Запомняне

» Здравейте
[ Вход :: Регистриране ]
 » Начало » Li Форуми » Help & Support » Networking » Linux Bridge
Тема: Linux Bridge, Проблем с отдалечен достъп към машината
Мнение #21 Skip to the next post in this topic.
Написано на: Октомври 15 2007, 11:38
mcwolf

No avatar chosen




Група: Li gurus
Мнения: 1489
Регистриран: Април 2005

Оценка: 5

Offline
damian за съжаление така не може да ти се помогне - трябва и съдействие от твоя страна

от това което си дал в момента фаерлолът ти е основният проблем - бил си го оправил (или само си тествал ?) но никъде не се вижда при какво положение и какво си правил

както ти казах за да видим какво не е наред трябва да дадеш моментното състояние на машината (а не някакви конфигурационни файлове)

Код: 
ifconfig -a
route -n
cat /etc/resolv.conf
iptables -L -v -n
iptables -t nat -L -v -n
iptables -t mangle -L -v -n
arp -n


+ ping до default gateway-ът който извежда route + пингове да dns сървърите + пинг до някоя локална машина (адресите от arp таблицата)

изпълни командите една след друга и дай целият изход тук - така ще видим какъв е проблемът в момента и ще решим как да го отстраним в конфигурационните файлове
Контакти:  mcwolf

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #22 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Октомври 15 2007, 11:50
tolostoi

Avatar




Група: Li maniacs
Мнения: 869
Регистриран: Юли 2006

Оценка: 5

Offline
Като си пред машината погледни и това
Код: 
iptables -L -v -n
iptables -L -v -n -t nat
-v ще ти покаже в детайли, изпълнявай ги през няколко минути и виж откъде минават пакетите, има ли правило което е излишно, има правило през което не минават пакети т. е. има само нули ето пример
Цитат:

iptables -L -v -n -t nat
Chain PREROUTING (policy ACCEPT 30316 packets, 1973K bytes)
pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 160 packets, 11679 bytes)
pkts bytes target     prot opt in     out     source               destination
676 33950 MASQUERADE  all  --  *      eth0    192.168.0.0/16       0.0.0.0/0
24346 1171K MASQUERADE  all  --  *      ppp0    
0     0 MASQUERADE  all  --  *      ppp+    192.168.0.0/16       0.0.0.0/0

Chain OUTPUT (policy ACCEPT 160 packets, 11679 bytes)
pkts bytes target     prot opt in     out     source               destination
за тези удебелените цифри говоря, в примера през правилото за ppp+ не минава нищо. Това като идея де, като имаш таблицата с маршрутите и iptables поне ще има откъде да почнеш, аз това бих направил.
П.П. Понякога и рестарт-а на машината прави чудеса  :D

Мнение #23 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Октомври 16 2007, 11:58
ivopz

No avatar chosen




Група: Li fans
Мнения: 47
Регистриран: Февруари 2006

Оценка: няма

Offline
Цитат:  (damian @ Oct. 15 2007,10:34)

Цитат:  (ivopz @ Октомври 14 2007,11:36)

Какъв firmware използваш  ? Стандартния ? OpenWRT ?
Ако е OpenWRT, инсталираи iproute и дай:
ip a и ip r
и
brctl show

Измисли начин да имаш достъп до машината.

@ivopz На Linksys-a си е стандартния firmware

@mcwolf Мисля че писах какво значи няма интернет - от никъде няма достъп до машината; от самата машина няма достъп до никъде; същевременно работи като bridge + firewall за машините в LAN без проблем

@gog: Системата е следната: ADSL-a прави пълно пренасочване към Linksys-a (с адрес 192.168.1.2 на входа); от там Linksys-a прави VPN с централния офис чрез адреси от мрежа 10.0.xxx.xxx (в случая, 10.0.33.xxx). Неговият адрес от тази мрежа е 10.0.33.1; адреса на bridge е 10.0.33.100; адресите на машините зад bridge са 10.0.33.xxx; в случая, gateway трябва да е адреса на Linksys-a (10.0.33.1), за да минават машините през VPN-a. VPN-a в случая е важна част от конфигурацията и не може да се прескочи :) Освен това, когато разпадна bridge и задам на eth0 10.0.33.100, интернет на машината се появява (става достъпна, от нея може да се достъпва интернет и т.н.).

Привърженик съм на идеята, че стандартния Firmware може да ти прави проблеми. Препоръчвам OpenWRT
Контакти:  ivopz
WEB  
Мнение #24 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Октомври 17 2007, 17:27
damian

No avatar chosen




Група: Li fans
Мнения: 21
Регистриран: Юни 2005

Оценка: няма

Offline
Така, сега съм при машината бридж и след известно ръчкане на системата успях да постигна някои неща, като връзка към машината през ssh от вътрешната мрежа (10.0.33.х), както и да пусна интернета на самата машина, но извън тази мрежа все още нямам достъп до нея.

Ето резултатите от изпълненията на командите, предложени от mcwolf:

ifconfig -a
Код: 

br0       Link encap:Ethernet  HWaddr 00:E0:4C:03:DA:E1
         inet addr:10.0.33.100  Bcast:10.0.255.255  Mask:255.255.0.0
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:119554 errors:0 dropped:0 overruns:0 frame:0
         TX packets:78711 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0
         RX bytes:77058068 (73.4 Mb)  TX bytes:60335562 (57.5 Mb)

eth0      Link encap:Ethernet  HWaddr 00:E0:4C:03:DB:2C
         UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
         RX packets:142918 errors:0 dropped:0 overruns:0 frame:0
         TX packets:126748 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1000
         RX bytes:83505231 (79.6 Mb)  TX bytes:14673695 (13.9 Mb)
         Interrupt:18 Base address:0x4800

eth1      Link encap:Ethernet  HWaddr 00:19:66:09:64:2E
         UP BROADCAST MULTICAST  MTU:1500  Metric:1
         RX packets:0 errors:0 dropped:0 overruns:0 frame:0
         TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1000
         RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
         Interrupt:17 Base address:0x8000

eth2      Link encap:Ethernet  HWaddr 00:E0:4C:03:DA:E1
         UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
         RX packets:114440 errors:0 dropped:0 overruns:0 frame:0
         TX packets:131175 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1000
         RX bytes:13587692 (12.9 Mb)  TX bytes:69660040 (66.4 Mb)
         Interrupt:19 Base address:0x6c00

lo        Link encap:Local Loopback
         inet addr:127.0.0.1  Mask:255.0.0.0
         UP LOOPBACK RUNNING  MTU:16436  Metric:1
         RX packets:223 errors:0 dropped:0 overruns:0 frame:0
         TX packets:223 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0
         RX bytes:23231 (22.6 Kb)  TX bytes:23231 (22.6 Kb)


route -n
Код: 

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.0        0.0.0.0         255.255.0.0     U     0      0        0 br0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         10.0.33.1       0.0.0.0         UG    1000   0        0 br0


arp -n
Код: 

Address                  HWtype  HWaddress           Flags Mask            Iface
10.0.33.104              ether   00:0F:EA:4C:CB:E6   C                     br0
10.0.33.102              ether   00:19:66:09:64:04   C                     br0
10.0.33.131              ether   00:A0:D1:C6:22:0B   C                     br0
10.0.33.105              ether   00:19:66:09:63:3E   C                     br0


iptables -L -v -n
Код: 

Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
  19  1632 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
   0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID
 227 25531 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED
   0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
   0     0 ACCEPT     tcp  --  br0    *       0.0.0.0/0            0.0.0.0/0           tcp dpt:53
   0     0 ACCEPT     udp  --  br0    *       0.0.0.0/0            0.0.0.0/0           udp dpt:53
   0     0 ACCEPT     udp  --  br0    *       0.0.0.0/0            0.0.0.0/0           udp spts:67:68 dpts:67:68
   0     0 ACCEPT     icmp --  br0    *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
   0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID
19756 2289K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED
   0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
   0     0 ACCEPT     tcp  --  *      *       10.0.33.0/24         0.0.0.0/0           tcp dpt:80
   0     0 ACCEPT     tcp  --  *      *       10.0.33.0/24         0.0.0.0/0           tcp dpt:3306
   0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            10.0.33.0/24        tcp dpt:59325
   0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spts:67:68 dpts:67:68
   0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:53
   0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:53

Chain OUTPUT (policy DROP 163 packets, 23128 bytes)
pkts bytes target     prot opt in     out     source               destination
  19  1632 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0
   1    52 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID
 178 32019 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
   1    48 ACCEPT     icmp --  *      br0     0.0.0.0/0            0.0.0.0/0
   0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:22


iptables -L -v -n -t nat
Код: 

Chain PREROUTING (policy ACCEPT 4539 packets, 294K bytes)
pkts bytes target     prot opt in     out     source               destination
  17   816 REDIRECT   tcp  --  br0    *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 3128

Chain POSTROUTING (policy ACCEPT 671 packets, 121K bytes)
pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 563 packets, 101K bytes)
pkts bytes target     prot opt in     out     source               destination


Конфигурационните файлове са (gentoo linux):

/etc/conf.d/net
Код: 

dns_domain_lo=( "orbitel.bg" )
dns_servers_lo=( "217.30.208.113 212.124.78.126" )
config_eth0=( "null" )
config_eth1=( "null" )
config_eth2=( "null" )
bridge_br0=( "eth0 eth2" )
config_br0=( "10.0.33.100 broadcast 10.0.255.255 netmask 255.255.0.0" )
depend_br0()
{
       need net.eth0
}

routes_br0=( "default via 10.0.33.1" )


/etc/resolv.conf:
Код: 

nameserver 217.30.208.113
nameserver 212.124.78.126


firewall rules:
Код: 

#!/bin/bash

if [ "$1" = "start" ]
then
       echo "Starting firewall..."

       # Default chain policy
       iptables -P INPUT DROP
       iptables -P OUTPUT DROP
       iptables -P FORWARD DROP

       # Allow everything on localhost
       # iptables -A FORWARD -j ACCEPT
       iptables -A INPUT -i lo -j ACCEPT
       iptables -A OUTPUT -o lo -j ACCEPT

       iptables -A INPUT -m state --state INVALID -j DROP
       iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
       iptables -A INPUT -p tcp --dport 22 -j ACCEPT
       iptables -A INPUT -i br0 -p tcp --dport 53 -j ACCEPT
       iptables -A INPUT -i br0 -p udp --dport 53 -j ACCEPT
       iptables -A INPUT -i br0 -p udp --sport 67:68 --dport 67:68 -j ACCEPT
       iptables -A INPUT -i br0 -p icmp -j ACCEPT

       iptables -A OUTPUT -m state --state INVALID -j DROP
       iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
       iptables -A OUTPUT -o br0 -p icmp -j ACCEPT
       iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

       # Forward only established and related connections
       iptables -A FORWARD -m state --state INVALID -j DROP
       iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

       # Limit ICMP
       iptables -A FORWARD -p icmp -j ACCEPT

       # Generel internet rules
       iptables -A FORWARD -p tcp -s 10.0.33.0/24 --dport 80 -j ACCEPT
       iptables -A FORWARD -p tcp -s 10.0.33.0/24 --dport 3306 -j ACCEPT
       iptables -A FORWARD -p tcp -d 10.0.33.0/24 --dport 59325 -j ACCEPT
       # iptables -A FORWARD -p tcp -d 10.0.33.100/32 --dport 22 -j ACCEPT

       # DHCP
       iptables -A FORWARD -p udp --sport 67:68 --dport 67:68 -j ACCEPT

       # DNS
       iptables -A FORWARD -p udp --dport 53 -j ACCEPT
       iptables -A FORWARD -p tcp --dport 53 -j ACCEPT

       # Redirect to squid
       iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80 -j REDIRECT --to-port 3128

       echo "Transparent proxy: done."

elif [ "$1" = "stop" ]
then
       iptables -F INPUT
       iptables -F OUTPUT
       iptables -F FORWARD
       iptables -P INPUT ACCEPT
       iptables -P FORWARD ACCEPT
       iptables -P OUTPUT ACCEPT
       iptables -t nat -F PREROUTING
       echo "Firewall stopped"
fi


Bridge машината може да пингва навсякъде; машините във вътрешната мрежа също; рутера може да пингва bridge, както и обратното. Има достъп до всички машини и рутера от външната мрежа, както и обратното. Единствено отвън не може да бъде достигнат bridge през ssh, също и ping няма. Suggestions?

Powered by Gentoo Linux
Контакти:  damian

  • AOL  AOL:
  • ICQ  ICQ: 161571046
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #25 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Октомври 17 2007, 17:49
nikolavp

Avatar




Група: Li maniacs
Мнения: 560
Регистриран: Юли 2006

Оценка: 4

Offline
Не съм прочел всичките страници, но щом можеш да застъпваш машината - погледни дали си разрешил трафика от БТК модема -> рутера -> моста на 22 порт, иначе просто няма как да работи отвън.
П.С. Още нещо - видях, че broadcast-a ти е много странен, оправи го ;)

Контакти:  nikolavp

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #26 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Октомври 18 2007, 16:57
mcwolf

No avatar chosen




Група: Li gurus
Мнения: 1489
Регистриран: Април 2005

Оценка: 5

Offline
Цитат:  (quintessence @ Октомври 10 2007,03:26)

config_br0=( "10.0.33.100 broadcast 10.0.0.255 netmask 255.255.255.0" )

broadcast 10.0.33.255 ...

:) нали ти го посочиха това вече - за да не се бъркаш по принцип за бродкаст се ползва последният хост от мрежата (не че не можеш да ползваш всеки адрес от нея ма така е по стандартно някак си :))
Контакти:  mcwolf

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #27 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Октомври 18 2007, 17:24
damian

No avatar chosen




Група: Li fans
Мнения: 21
Регистриран: Юни 2005

Оценка: няма

Offline
Знам какво е броудкаст :) Това просто е вариант на това, което опитвах. Но и с 10.0.33.255 пробвах, ефекта е нулев.

Powered by Gentoo Linux
Контакти:  damian

  • AOL  AOL:
  • ICQ  ICQ: 161571046
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #28
Skip to the previous post in this topic. Написано на: Октомври 18 2007, 18:19
damian

No avatar chosen




Група: Li fans
Мнения: 21
Регистриран: Юни 2005

Оценка: няма

Offline
Всъщност, току що го промених, и тръгна...  :60; благодаря за помощта :)

Powered by Gentoo Linux
Контакти:  damian

  • AOL  AOL:
  • ICQ  ICQ: 161571046
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Общо 27 отговор(а) от Октомври 08 2007, 10:55 до сега
 » Начало » Li Форуми » Help & Support » Networking » Linux Bridge

© 2014 Linux Index Project
Powered by iF 1.0.0 © 2006 ikonForums