигуриран за работа с iptables, bridge и ebtables.

Ако има още нещо, което би било от полза като информация, питайте... ще се опитам да отговоря, стига да не трябва да пътувам 30км за отговора :)

Powered by Gentoo Linux
Контакти:  damian

  • AOL  AOL:
  • ICQ  ICQ: 161571046
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #2 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Октомври 08 2007, 11:04
stumps

Avatar




Група: Li psychos
Мнения: 1311
Регистриран: Април 2005

Offline
Виждам, че си активирал STP протокола в bridge-a ... спри го , нямаш нужда от него в тази конфигурация и няма как да се случат network loop-ове ... много вероятно е от него да идва проблема. Спри временно Stp-то с:
Код: 
brctl stp br0 off


и на право го махни от конф-а като не изпълняваш при зареждане на машината следното:
Код: 
/sbin/brctl stp br0 on

Код: 
brctl_br0=( "stp on" )


Редактирано от stumps на Октомври 08 2007, 11:12

Два месеца работа с компютъра спестява два часа четене на документация

Бизнесът на Microsoft е бизнес за трима: Един пише вируси, друг прави антивирусни, а третият продава (псевдо)операционна система за тях.
Контакти:  stumps

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
Мнение #3 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Октомври 08 2007, 11:11
damian

No avatar chosen




Група: Li fans
Мнения: 21
Регистриран: Юни 2005

Оценка: няма

Offline
Благодаря за отговора, ще опитам и ще съобщя резултата (тия дни, когато намеря време да попътувам :) ).

Powered by Gentoo Linux
Контакти:  damian

  • AOL  AOL:
  • ICQ  ICQ: 161571046
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #4 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Октомври 08 2007, 11:13
stumps

Avatar




Група: Li psychos
Мнения: 1311
Регистриран: Април 2005

Offline
Не бързай да тръгваш преди поне още 1-2 колеги да отговорят по въпроса ... много е възможно това, което ти казвам да не е проблемът ... все повече почвам се съмнявам в iptables ... mcwolf?

Редактирано от stumps на Октомври 08 2007, 11:17

Два месеца работа с компютъра спестява два часа четене на документация

Бизнесът на Microsoft е бизнес за трима: Един пише вируси, друг прави антивирусни, а третият продава (псевдо)операционна система за тях.
Контакти:  stumps

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
Мнение #5 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Октомври 08 2007, 11:17
damian

No avatar chosen




Група: Li fans
Мнения: 21
Регистриран: Юни 2005

Оценка: няма

Offline
На другата машина с включен STP всичко си работи, но все пак там интерфейса, по който идва интернета, не е включен в bridge... напълно възможно е този Linksys router да не поддържа STP и за това да се получава проблем, макар че пуска интернет на машините зад bridge...

Powered by Gentoo Linux
Контакти:  damian

  • AOL  AOL:
  • ICQ  ICQ: 161571046
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #6 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Октомври 08 2007, 13:14
tolostoi

Avatar




Група: Li maniacs
Мнения: 869
Регистриран: Юли 2006

Оценка: 5

Offline
Цитат:  (damian @ Октомври 08 2007,10:55)

...
Машината си работи като bridge, разхвърля пакети насам-натам, но до самата машина няма никакъв достъп. От машината също така няма достъп до интернет. ...

... Самият bridge работи и като DHCP сървър, и като transparent proxy. Тъй като там няма проблеми, а и не виждам връзка с текущия проблем ...

Само неразбрах имаш ли интернет на машината (бридж, прокси, дхцп) Ако нямаш проблем с прокси-то значи на машината имаш нет, то ясно, че идва отнякъде. А и се сещам за още нещо "неписано" но съм срещал този проблем в няколко форума - Клиенти на БТК АДСЛ имат голям проблем с ВПН(ако не ме лъже паметта за pptp ставаше дума), просто от двете страни на тунела изглежда всичко нормално, въпреки това не минава нищо през него (дори имаше предположения, че умишлено се прави от БТК за да продават МАН)

Мнение #7 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Октомври 08 2007, 15:55
damian

No avatar chosen




Група: Li fans
Мнения: 21
Регистриран: Юни 2005

Оценка: няма

Offline
На машината, която е bridge/proxy/dhcp интернет няма! Обаче, машините зад нея имат интернет, минават през проксито, iptables правилата за forwarding-a/prerouting-a работят. VPN-а го остави, той си работи без проблеми, в над 40 офиса сме изградили по тази система (btc-linksys) vpn канали. Проблемът ми е, че не мога да достъпвам машината bridge remotely, въпреки, че той прави това, за което е сложен там :)

Powered by Gentoo Linux
Контакти:  damian

  • AOL  AOL:
  • ICQ  ICQ: 161571046
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #8 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Октомври 09 2007, 11:31
mcwolf

No avatar chosen




Група: Li gurus
Мнения: 1489
Регистриран: Април 2005

Оценка: 5

Offline
съвсем набързо го прегледах но фаерлолът реже всички пакети за машината с мостът
Код: 
iptables -P INPUT DROP

след това разрешаваш само ssh достъп до нея
Код: 
iptables -A INPUT -p tcp -d 10.0.33.100 --dport 22 -j ACCEPT


та при това положение е нормално да е недостъпна тая машина от всякъде (всъщност от локалната мрежа би трябвало да можеш да я достигнеш през ssh) - ако искаш достъп от вън до нея трябва да пренасочиш заявките към 22- порт на модемът на БТК към рутерът и после от рутерът към тая машина (тука въпросът е за какво ти е рутер ?)
Контакти:  mcwolf

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #9 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Октомври 09 2007, 11:38
damian

No avatar chosen




Група: Li fans
Мнения: 21
Регистриран: Юни 2005

Оценка: няма

Offline
Благодаря за отговора, но не е там проблема. Машината е недостъпна и от LAN; Модемът на БТК е настроен с пълно пренасочване на всички портове към Linksys router-a; Самият рутер се използва за изграждане на VPN с централния ни офис. Колкото до iptables правилото... с iptables -P INPUT ACCEPT също не работи. Просто на bridge машината интернет няма, нито към нея, нито от нея навън.

Powered by Gentoo Linux
Контакти:  damian

  • AOL  AOL:
  • ICQ  ICQ: 161571046
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #10
Skip to the previous post in this topic. Написано на: Октомври 09 2007, 12:01
mcwolf

No avatar chosen




Група: Li gurus
Мнения: 1489
Регистриран: Април 2005

Оценка: 5

Offline
там ти е проблемът - при тоя фаерлол е невъзможно да имаш нет :)
просто провери какво бъркаш - но за целта трябва да си на самата машина - има вероятност на машината да не е пуснат ssh сървър и затова да е недостъпен и от локалната мрежа (тука вече налучквам де)

още нещо - знам ли как ти е конфигуриран ДНС-а така че за да определи дали имаш нет не ползвай услуги който разчитат на него


Редактирано от mcwolf на Октомври 09 2007, 12:04
Контакти:  mcwolf

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Общо 27 отговор(а) от Октомври 08 2007, 10:55 до сега
 » Начало » Li Форуми » Help & Support » Networking » Linux Bridge

© 2014 Linux Index Project
Powered by iF 1.0.0 © 2006 ikonForums