* [mdk-re] вопрос о маршрутизацмаршрутизации @ 2002-02-18 13:48 alex 2002-02-18 23:34 ` [mdk-re] Re: [mdk-re] вопрос омаршрутизацмаршрутизаци и cornet 0 siblings, 1 reply; 18+ messages in thread From: alex @ 2002-02-18 13:48 UTC (permalink / raw) To: mandrake-russian Здравствуйте! Столкнулся со следующей проблемой. На маршрутизаторе (он под сизифом скорее) не получается поднять кэширующий бинд. Посмотрел оказалось что он просто не видит машины не из подсетей родных интерфейсов. При этом функции маршрутизата и firewall-а прекрасно работают. Таблица следующая Destination Gateway Genmask Flags Metric Ref Use Iface 255.255.255.255 * 255.255.255.255 UH 0 0 0 eth0 x.x.x.16 * 255.255.255.252 U 0 0 0 eth1 y.y.y.0 * 255.255.255.224 U 0 0 0 eth0 127.0.0.0 * 255.0.0.0 U 0 0 0 lo default x.x.x.18 0.0.0.0 UG 0 0 0 eth1 Здесь подсетка у - внутренняя но с реальными адресами (eth0) х - внешняя из 2 машин (eth1). Что не так? ^ permalink raw reply [flat|nested] 18+ messages in thread
* [mdk-re] Re: [mdk-re] вопрос омаршрутизацмаршрутизаци и 2002-02-18 13:48 [mdk-re] вопрос о маршрутизацмаршрутизации alex @ 2002-02-18 23:34 ` cornet 2002-02-19 6:17 ` Maxim Mitrofanov 0 siblings, 1 reply; 18+ messages in thread From: cornet @ 2002-02-18 23:34 UTC (permalink / raw) To: mandrake-russian alex wrote: > > Здравствуйте! > Столкнулся со следующей проблемой. > На маршрутизаторе (он под сизифом скорее) не получается поднять > кэширующий бинд. Посмотрел оказалось что он просто не видит машины не из > подсетей родных интерфейсов. При этом функции маршрутизата и firewall-а > прекрасно работают. > Таблица следующая > Destination Gateway Genmask Flags Metric Ref Use Iface > 255.255.255.255 * 255.255.255.255 UH 0 0 0 eth0 > x.x.x.16 * 255.255.255.252 U 0 0 0 eth1 > y.y.y.0 * 255.255.255.224 U 0 0 0 eth0 > 127.0.0.0 * 255.0.0.0 U 0 0 0 lo > default x.x.x.18 0.0.0.0 UG 0 0 0 eth1 > > Здесь подсетка у - внутренняя но с реальными адресами (eth0) > х - внешняя из 2 машин (eth1). > Что не так? Мне совершенно не понятно назначение первой строки таблицы маршрутизации. Если убрать firewall то bind работает или нет? Что в /var/lib/named/etc/named.conf на предмет listen-on { ?? И не поднимается ли named раньше, чем eth0 и eth1 ?? -- Власенко Олег. Отдел технической поддержки ALT Linux Team. mailto:cornet@altlinux.ru ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [mdk-re] Re: [mdk-re] вопрос омаршрутизацмаршрутизаци и 2002-02-18 23:34 ` [mdk-re] Re: [mdk-re] вопрос омаршрутизацмаршрутизаци и cornet @ 2002-02-19 6:17 ` Maxim Mitrofanov 2002-02-19 11:04 ` alex 0 siblings, 1 reply; 18+ messages in thread From: Maxim Mitrofanov @ 2002-02-19 6:17 UTC (permalink / raw) To: mandrake-russian 19 Февраль 2002 01:40, Вы написали: > alex wrote: > > > > Здравствуйте! > > Столкнулся со следующей проблемой. > > На маршрутизаторе (он под сизифом скорее) не получается поднять > > кэширующий бинд. Посмотрел оказалось что он просто не видит машины не из > > подсетей родных интерфейсов. При этом функции маршрутизата и firewall-а > > прекрасно работают. > > Таблица следующая > > Destination Gateway Genmask Flags Metric Ref Use Iface > > 255.255.255.255 * 255.255.255.255 UH 0 0 0 eth0 > > x.x.x.16 * 255.255.255.252 U 0 0 0 eth1 > > y.y.y.0 * 255.255.255.224 U 0 0 0 eth0 > > 127.0.0.0 * 255.0.0.0 U 0 0 0 lo > > default x.x.x.18 0.0.0.0 UG 0 0 0 eth1 > > > > Здесь подсетка у - внутренняя но с реальными адресами (eth0) > > х - внешняя из 2 машин (eth1). > > Что не так? > > Мне совершенно не понятно назначение первой строки таблицы > маршрутизации. Да нет это dhcp такую строчку вставляет - для win клиентов, они не совсем правлильно работают поэтому такие вот "извароты", _НО_ в скрипте вставляется route add -net так что вроде должно быть 255.255.255.255 * 255.255.255.255 U 0 0 0 eth0 только флаг U по поводу бинда - allow-query { y.y.y.0/27; }; проверьте файрвол на предмет 53 порта по UDP & TCP ну и на клиентах, может они к вашему DNS и не обращаются -- rgrds Maixm mdk@anker.ru ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [mdk-re] Re: [mdk-re] вопрос омаршрутизацмаршрутизаци и 2002-02-19 6:17 ` Maxim Mitrofanov @ 2002-02-19 11:04 ` alex 2002-02-19 11:19 ` Maxim Mitrofanov 0 siblings, 1 reply; 18+ messages in thread From: alex @ 2002-02-19 11:04 UTC (permalink / raw) To: mandrake-russian >>Если убрать firewall то bind работает или нет? Нет >>Что в >>/var/lib/named/etc/named.conf >>на предмет >>listen-on { listen-on { 127.0.0.1; y.y.y.1; }; >>>И не поднимается ли named раньше, чем eth0 и eth1 ?? Нет! > > Мне совершенно не понятно назначение первой строки таблицы > > маршрутизации. > > Да нет это dhcp такую строчку вставляет - для win клиентов, они не > совсем правлильно работают поэтому такие вот "извароты", _НО_ в скрипте > вставляется route add -net так что вроде должно быть > > 255.255.255.255 * 255.255.255.255 U 0 0 0 eth0 > только флаг U Попробовал без dhcp и этой строчки - результат тот же. > по поводу бинда - allow-query { y.y.y.0/27; }; Это стоит в local.conf и bind.conf в виде allow-query { 127.0.0.1; y.y.y.0/27; }; > проверьте файрвол на предмет 53 порта по UDP & TCP ipchains -A forward -p udp -s $ANYWHERE $UNPRIVPORTS -d $LOCALNET_1 53 -j ACCEPT ipchains -A forward -p udp -s $LOCALNET_1 53 -d $ANYWHERE $UNPRIVPORTS -j ACCEPT ipchains -A forward -p udp -s $NAMESERVER_1 53 -d $LOCALNET_1 $UNPRIVPORTS -j ACCEPT ipchains -A forward -p udp -s $LOCALNET_1 $UNPRIVPORTS -d $NAMESERVER_1 53 -j ACCEPT tcp аналогично, NAMESERVER_1 прописан в forwarders > ну и на клиентах, может они к вашему DNS и не обращаются Все в таком виде: [alex@alexey alex]$ nslookup Default Server: ns2.ptt.ru Address: 195.34.30.250 > server y.y.y.1 Default Server: qwerty.transts.ru Address: y.y.y.1 > www.ru Server: qwerty.transts.ru Address: y.y.y.1 *** qwerty.transts.ru can't find www.ru: No response from server > ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [mdk-re] Re: [mdk-re] вопрос омаршрутизацмаршрутизаци и 2002-02-19 11:04 ` alex @ 2002-02-19 11:19 ` Maxim Mitrofanov 2002-02-19 11:57 ` [mdk-re] IPCHAINS (by Re:вопрос омаршрутизацмаршрутизаци) Mika 2002-02-19 12:34 ` [mdk-re] Re: [mdk-re] вопрос омаршрутизацмаршрутизаци и alex 0 siblings, 2 replies; 18+ messages in thread From: Maxim Mitrofanov @ 2002-02-19 11:19 UTC (permalink / raw) To: mandrake-russian 19 Февраль 2002 13:30, Вы написали: > >>Если убрать firewall то bind работает или нет? > > Нет > > >>Что в > >>/var/lib/named/etc/named.conf > >>на предмет > >>listen-on { > > listen-on { 127.0.0.1; y.y.y.1; }; > > >>>И не поднимается ли named раньше, чем eth0 и eth1 ?? > > Нет! > > > > Мне совершенно не понятно назначение первой строки таблицы > > > маршрутизации. > > > > Да нет это dhcp такую строчку вставляет - для win клиентов, они не > > совсем правлильно работают поэтому такие вот "извароты", _НО_ в скрипте > > вставляется route add -net так что вроде должно быть > > > > 255.255.255.255 * 255.255.255.255 U 0 0 0 eth0 > > только флаг U > > Попробовал без dhcp и этой строчки - результат тот же. > > > по поводу бинда - allow-query { y.y.y.0/27; }; > Это стоит в local.conf и bind.conf в виде > allow-query { 127.0.0.1; y.y.y.0/27; }; > > > > > проверьте файрвол на предмет 53 порта по UDP & TCP > > ipchains -A forward -p udp -s $ANYWHERE $UNPRIVPORTS -d $LOCALNET_1 53 > -j ACCEPT > ipchains -A forward -p udp -s $LOCALNET_1 53 -d $ANYWHERE $UNPRIVPORTS > -j ACCEPT > > > ipchains -A forward -p udp -s $NAMESERVER_1 53 -d $LOCALNET_1 > $UNPRIVPORTS -j ACCEPT > > ipchains -A forward -p udp -s $LOCALNET_1 $UNPRIVPORTS -d $NAMESERVER_1 > 53 -j ACCEPT А почему в цепочку forward а не input forward ведь он для маскарада а у вас, как вы говорили реальные адреса > > tcp аналогично, NAMESERVER_1 прописан в forwarders > > > ну и на клиентах, может они к вашему DNS и не обращаются > Все в таком виде: > > [alex@alexey alex]$ nslookup > Default Server: ns2.ptt.ru > Address: 195.34.30.250 > > > server y.y.y.1 > Default Server: qwerty.transts.ru > Address: y.y.y.1 > > > www.ru > Server: qwerty.transts.ru > Address: y.y.y.1 > > *** qwerty.transts.ru can't find www.ru: No response from server > > > да а вы на своем сервере options { forwarders { a.b.c.d; }; }; настроили, где a.b.c.d dns вашего прова -- rgrds Maixm mdk@anker.ru ^ permalink raw reply [flat|nested] 18+ messages in thread
* [mdk-re] IPCHAINS (by Re:вопрос омаршрутизацмаршрутизаци) 2002-02-19 11:19 ` Maxim Mitrofanov @ 2002-02-19 11:57 ` Mika 2002-02-19 12:14 ` Peter V. Saveliev ` (3 more replies) 2002-02-19 12:34 ` [mdk-re] Re: [mdk-re] вопрос омаршрутизацмаршрутизаци и alex 1 sibling, 4 replies; 18+ messages in thread From: Mika @ 2002-02-19 11:57 UTC (permalink / raw) To: mandrake-russian Hi! > А почему в цепочку forward а не input > forward ведь он для маскарада а у вас, как вы говорили реальные адреса >--- >Maixm mdk@anker.ru Для меня вопрос с forward стал загадкой. Предположим есть два сетевых интерфейса. К eth0 подключен инет, к eth1- локальная сеть. На eth0 из инета приходит пакет предназначенный для машины находящейся в локальной сети. Я понимаю так, что он поступает в цепочку INPUT, проверяется правилами и если все OK, то отправляется в цепочку forward. Или он сразу должен попадать в цепочку forward, где проверяется на соответствие правилам и отправляется на eth1? Действительно ли forward используется только для маскарадинга? Если у меня в одной из сетей используются реальные адреса, и расположен DNS-сервер(что исключает использование маскарадинга), а со слов Максима forward используется для маскарадинга, то каким образом без forward пакет пришедший на eth0 попадет на eth1? Вот. Спасибо. Mika ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [mdk-re] IPCHAINS (by Re:вопрос омаршрутизацмаршрутизаци) 2002-02-19 11:57 ` [mdk-re] IPCHAINS (by Re:вопрос омаршрутизацмаршрутизаци) Mika @ 2002-02-19 12:14 ` Peter V. Saveliev 2002-02-19 12:19 ` [mdk-re] IPCHAINS (by Re: вопрос о маршрутизации) Sergey Vlasov ` (2 subsequent siblings) 3 siblings, 0 replies; 18+ messages in thread From: Peter V. Saveliev @ 2002-02-19 12:14 UTC (permalink / raw) To: mandrake-russian On Tue, 19 Feb 2002 12:04:03 +0300 "Mika" <mika@mcnet.ru> wrote: > Hi! > > > А почему в цепочку forward а не input > > forward ведь он для маскарада а у вас, как вы говорили реальные адреса > >--- > >Maixm mdk@anker.ru > > > Для меня вопрос с forward стал загадкой. > Предположим есть два сетевых интерфейса. К eth0 подключен инет, к eth1- > локальная сеть. > На eth0 из инета приходит пакет предназначенный для машины находящейся в > локальной сети. Я понимаю так, что он поступает в цепочку INPUT, проверяется > правилами и если все OK, то отправляется в цепочку forward. Или он сразу > должен попадать в цепочку forward, где проверяется на соответствие правилам > и отправляется на eth1? Если ошибаюсь, пусть поправят: ipchains: ------>eth0 eth1------> | FORWARD | INPUT ---------> OUTPUT | | | | +-- YOUR COMP ---+ iptables: FORWARD ------>eth0 ----------> eth1-------> | | INPUT OUTPUT | | +-- YOUR COMP ---+ > Действительно ли forward используется только для маскарадинга? Если у меня в > одной из сетей используются реальные адреса, и расположен DNS-сервер(что > исключает использование маскарадинга), а со слов Максима forward > используется для маскарадинга, то каким образом без forward пакет пришедший > на eth0 попадет на eth1? FORWARD может использоваться для любых нужд фильтрации и обработки пакетов, проходящих _сквозь_ машину. ipchains еще приплетает к этому фильтры ввода-вывода, iptables не страдает подобным. В частности, FORWARD можно использовать для маскарада (MASQ, MASQUERADE), NAT (всякие его iptables'овские имплементации). Или просто чтобы считать траффик ;) <skip> Петр. ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [mdk-re] IPCHAINS (by Re: вопрос о маршрутизации) 2002-02-19 11:57 ` [mdk-re] IPCHAINS (by Re:вопрос омаршрутизацмаршрутизаци) Mika 2002-02-19 12:14 ` Peter V. Saveliev @ 2002-02-19 12:19 ` Sergey Vlasov 2002-02-19 15:05 ` [mdk-re] IPCHAINS (by Re:вопрос омаршрутизацмаршрутизаци) Maxim Mitrofanov 2002-02-19 17:11 ` [mdk-re] " Чужой 3 siblings, 0 replies; 18+ messages in thread From: Sergey Vlasov @ 2002-02-19 12:19 UTC (permalink / raw) To: mandrake-russian On Tue, Feb 19, 2002 at 12:04:03 +0300, Mika wrote: > Hi! > > > А почему в цепочку forward а не input > > forward ведь он для маскарада а у вас, как вы говорили реальные адреса > >--- > >Maixm mdk@anker.ru > > > Для меня вопрос с forward стал загадкой. > Предположим есть два сетевых интерфейса. К eth0 подключен инет, к eth1- > локальная сеть. > На eth0 из инета приходит пакет предназначенный для машины находящейся в > локальной сети. Я понимаю так, что он поступает в цепочку INPUT, проверяется > правилами и если все OK, то отправляется в цепочку forward. Или он сразу > должен попадать в цепочку forward, где проверяется на соответствие правилам > и отправляется на eth1? > Действительно ли forward используется только для маскарадинга? Если у меня в > одной из сетей используются реальные адреса, и расположен DNS-сервер(что > исключает использование маскарадинга), а со слов Максима forward > используется для маскарадинга, то каким образом без forward пакет пришедший > на eth0 попадет на eth1? В ipchains пакеты, проходящие через маршрутизатор, попадают сначала в input, потом в forward, потом в output. Однако есть странность: ответные пакеты после маскарада попадают сразу в output, минуя forward. В iptables пакеты "не себе" проверяются только в forward. В общем, читайте IPCHAINS-HOWTO, IPTABLES-HOWTO - там все это даже нарисовано. ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [mdk-re] IPCHAINS (by Re:вопрос омаршрутизацмаршрутизаци) 2002-02-19 11:57 ` [mdk-re] IPCHAINS (by Re:вопрос омаршрутизацмаршрутизаци) Mika 2002-02-19 12:14 ` Peter V. Saveliev 2002-02-19 12:19 ` [mdk-re] IPCHAINS (by Re: вопрос о маршрутизации) Sergey Vlasov @ 2002-02-19 15:05 ` Maxim Mitrofanov 2002-02-19 17:11 ` [mdk-re] " Чужой 3 siblings, 0 replies; 18+ messages in thread From: Maxim Mitrofanov @ 2002-02-19 15:05 UTC (permalink / raw) To: mandrake-russian 19 Февраль 2002 14:04, Вы написали: > Hi! > > > А почему в цепочку forward а не input > > forward ведь он для маскарада а у вас, как вы говорили реальные адреса > >--- > >Maixm mdk@anker.ru > > > Для меня вопрос с forward стал загадкой. > Предположим есть два сетевых интерфейса. К eth0 подключен инет, к eth1- > локальная сеть. > На eth0 из инета приходит пакет предназначенный для машины находящейся в > локальной сети. Я понимаю так, что он поступает в цепочку INPUT, проверяется > правилами и если все OK, то отправляется в цепочку forward. Или он сразу > должен попадать в цепочку forward, где проверяется на соответствие правилам > и отправляется на eth1? Да нет после _принятия ядром решения_ о форвардинге пакет попадает в цепь forward в каторой обычно для приватной сети стоит -j MASQ, но это происходит только в том слуяае если пакет пересылается на другую машину (посмотрите Routing decision из ipchains HOWTO). Далее пакет попадает в цепочку output. Ну вообщем дело вкуса где отсеивать пакеты в инпут & аутпут или форвард. Для нашего случая маскарадить ничего не надо поэтому, чтобы лишний раз не путаться IMHO цепочку форвард не задействовать кстати цель MASQ для других цепей использовать запрещенно! > Действительно ли forward используется только для маскарадинга? Если у меня в > одной из сетей используются реальные адреса, и расположен DNS-сервер(что > исключает использование маскарадинга), а со слов Максима forward > используется для маскарадинга, то каким образом без forward пакет пришедший > на eth0 попадет на eth1? > Вот. -- rgrds Maixm mdk@anker.ru ^ permalink raw reply [flat|nested] 18+ messages in thread
* [mdk-re] Re: [mdk-re] IPCHAINS (by Re:вопрос омаршрутизацмаршрутизаци) 2002-02-19 11:57 ` [mdk-re] IPCHAINS (by Re:вопрос омаршрутизацмаршрутизаци) Mika ` (2 preceding siblings ...) 2002-02-19 15:05 ` [mdk-re] IPCHAINS (by Re:вопрос омаршрутизацмаршрутизаци) Maxim Mitrofanov @ 2002-02-19 17:11 ` Чужой 3 siblings, 0 replies; 18+ messages in thread From: Чужой @ 2002-02-19 17:11 UTC (permalink / raw) To: mandrake-russian > > А почему в цепочку forward а не input > > forward ведь он для маскарада а у вас, как вы говорили реальные адреса > >--- > >Maixm mdk@anker.ru > > > Для меня вопрос с forward стал загадкой. > Предположим есть два сетевых интерфейса. К eth0 подключен инет, к eth1- > локальная сеть. > На eth0 из инета приходит пакет предназначенный для машины находящейся в > локальной сети. Я понимаю так, что он поступает в цепочку INPUT, проверяется > правилами и если все OK, то отправляется в цепочку forward. Или он сразу > должен попадать в цепочку forward, где проверяется на соответствие правилам > и отправляется на eth1? Да вроде всегда был INPUT, FORWARD, OUTPUT. > Действительно ли forward используется только для маскарадинга? Если у меня в Да! Зачем тащить далеко пакет, если его надо отшить? Вот и ставят всякие там DENY на INPUT, чтоб сервак сразу отсекал пакет и больше с ним не геммороился! > одной из сетей используются реальные адреса, и расположен DNS-сервер(что > исключает использование маскарадинга), а со слов Максима forward > используется для маскарадинга, то каким образом без forward пакет пришедший > на eth0 попадет на eth1? А маршрутизация на что??? Маскарадинг применяется в том случае когда у вас 1 реальный IP адрес, а нужно расшарить инет большому числу компьютеров. Проблема в этом случае заключатся в том, что если пакет уйдет в инет с машины скажем с IP 192.168.1.1, то инетовский сервак даже не будет знать куда послать ответ, а если и будет знать, то пошлет не туда куда надо. Маскарадинг же просто подставляет внешний адрес сервака вместо адреса компа внутри сети и отправляет в инет - в результате ответ гарантированно вернется назад! У вас же все IP адреса реальные насколько я понял (ух блин, классно!!! ;-) ), вот и получается что надо то всего лишь на сервере обеспечить переброску пакета не изменяя его на eth1 - за это как раз и отвечает маршрутизация. В общем читайте man route (она как раз настраивает маршрутизацию пакетиков). ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [mdk-re] Re: [mdk-re] вопрос омаршрутизацмаршрутизаци и 2002-02-19 11:19 ` Maxim Mitrofanov 2002-02-19 11:57 ` [mdk-re] IPCHAINS (by Re:вопрос омаршрутизацмаршрутизаци) Mika @ 2002-02-19 12:34 ` alex 2002-02-19 14:23 ` Maxim Mitrofanov 2002-02-19 17:10 ` [mdk-re] " Чужой 1 sibling, 2 replies; 18+ messages in thread From: alex @ 2002-02-19 12:34 UTC (permalink / raw) To: mandrake-russian > А почему в цепочку forward а не input > forward ведь он для маскарада а у вас, как вы говорили реальные адреса Не знаю, разве это не правильно? у меня работает все через forward, это ж маршрутизатор. Он форвардит с одного интерфейса на другой и я регулирую правила меняя -d и -s. Впрочем вы видите как. > да а вы на своем сервере > > options { > forwarders { a.b.c.d; }; > }; > > настроили, где a.b.c.d dns вашего прова options { directory "/zone"; query-source address * port 53; listen-on { 127.0.0.1; y.y.y.1; }; forward only; forwarders { 195.34.30.250; 195.34.0.100; }; }; Вообще я понимаю, что прописывание у клиентов вышеуказанных айпи провайдера решает проблему, но принцип! Почему роутер не видит инет я непонимаю? И кэширующий ДНС разве предназначен только для использования с НАТом? Крышу у меня уже срывает от этого роутера, например как можно это объяснить: [root@localhost etc]# ipchains -L Chain input (policy ACCEPT): Chain forward (policy ACCEPT): Chain output (policy ACCEPT): [root@localhost etc]# ping 217.73.192.109 (РАМБЛЕР) PING 217.73.192.109 (217.73.192.109) from xxxx : 56(84) bytes of data. --- 217.73.192.109 ping statistics --- 10 packets transmitted, 0 received, 100% loss, time 8999ms [root@localhost etc]# ping 194.87.0.50 (WWW.RU) PING 194.87.0.50 (194.87.0.50) from xxxxx : 56(84) bytes of data. --- 194.87.0.50 ping statistics --- 42 packets transmitted, 0 received, 100% loss, time 41016ms [root@localhost etc]# ping 195.208.222.110 (ПОЧТОВИК МОЙ) PING 195.208.222.110 (195.208.222.110) from xxxxx : 56(84) bytes of data. 64 bytes from 195.208.222.110: icmp_seq=1 ttl=250 time=13.486 msec 64 bytes from 195.208.222.110: icmp_seq=2 ttl=250 time=13.402 msec 64 bytes from 195.208.222.110: icmp_seq=3 ttl=250 time=12.629 msec 64 bytes from 195.208.222.110: icmp_seq=4 ttl=250 time=12.937 msec --- 195.208.222.110 ping statistics --- 4 packets transmitted, 4 received, 0% loss, time 3033ms rtt min/avg/max/mdev = 12.629/13.113/13.486/0.367 ms [root@localhost etc]# ping 217.73.192.91 (ПРОСТО ЖИВАЯ МАШИНА) PING 217.73.192.91 (217.73.192.91) from xxxx : 56(84) bytes of data. 64 bytes from 217.73.192.91: icmp_seq=1 ttl=58 time=13.171 msec 64 bytes from 217.73.192.91: icmp_seq=2 ttl=58 time=12.314 msec --- 217.73.192.91 ping statistics --- 2 packets transmitted, 2 received, 0% loss, time 1005ms rtt min/avg/max/mdev = 12.314/12.742/13.171/0.443 ms [root@localhost etc]# ping 195.208.222.106 (ТОЧНО ЖИВОЙ ИЗ ТОЙ ЖЕ СЕТИ) PING 195.208.222.106 (195.208.222.106) from ччччч : 56(84) bytes of data. --- 195.208.222.106 ping statistics --- 18 packets transmitted, 0 received, 100% loss, time 17014ms Он что от фонаря некоторые пингует, а некоторые нет!? ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [mdk-re] Re: [mdk-re] вопрос омаршрутизацмаршрутизаци и 2002-02-19 12:34 ` [mdk-re] Re: [mdk-re] вопрос омаршрутизацмаршрутизаци и alex @ 2002-02-19 14:23 ` Maxim Mitrofanov 2002-02-19 14:46 ` alex 2002-02-19 17:10 ` [mdk-re] " Чужой 1 sibling, 1 reply; 18+ messages in thread From: Maxim Mitrofanov @ 2002-02-19 14:23 UTC (permalink / raw) To: mandrake-russian 19 Февраль 2002 15:00, Вы написали: > > А почему в цепочку forward а не input > > forward ведь он для маскарада а у вас, как вы говорили реальные адреса > > Не знаю, разве это не правильно? у меня работает все через forward, это > ж маршрутизатор. Он форвардит с одного интерфейса на другой и я > регулирую правила меняя -d и -s. Впрочем вы видите как. > > > да а вы на своем сервере > > > > options { > > forwarders { a.b.c.d; }; > > }; > > > > настроили, где a.b.c.d dns вашего прова > > options { > directory "/zone"; > query-source address * port 53; > listen-on { 127.0.0.1; y.y.y.1; }; > forward only; > forwarders { 195.34.30.250; 195.34.0.100; }; > }; Да все в порядке, извините а вы форвардинг пакетов в ядре включили cat /etc/sysconfig/network NETWORKING=yes FORWARD_IPV4=yes HOSTNAME=server.tralal.ru DOMAINNAME=tralala.ru GATEWAY=y.y.y.a - адрес шлюза сети на интерфейсе eth1 > > Вообще я понимаю, что прописывание у клиентов вышеуказанных айпи > провайдера решает проблему, но принцип! Почему роутер не видит инет я > непонимаю? И кэширующий ДНС разве предназначен только для использования > с НАТом? > > Крышу у меня уже срывает от этого роутера, например как можно это > объяснить: > [root@localhost etc]# ipchains -L > Chain input (policy ACCEPT): > Chain forward (policy ACCEPT): > Chain output (policy ACCEPT): > [root@localhost etc]# ping 217.73.192.109 (РАМБЛЕР) > PING 217.73.192.109 (217.73.192.109) from xxxx : 56(84) bytes of data. > > --- 217.73.192.109 ping statistics --- > 10 packets transmitted, 0 received, 100% loss, time 8999ms > > [root@localhost etc]# ping 194.87.0.50 (WWW.RU) > PING 194.87.0.50 (194.87.0.50) from xxxxx : 56(84) bytes of data. > > --- 194.87.0.50 ping statistics --- > 42 packets transmitted, 0 received, 100% loss, time 41016ms > > [root@localhost etc]# ping 195.208.222.110 (ПОЧТОВИК МОЙ) > PING 195.208.222.110 (195.208.222.110) from xxxxx : 56(84) bytes of > data. > 64 bytes from 195.208.222.110: icmp_seq=1 ttl=250 time=13.486 msec > 64 bytes from 195.208.222.110: icmp_seq=2 ttl=250 time=13.402 msec > 64 bytes from 195.208.222.110: icmp_seq=3 ttl=250 time=12.629 msec > 64 bytes from 195.208.222.110: icmp_seq=4 ttl=250 time=12.937 msec > > --- 195.208.222.110 ping statistics --- > 4 packets transmitted, 4 received, 0% loss, time 3033ms > rtt min/avg/max/mdev = 12.629/13.113/13.486/0.367 ms а тут ваша сеть? или не ваша > [root@localhost etc]# ping 217.73.192.91 (ПРОСТО ЖИВАЯ МАШИНА) > PING 217.73.192.91 (217.73.192.91) from xxxx : 56(84) bytes of data. > 64 bytes from 217.73.192.91: icmp_seq=1 ttl=58 time=13.171 msec > 64 bytes from 217.73.192.91: icmp_seq=2 ttl=58 time=12.314 msec > > --- 217.73.192.91 ping statistics --- > 2 packets transmitted, 2 received, 0% loss, time 1005ms > rtt min/avg/max/mdev = 12.314/12.742/13.171/0.443 ms да вроде раз рамблер не пингуется то и она не должна!!! [maxim@maxim etc]$ host 217.73.192.91 91.192.73.217.IN-ADDR.ARPA domain name pointer sf1-ie4.rambler.ru > [root@localhost etc]# ping 195.208.222.106 (ТОЧНО ЖИВОЙ ИЗ ТОЙ ЖЕ СЕТИ) > PING 195.208.222.106 (195.208.222.106) from ччччч : 56(84) bytes of > data. > > --- 195.208.222.106 ping statistics --- > 18 packets transmitted, 0 received, 100% loss, time 17014ms > > > Он что от фонаря некоторые пингует, а некоторые нет!? > вроде форвардинг не включен компы с рил адресами в вашей сети видны, а вот не в ващей www.ru не отвичают т е пакеты не идут через дефолтный маршрут. На прикрытый ICMP не сошлешся так как ACCEPT стоит на всех цепочках да заодно посмотрите файл cat /etc/sysctl.conf # Disables packet forwarding net.ipv4.ip_forward = 1 ^^^^^^^^^^^^^^^^^^ # Enables source route verification net.ipv4.conf.default.rp_filter = 1 net.ipv4.conf.all.rp_filter = 1 # Enables automatic defragmentation (needed for masquerading, LVS) net.ipv4.ip_always_defrag = 1 # Enable the magic-sysrq key kernel.sysrq = 1 # Disable tcp_timestamps net.ipv4.tcp_timestamps = 0 # Enable tcp_syncookies net.ipv4.tcp_syncookies= 1 -- rgrds Maixm mdk@anker.ru ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [mdk-re] Re: [mdk-re] вопрос омаршрутизацмаршрутизаци и 2002-02-19 14:23 ` Maxim Mitrofanov @ 2002-02-19 14:46 ` alex 2002-02-19 16:52 ` Maxim Mitrofanov 0 siblings, 1 reply; 18+ messages in thread From: alex @ 2002-02-19 14:46 UTC (permalink / raw) To: mandrake-russian > Да все в порядке, извините а вы форвардинг пакетов в ядре включили > > cat /etc/sysconfig/network > > NETWORKING=yes > FORWARD_IPV4=yes > HOSTNAME=server.tralal.ru > DOMAINNAME=tralala.ru > GATEWAY=y.y.y.a - адрес шлюза сети на интерфейсе eth1 А здесь вроде не обязательно, достаточно включить его в sysctl.conf. После этого в /proc/.... все появляется, в смысле 1 в файле форвардинга. Потом инет не видит только САМ роутер, клиенты где он прописан в качестве default gateway видят все прекрасно. > вроде форвардинг не включен компы с рил адресами в вашей сети видны, а > вот не в ващей www.ru не отвичают т е пакеты не идут через дефолтный > маршрут. На прикрытый ICMP не сошлешся так как ACCEPT стоит на всех > цепочках Адрес 195.208.222.110 пингуется, .106 нет. Это оба адреса из подсети fbm.msu.ru, а не моей :(((( !!!!!! Я их взял для примера и они ничем не отличаются для роутера от рамблера и пр. И то что 110 пингуется меня просто таки убивает. Не пойму логики. > cat /etc/sysctl.conf > > # Disables packet forwarding > net.ipv4.ip_forward = 1 > > ^^^^^^^^^^^^^^^^^^ именно так все и стояло. сейчас я включил форвардинг в обоих местах /etc/sysctl.conf и /etc/sysconfig/network. Все тоже :(((((, раньше он был только в /etc/sysctl.conf ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [mdk-re] Re: [mdk-re] вопрос омаршрутизацмаршрутизаци и 2002-02-19 14:46 ` alex @ 2002-02-19 16:52 ` Maxim Mitrofanov 2002-02-19 17:33 ` alex 0 siblings, 1 reply; 18+ messages in thread From: Maxim Mitrofanov @ 2002-02-19 16:52 UTC (permalink / raw) To: mandrake-russian 19 Февраль 2002 17:12, Вы написали: > > Да все в порядке, извините а вы форвардинг пакетов в ядре включили > > > > cat /etc/sysconfig/network > > > > NETWORKING=yes > > FORWARD_IPV4=yes > > HOSTNAME=server.tralal.ru > > DOMAINNAME=tralala.ru > > GATEWAY=y.y.y.a - адрес шлюза сети на интерфейсе eth1 > > А здесь вроде не обязательно, достаточно включить его в sysctl.conf. > После этого в /proc/.... все появляется, в смысле 1 в файле форвардинга. > Потом инет не видит только САМ роутер, клиенты где он прописан в > качестве default gateway видят все прекрасно. > > > > вроде форвардинг не включен компы с рил адресами в вашей сети видны, а > > вот не в ващей www.ru не отвичают т е пакеты не идут через дефолтный > > маршрут. На прикрытый ICMP не сошлешся так как ACCEPT стоит на всех > > цепочках > > > Адрес 195.208.222.110 пингуется, .106 нет. Это оба адреса из подсети > fbm.msu.ru, а не моей :(((( !!!!!! Я их взял для примера и они ничем не > отличаются для роутера от рамблера и пр. > И то что 110 пингуется меня просто таки убивает. Не пойму логики. > > > > cat /etc/sysctl.conf > > > > # Disables packet forwarding > > net.ipv4.ip_forward = 1 > > > > ^^^^^^^^^^^^^^^^^^ > > именно так все и стояло. сейчас я включил форвардинг в обоих местах > /etc/sysctl.conf и /etc/sysconfig/network. Все тоже :(((((, раньше он > был только в /etc/sysctl.conf > > Да дейсвительно - случай клинический ;) Щас еще раз перечиталь тред. Вопрос вы привели несколько примеров с пингом - пинговали с какой машины (сервер или из сети на eth0), пинги клинит только с сервера или и из сети тоже? Если клинит только с сервера - это будет совсем интересно! :( Хотя последнее что могу предложить (не зная более подробной конфигурации вашей системы) посмотреть на движение пакетов tcpdump'ом ЗЫ: сильно прошу не пинать > x.x.x.16 * 255.255.255.252 U 0 0 0 eth1 > y.y.y.0 * 255.255.255.224 U 0 0 0 eth0 а разве не так должно быть > x.x.x.252 * 255.255.255.252 U 0 0 0 eth1 > y.y.y.224 * 255.255.255.224 U 0 0 0 eth0 -- rgrds Maixm mdk@anker.ru ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [mdk-re] Re: [mdk-re] вопрос омаршрутизацмаршрутизаци и 2002-02-19 16:52 ` Maxim Mitrofanov @ 2002-02-19 17:33 ` alex 2002-02-20 6:47 ` Maxim Mitrofanov 0 siblings, 1 reply; 18+ messages in thread From: alex @ 2002-02-19 17:33 UTC (permalink / raw) To: mandrake-russian > Да дейсвительно - случай клинический ;) Щас еще раз перечиталь тред. > Вопрос вы привели несколько примеров с пингом - пинговали с какой > машины (сервер или из сети на eth0), пинги клинит только с сервера или > и из сети тоже? Если клинит только с сервера - это будет совсем > интересно! :( Клинит именно только с сервера!!!!!! :)))))) Пинговал я с него, со всех остальных машин эти же самые пинги проходят :))))) Завтра попробую поставить какой-нить freeSCO на одной дискете, интересно он будет работать? Просто ради смеха интересно. > Хотя последнее что могу предложить (не зная более подробной > конфигурации вашей системы) посмотреть на движение пакетов tcpdump'ом Хм, интересная мысль. Попробую. > ЗЫ: сильно прошу не пинать > > > x.x.x.16 * 255.255.255.252 U 0 0 0 eth1 > > y.y.y.0 * 255.255.255.224 U 0 0 0 eth0 > > а разве не так должно быть > > > x.x.x.252 * 255.255.255.252 U 0 0 0 eth1 > > y.y.y.224 * 255.255.255.224 U 0 0 0 eth0 Не похоже, потом я же не трогал сами скрипты, прописал настройки карт и поднял network. Initscripts должны быть правильные. ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [mdk-re] Re: [mdk-re] вопрос омаршрутизацмаршрутизаци и 2002-02-19 17:33 ` alex @ 2002-02-20 6:47 ` Maxim Mitrofanov 2002-02-20 11:53 ` alex 0 siblings, 1 reply; 18+ messages in thread From: Maxim Mitrofanov @ 2002-02-20 6:47 UTC (permalink / raw) To: mandrake-russian 19 Февраль 2002 19:58, Вы написали: > > Клинит именно только с сервера!!!!!! :)))))) Пинговал я с него, со всех К стати, в порядке бреда, а не может быть так что пакеты с eth1 отсекаются на машине х.х.х.18 именно только пакеты с -s х.х.х.16/30 а пакеты c y.y.y.0/27 пропускаются. Ведь когда вы пингуете с сервера при наличии ифейса eth1 соурс адрес будет адресом eth1, а если пинги идут из сети то адрес будет y.y.y.0/27. Да еще, пингуя с сервера форвардинга вообще происходить не должно - ведь для сервера х.х.х.16/30 родная подсеть а по терминологии ипчеинсов пинг будет локальным процессом из хавту следует что он будет посылать и принимать пакеты в обход цепочки форвард (посмотрите рисунок в хавту). > остальных машин эти же самые пинги проходят :))))) > Завтра попробую поставить какой-нить freeSCO на одной дискете, интересно > он будет работать? Просто ради смеха интересно. > Да если не напрягает о результате раскажите, лучше наверное оффлист. > > > > > x.x.x.16 * 255.255.255.252 U 0 0 0 eth1 > > > y.y.y.0 * 255.255.255.224 U 0 0 0 eth0 > > > > а разве не так должно быть > > > > > x.x.x.252 * 255.255.255.252 U 0 0 0 eth1 > > > y.y.y.224 * 255.255.255.224 U 0 0 0 eth0 > > Не похоже, потом я же не трогал сами скрипты, прописал настройки карт и > поднял network. Initscripts должны быть правильные. > Даааа, что-то у меня под вечер тоже "снесло" - конечно глупость сморозил, извините. Все правильно ваша подсеть х.х.х.16 eth1 x.x.x.17 адрес шлюза х.х.х.18 -- rgrds Maixm mdk@anker.ru ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [mdk-re] Re: [mdk-re] вопрос омаршрутизацмаршрутизаци и 2002-02-20 6:47 ` Maxim Mitrofanov @ 2002-02-20 11:53 ` alex 0 siblings, 0 replies; 18+ messages in thread From: alex @ 2002-02-20 11:53 UTC (permalink / raw) To: mandrake-russian > > Клинит именно только с сервера!!!!!! :)))))) Пинговал я с него, со > всех > К стати, в порядке бреда, а не может быть так что пакеты с eth1 > отсекаются на машине х.х.х.18 именно только пакеты с -s х.х.х.16/30 а > пакеты c y.y.y.0/27 пропускаются. Ведь когда вы пингуете с сервера при > наличии ифейса eth1 соурс адрес будет адресом eth1, а если пинги идут > из сети то адрес будет y.y.y.0/27. Да еще, пингуя с сервера форвардинга > вообще происходить не должно - ведь для сервера х.х.х.16/30 родная > подсеть а по терминологии ипчеинсов пинг будет локальным процессом из > хавту следует что он будет посылать и принимать пакеты в обход цепочки > форвард (посмотрите рисунок в хавту). А для пинга есть ключик -I с какого интерфейса он шлется. Я пробовал и так и так. > > Завтра попробую поставить какой-нить freeSCO на одной дискете, > интересно > > он будет работать? Просто ради смеха интересно. Получилось очень смешно! :((((((((((( > Да если не напрягает о результате раскажите, лучше наверное оффлист. Почему оффлист, может это интересно! Так вот. поставил замечательный дистрибутивчик freesco......Все тоже самое.(см пинги которые посылал раньше) Некоторые адреса пингуются, а некоторые нет от фонаря! видимо у меня такой замечательный провайдер, либо его цисочники, либо модем, либо вся это технология ADSL, не знаю. Спасибо всем за помощь!!!!!! Алекс. ^ permalink raw reply [flat|nested] 18+ messages in thread
* [mdk-re] Re: [mdk-re] Re: [mdk-re] вопрос омаршрутизацмаршрутизаци и 2002-02-19 12:34 ` [mdk-re] Re: [mdk-re] вопрос омаршрутизацмаршрутизаци и alex 2002-02-19 14:23 ` Maxim Mitrofanov @ 2002-02-19 17:10 ` Чужой 1 sibling, 0 replies; 18+ messages in thread From: Чужой @ 2002-02-19 17:10 UTC (permalink / raw) To: mandrake-russian > Крышу у меня уже срывает от этого роутера, например как можно это > объяснить: > [root@localhost etc]# ipchains -L > Chain input (policy ACCEPT): > Chain forward (policy ACCEPT): > Chain output (policy ACCEPT): > [root@localhost etc]# ping 217.73.192.109 (РАМБЛЕР) > PING 217.73.192.109 (217.73.192.109) from xxxx : 56(84) bytes of data. > > --- 217.73.192.109 ping statistics --- > 10 packets transmitted, 0 received, 100% loss, time 8999ms > > [root@localhost etc]# ping 194.87.0.50 (WWW.RU) > PING 194.87.0.50 (194.87.0.50) from xxxxx : 56(84) bytes of data. > > --- 194.87.0.50 ping statistics --- > 42 packets transmitted, 0 received, 100% loss, time 41016ms > > [root@localhost etc]# ping 195.208.222.110 (ПОЧТОВИК МОЙ) > PING 195.208.222.110 (195.208.222.110) from xxxxx : 56(84) bytes of > data. > 64 bytes from 195.208.222.110: icmp_seq=1 ttl=250 time=13.486 msec > 64 bytes from 195.208.222.110: icmp_seq=2 ttl=250 time=13.402 msec > 64 bytes from 195.208.222.110: icmp_seq=3 ttl=250 time=12.629 msec > 64 bytes from 195.208.222.110: icmp_seq=4 ttl=250 time=12.937 msec > > --- 195.208.222.110 ping statistics --- > 4 packets transmitted, 4 received, 0% loss, time 3033ms > rtt min/avg/max/mdev = 12.629/13.113/13.486/0.367 ms > [root@localhost etc]# ping 217.73.192.91 (ПРОСТО ЖИВАЯ МАШИНА) > PING 217.73.192.91 (217.73.192.91) from xxxx : 56(84) bytes of data. > 64 bytes from 217.73.192.91: icmp_seq=1 ttl=58 time=13.171 msec > 64 bytes from 217.73.192.91: icmp_seq=2 ttl=58 time=12.314 msec > > --- 217.73.192.91 ping statistics --- > 2 packets transmitted, 2 received, 0% loss, time 1005ms > rtt min/avg/max/mdev = 12.314/12.742/13.171/0.443 ms > [root@localhost etc]# ping 195.208.222.106 (ТОЧНО ЖИВОЙ ИЗ ТОЙ ЖЕ СЕТИ) > PING 195.208.222.106 (195.208.222.106) from ччччч : 56(84) bytes of > data. > > --- 195.208.222.106 ping statistics --- > 18 packets transmitted, 0 received, 100% loss, time 17014ms > > > Он что от фонаря некоторые пингует, а некоторые нет!? По-моему тут ответ уже кроется в конфигурации сети... Случайно 195.208.222.110 и 217.73.192.91 не находятся в вашей сети? А то может 217.73.192.91 это внешний адрес компа (одна сетевуха), а внутри вашей сетки этот комп имеет адрес 195.208.222.что_то_там (другая сетевуха)? ^ permalink raw reply [flat|nested] 18+ messages in thread
end of thread, other threads:[~2002-02-20 11:53 UTC | newest] Thread overview: 18+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2002-02-18 13:48 [mdk-re] вопрос о маршрутизацмаршрутизации alex 2002-02-18 23:34 ` [mdk-re] Re: [mdk-re] вопрос омаршрутизацмаршрутизаци и cornet 2002-02-19 6:17 ` Maxim Mitrofanov 2002-02-19 11:04 ` alex 2002-02-19 11:19 ` Maxim Mitrofanov 2002-02-19 11:57 ` [mdk-re] IPCHAINS (by Re:вопрос омаршрутизацмаршрутизаци) Mika 2002-02-19 12:14 ` Peter V. Saveliev 2002-02-19 12:19 ` [mdk-re] IPCHAINS (by Re: вопрос о маршрутизации) Sergey Vlasov 2002-02-19 15:05 ` [mdk-re] IPCHAINS (by Re:вопрос омаршрутизацмаршрутизаци) Maxim Mitrofanov 2002-02-19 17:11 ` [mdk-re] " Чужой 2002-02-19 12:34 ` [mdk-re] Re: [mdk-re] вопрос омаршрутизацмаршрутизаци и alex 2002-02-19 14:23 ` Maxim Mitrofanov 2002-02-19 14:46 ` alex 2002-02-19 16:52 ` Maxim Mitrofanov 2002-02-19 17:33 ` alex 2002-02-20 6:47 ` Maxim Mitrofanov 2002-02-20 11:53 ` alex 2002-02-19 17:10 ` [mdk-re] " Чужой
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git