problemi con il routing

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Avatar utente
oierpa
Linux 2.0
Linux 2.0
Messaggi: 123
Iscritto il: sab set 25, 2004 0:00
Kernel: 2.6.29.6
Desktop: kde
Distribuzione: slackware 13
Località: Torino
Contatta:

problemi con il routing

Messaggioda oierpa » lun set 26, 2005 23:38

Ciao a tutti.
Come da oggetto ho problemi con il routing.
Ho una slack 10.1 con uno script che parte all' avvio così:
#!/bin/bash

#script che abilita il forwarding dei pacchetti della rete

#abilita il supporto per il forwarding
echo "1" > /proc/sys/net/ipv4/ip_forward

#caricare i moduli del kernel
modprobe ip_tables
modprobe ip_conntrack
modprobe iptable_nat
modprobe ipt_MASQUERADE

#mascherare i pacchetti
iptables -t nat -A POSTROUTING -d ! 172.16.0.0/24 -j MASQUERADE

#Abilito l'ip forwarding solo per la mia rete
iptables -A FORWARD -s 172.16.0.0/24 -j ACCEPT
iptables -A FORWARD -d 172.16.0.0/24 -j ACCEPT
iptables -A FORWARD -j DROP


mi serve per condividere la connessione ad internet con la piccola rete domestica.
Circa 2 settimane fa ho cambiato il modem ADSL con un router a causa di un guasto.
Tutto funzionava bene ma da qualche fa non riesco a condividere la connessione ad internet e ancor più strano non riesco a connettermi neanche via ssh dalla rete interna...
Lo script l'ho usato per molto tempo senza problemi ma non so come mai adesso non funziona più, l'ho ricontrollato e mi sembra tutto ok.
Idee?
Ciao e grazie ancora

Avatar utente
Sawk
Linux 2.6
Linux 2.6
Messaggi: 584
Iscritto il: dom feb 06, 2005 0:00
Località: Pordenone, Italy
Contatta:

Messaggioda Sawk » lun set 26, 2005 23:57

172.16.0.0/24 <---- non è un pò inusuale come sottorete? O_o

prova con questi settaggi:

GATEWAY = 192.168.0.1
MODEM = 192.168.1.1 (il modem vede il gateway come 192.168.1.2)

CLIENT = 192.168.0.2

firewall x gateway:

LANGW="192.168.0.0/24"

ifconfig eth1 192.168.0.1 netmask 255.255.255.0 up
iptables -t nat -A POSTROUTING -d ! $LANGW -j MASQUERADE
$IPT -A FORWARD -s $LANGW -j ACCEPT
$IPT -A FORWARD -d $LANGW -j ACCEPT
$IPT -A FORWARD -j DROP
$IPT -A INPUT -s $LANGW -j ACCEPT

ovviamente metti anche il caricamento dei moduli e il settaggio su /proc


così andrà sicuramente ;-)
ciao

Avatar utente
Paoletta
Staff
Staff
Messaggi: 3955
Iscritto il: lun apr 25, 2005 0:00
Slackware: 14.2 - 64 bit
Desktop: fluxbox
Località: Varese

Messaggioda Paoletta » mar set 27, 2005 13:22

non sono d'accordo,172.16.0.0/12 non è inusuale, è una rete privata come 10.0.0.0/8 e 192.168.0.0/24; 172.16.0.0/24 è una sottorete privata..e non ha nulla di strano;

Avatar utente
Sawk
Linux 2.6
Linux 2.6
Messaggi: 584
Iscritto il: dom feb 06, 2005 0:00
Località: Pordenone, Italy
Contatta:

Messaggioda Sawk » mar set 27, 2005 18:03

I' m sorry 8)
ad ogni modo prova come ti ho detto... non si sa mai ;-)

MDS
Linux 2.0
Linux 2.0
Messaggi: 178
Iscritto il: gio mag 20, 2004 0:00

Messaggioda MDS » mer set 28, 2005 12:05

Qui dentro c'è la soluzione, secondo me.
Accetta anche gl ICMP selezionandoli, ma pure così comunque ti funziona.
Prendi solo le parti di tuo interesse e fai le opportune modifiche sullo script.

http://www.slacky.it/tutorial/dhcp/dhcp.txt

Ciao :wink:

Avatar utente
oierpa
Linux 2.0
Linux 2.0
Messaggi: 123
Iscritto il: sab set 25, 2004 0:00
Kernel: 2.6.29.6
Desktop: kde
Distribuzione: slackware 13
Località: Torino
Contatta:

provo

Messaggioda oierpa » mer set 28, 2005 12:10

grazie per il link.
provo stasera perché il pc è a casa, spento ... visto che l'ssh non funziona non riesco a provare dall' ufficio...
grazie ancora.
ciao

strummer
Linux 2.4
Linux 2.4
Messaggi: 276
Iscritto il: mer set 29, 2004 0:00
Località: Firenze

Messaggioda strummer » gio set 29, 2005 0:46

per abilitare la connessione internet uso questa regola:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
forse ti può aiutare?!
ma forse nn è questo il prob, mi pare che le tue regole vadano bene, hai provato a guardare meglio le impostazioni del router?
i router "casalinghi" spesso avendo integrato anke un firewall, vanno configurati un secondino per farli andare!

Avatar utente
oierpa
Linux 2.0
Linux 2.0
Messaggi: 123
Iscritto il: sab set 25, 2004 0:00
Kernel: 2.6.29.6
Desktop: kde
Distribuzione: slackware 13
Località: Torino
Contatta:

non so

Messaggioda oierpa » gio set 29, 2005 11:17

non mi sembra abbia un firewall abilitato, ma provo a controllare.
effettivamente nelle mie regole iptables non ho trovato neiente di strano, per questo che non capisco come mai non funzioni.
Pensavo di fare una cosa, dimmi se sbaglio.
Visto che tutto ffunzionava e ora non funziona più niente, pensavo di recuperare il kernel dal dischetto di avvio e ributtarglielo al posto di quello che c' è adesso. E' un'i dea così, piuttosto che piallare il sistema e rifarlo (soluzione molto windows friendly).
Secondo voi può andare?
ciao

strummer
Linux 2.4
Linux 2.4
Messaggi: 276
Iscritto il: mer set 29, 2004 0:00
Località: Firenze

Messaggioda strummer » gio set 29, 2005 11:27

se hai il vmlinuz del vecchio kernel la puoi mettere in /boot e linkarla con lilo, in modo che hai doppia scelta all'avvio!
comunque se la macchina gateway va in internet e il prob e fare SNAT, i moduli necessari sono:
ipt_MASQUERADE
iptable_nat
ip_conntrack

nncredo sia un prob di kernel, magari prima prova a controllare bene le impostazioni del router!

ciao

Avatar utente
Paoletta
Staff
Staff
Messaggi: 3955
Iscritto il: lun apr 25, 2005 0:00
Slackware: 14.2 - 64 bit
Desktop: fluxbox
Località: Varese

Messaggioda Paoletta » gio set 29, 2005 12:39

sicuramente non è un problema di kernel..se fai così perderai solo tempo;
secondo me è tutto dovuto a
Circa 2 settimane fa ho cambiato il modem ADSL con un router a causa di un guasto.

Avatar utente
oierpa
Linux 2.0
Linux 2.0
Messaggi: 123
Iscritto il: sab set 25, 2004 0:00
Kernel: 2.6.29.6
Desktop: kde
Distribuzione: slackware 13
Località: Torino
Contatta:

dici?

Messaggioda oierpa » gio set 29, 2005 15:28

non sono convinto di questo.
Se posso navigare comunque perché cambiando il modem con un modem router dovrei avere problemi nel condividere la connessione.
Poi all'inizio tutto funzionava.
Quello che non capisco è come mai adesso nemmeno l'ssh server funziona, infatti non riesco più a connettermi nemmeno con winscp (da windows) e inspiegabilmente, gftp non riesce più a connettersi via ftp con niente, ma questo potrebbe essere un problema del programma.
Comunque tengo buona la tua affermazione.
Però io ho modificato il gateway con
route -net add default gw 192.168.1.1
invece di uno script del genere:

adsl-start
route -net net default gw 192.168.1.1
route -net add default gw 192.168.100.1

che mi serviva per far partire la connessione all'avvio del pc.
Fatta questa modifica per pochi giorni tutto è andato a posto. Credi che il router abbia un firewall che mi impedisca di far uscire altre macchine della LAN.
Lo schema della rete è: internet -> router -> linuxbox -> hub -> LAN
Grazie
Ciao

Avatar utente
Paoletta
Staff
Staff
Messaggi: 3955
Iscritto il: lun apr 25, 2005 0:00
Slackware: 14.2 - 64 bit
Desktop: fluxbox
Località: Varese

Messaggioda Paoletta » gio set 29, 2005 18:07

scusa ma la tua conf precedente non è che avesse molto senso...
come facevi ad avere 2 gw di default? magari se non funzionano gli altri servizi è per un problema di instradamento: posta un output di

Codice: Seleziona tutto

route -n
della tua linux box

P.S. il -net è inutile (e forse confonde le idee al allo stack TCP/IP):va bene un

Codice: Seleziona tutto

 route add default gw 192.168.1.1

Avatar utente
oierpa
Linux 2.0
Linux 2.0
Messaggi: 123
Iscritto il: sab set 25, 2004 0:00
Kernel: 2.6.29.6
Desktop: kde
Distribuzione: slackware 13
Località: Torino
Contatta:

ma dai!

Messaggioda oierpa » gio set 29, 2005 18:45

e dire che l'ho sempre messo!
Appena posso provo senza.
Ma come mai non serve?
nelle man pages è messa come opzione importante.
ciao!

Avatar utente
supertoms
Linux 1.0
Linux 1.0
Messaggi: 89
Iscritto il: mer giu 22, 2005 0:00
Località: Lissone Monza Italy
Contatta:

Messaggioda supertoms » gio set 29, 2005 19:24

vediamo se ho capito:
lo script serviva per condividere il modem della macchina tra più host?
e dopo che hai messo il router non va più?
non è che la macchina in questione semplicemente non è più visibile dall'esterno perchè il router fa da filtro naturale e deve avere il NAT?

Avatar utente
oierpa
Linux 2.0
Linux 2.0
Messaggi: 123
Iscritto il: sab set 25, 2004 0:00
Kernel: 2.6.29.6
Desktop: kde
Distribuzione: slackware 13
Località: Torino
Contatta:

ma...

Messaggioda oierpa » ven set 30, 2005 14:41

...anche se la macchina linux si prende in carico di fare il nat?
Quello che penso io è che gli altri pc della rete fanno alla linux box le richieste di cosa devono scaricare o caricare dalla rete, poi se la vede lei, nel senso che è come se le richieste sul web fossero della linux box. Quindi se la linux box non ha problemi a conneettersi anche le altre macchine della rete (che per internet si affidano a lei completamente) non dovrebbero avere problemi, o sbaglio?
Il pc con linux infatti non ha problemi con la rete (oddio adesso gftp non ne vuol sapere di connettersi via ftp a nessun sito) ma gli altri si.
Ho preso in considerazione questa eventualità, ossia che il router faccia da firewall, proprio grazie ai vostri avvertimenti. Ma non sono del tutto convito di questo proprio perché il router è collegato direttamente e solamente alla macchina linux quindi lui non dovrebbe sapere che c'è a valle di questa perché dovrebbe passare attraverso la linux box e l'hub.
Lo schema di collegamento è: router ->linux box-> hub -> LAN
ciao e grazie


Torna a “Sicurezza”

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite