[Comm] routing

[Comm] routing

[Sergey Degtyaryov]

Доброго дня.

Вот, пересылаю письмо товарища, которому внедряли Linux на
производство.
В скобках -- мои примечания. Предоставлю любую другую информацию.

== 8< cut
есть локальная сеть:
    ~50 машин (реальные IP x.x.x.4-60) --> свич -->
    --> выделенный модем(x.x.x.1) --> инет

между свичем и модемом вставляется фаервол в виде машины с 2-мя
сетевухами:
    ~50 машин (рельные IP x.x.x.4-60) --> свич -->
    --> (x.x.x.5)FIREWALL(x.x.x.2) --> 
    --> выделенный модем(x.x.x.1) --> инет
FireWall - Linux (ALM2, причем, скорее роутер, чем файрвол =) ).

эффект:
1. где-то на половине машин после этого перестает пинговаться модем на
x.x.x.1
2. пингуется модем на машинах которые были выключены до появления
файрвола или не обращались в инет давно
3. некоторые машинки со временм начинают внезапно видеть модем (1-5
часов), некоторые нет
4. системы на машинах которые видят модем - win98, win2000, winXP
6. системы на машинах которые НЕ видят модем - win98, win2000, winXP
7. но WWW работает у всех, потому как 80 порт идет принудительно через
сквид, который поднят на фаирволе. 
(тут я ему завернул запросы на 80 порт посредством iptables).
вопрос: 
как заставить все машины в сети пинговать модем?

== 8<

По виду -- какие-то застарелые данные мешают. Включали это машину
несколько раз. Времени на все это много нет, так что в случае неудачи
в течение 2-3 часов, выключали все на исходную позицию. Один раз был
успешным (ставили сей роутер при выключенных важных серверах внутри
сетки (какие-то праздники были) ). Но через два месяца сгорел модем и
на время сеть была разобрана. После сборки имеем описанную ситуацию.
Так что пока пришлось оставить этот linux одним шнурком в сеть, а
интернет всем дать прямиком.

-- 
Rgds, Сергей Дегтярев
[maga@localhost]$ /usr/games/fortune
Новая услуга:
Вулканизация и монтаж презервативов

Re: [Comm] routing

[vic ismakaev]

18 Декабрь 2002 15:30, Sergey Degtyaryov написал:
> Доброго дня.
>
> Вот, пересылаю письмо товарища, которому внедряли Linux на
> производство.
> В скобках -- мои примечания. Предоставлю любую другую информацию.
>
> == 8< cut
> есть локальная сеть:
>     ~50 машин (реальные IP x.x.x.4-60) --> свич -->
>     --> выделенный модем(x.x.x.1) --> инет
>
> между свичем и модемом вставляется фаервол в виде машины с 2-мя
> сетевухами:
>     ~50 машин (рельные IP x.x.x.4-60) --> свич -->
>     --> (x.x.x.5)FIREWALL(x.x.x.2) -->
>     --> выделенный модем(x.x.x.1) --> инет
> FireWall - Linux (ALM2, причем, скорее роутер, чем файрвол =) ).
>
> эффект:
> 1. где-то на половине машин после этого перестает пинговаться модем на
> x.x.x.1
> 2. пингуется модем на машинах которые были выключены до появления
> файрвола или не обращались в инет давно
> 3. некоторые машинки со временм начинают внезапно видеть модем (1-5
> часов), некоторые нет
> 4. системы на машинах которые видят модем - win98, win2000, winXP
> 6. системы на машинах которые НЕ видят модем - win98, win2000, winXP
> 7. но WWW работает у всех, потому как 80 порт идет принудительно через
> сквид, который поднят на фаирволе.
> (тут я ему завернул запросы на 80 порт посредством iptables).
> вопрос:
> как заставить все машины в сети пинговать модем?
>
> == 8<
>
> По виду -- какие-то застарелые данные мешают. Включали это машину
> несколько раз. Времени на все это много нет, так что в случае неудачи
> в течение 2-3 часов, выключали все на исходную позицию. Один раз был
> успешным (ставили сей роутер при выключенных важных серверах внутри
> сетки (какие-то праздники были) ). Но через два месяца сгорел модем и
> на время сеть была разобрана. После сборки имеем описанную ситуацию.
> Так что пока пришлось оставить этот linux одним шнурком в сеть, а
> интернет всем дать прямиком.
У меня скорее гипотетические догадки,чем конкретные наводящие вопросы,но все 
же.
1.  Виндюки не конфликтуют по IPадресам?
2. Шлюзы у них не сбиваются?
3. Нет ли в сети где DHCP-сервера?
4. Может где включена динамическая маршрутизация?
5. А может сами винды поставлены с кривого дистрибутива?
6. Может все дело в свитче? При большой нагрузке начинает дурить или еще что.

-- 
С уважением
Виктор В Исмакаев

Re: [Comm] routing

[Sergey Degtyaryov]

Доброго дня, vic ismakaev.
Wed, 18 Dec 2002 16:55:36 +0500  Вы сказали буквально следующее:
> > как заставить все машины в сети пинговать модем?

> > По виду -- какие-то застарелые данные мешают. Включали это машину

> У меня скорее гипотетические догадки,чем конкретные наводящие
> вопросы,но все же.
> 1.  Виндюки не конфликтуют по IPадресам?
> 2. Шлюзы у них не сбиваются?
> 3. Нет ли в сети где DHCP-сервера?
> 4. Может где включена динамическая маршрутизация?
> 5. А может сами винды поставлены с кривого дистрибутива?
> 6. Может все дело в свитче? При большой нагрузке начинает дурить или
> еще что.

У всех только догадки, сжл. =(

1-5 - нет
6 - думали уже об этом, 
а почему тогда обратный переход (когда вырубаешь фаервал) просходит
сразу же и у всех машин что работали под фаирвалом?

-- 
Rgds, Сергей Дегтярев
[maga@localhost]$ /usr/games/fortune

Re: [Comm] routing

[Sergey V. Golovin]

On 18 Dec Wed 13:30, Sergey Degtyaryov wrote:
> == 8< cut
> есть локальная сеть:
>     ~50 машин (реальные IP x.x.x.4-60) --> свич -->
>     --> выделенный модем(x.x.x.1) --> инет
> 
> между свичем и модемом вставляется фаервол в виде машины с 2-мя
> сетевухами:
>     ~50 машин (рельные IP x.x.x.4-60) --> свич -->
>     --> (x.x.x.5)FIREWALL(x.x.x.2) --> 
>     --> выделенный модем(x.x.x.1) --> инет
> FireWall - Linux (ALM2, причем, скорее роутер, чем файрвол =) ).
> 
> эффект:
> 1. где-то на половине машин после этого перестает пинговаться модем на
> x.x.x.1

А Default Gateway какой на вин-машинах и одинаковый у всех?
Есть ли машинка с адресом x.x.x.4?

-- 
Sergey V. Golovin

Re: [Comm] routing

[Sergey Degtyaryov]

Доброго дня, Sergey V. Golovin.
Wed, 18 Dec 2002 17:27:03 +0400  Вы сказали буквально следующее:

> On 18 Dec Wed 13:30, Sergey Degtyaryov wrote:
> > == 8< cut
> > есть локальная сеть:
> >     ~50 машин (реальные IP x.x.x.4-60) --> свич -->
> >     --> выделенный модем(x.x.x.1) --> инет
> > 
> > между свичем и модемом вставляется фаервол в виде машины с 2-мя
> > сетевухами:
> >     ~50 машин (рельные IP x.x.x.4-60) --> свич -->
> >     --> (x.x.x.5)FIREWALL(x.x.x.2) --> 
> >     --> выделенный модем(x.x.x.1) --> инет
> > FireWall - Linux (ALM2, причем, скорее роутер, чем файрвол =) ).
> > 
> > эффект:
> > 1. где-то на половине машин после этого перестает пинговаться модем на
> > x.x.x.1
> 
> А Default Gateway какой на вин-машинах и одинаковый у всех?
> Есть ли машинка с адресом x.x.x.4?

одинаковый, как раз он и есть - x.x.x.1
адреса .4 в сети нет


-- 
Rgds, maga, maga@mail.ru
[maga@localhost]$ /usr/games/fortune

Re: [Comm] routing

[Sergey V. Golovin]

On 18 Dec Wed 16:43, Sergey Degtyaryov wrote:
> одинаковый, как раз он и есть - x.x.x.1
> адреса .4 в сети нет

Так в позе с файрволлом же должен быть х.х.х.5 или уже
вечер и мне пора домой?

-- 
Sergey V. Golovin

Re: [Comm] routing

[Dmytro O. Redchuk]

On Wed, Dec 18, 2002 at 01:30:50PM +0300, Sergey Degtyaryov wrote:
> 
> эффект:
> 1. где-то на половине машин после этого перестает пинговаться модем на
> x.x.x.1
> 2. пингуется модем на машинах которые были выключены до появления
> файрвола или не обращались в инет давно
> 3. некоторые машинки со временм начинают внезапно видеть модем (1-5
> часов), некоторые нет
> 4. системы на машинах которые видят модем - win98, win2000, winXP
> 6. системы на машинах которые НЕ видят модем - win98, win2000, winXP
> 7. но WWW работает у всех, потому как 80 порт идет принудительно через
> сквид, который поднят на фаирволе. 
> (тут я ему завернул запросы на 80 порт посредством iptables).
> вопрос: 
> как заставить все машины в сети пинговать модем?
> 
> == 8<
> 

:-|

Я бы покопался на предмет arp'а
и попытался отснортить (оттисипидампить) icmp пакеты (редиректы и все
destination-unreachable).
Или оставил arp напоследок :-)

> 
> -- 
> Rgds, Сергей Дегтярев
-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk

Re: [Comm] routing

[Sergey Degtyaryov]

Доброго дня, Dmytro O. Redchuk.
Wed, 18 Dec 2002 16:02:50 +0200  Вы сказали буквально следующее:

> On Wed, Dec 18, 2002 at 01:30:50PM +0300, Sergey Degtyaryov wrote:
> > 
> > эффект:
> > 1. где-то на половине машин после этого перестает пинговаться модем на
> > x.x.x.1
> :-|
> 
> Я бы покопался на предмет arp'а
> и попытался отснортить (оттисипидампить) icmp пакеты (редиректы и все
> destination-unreachable).
> Или оставил arp напоследок :-)

arpproxy работает.
Пинг ходит до _обоих_ интерфейсов роутера.

-- 
Rgds, maga, maga@mail.ru
[maga@localhost]$ /usr/games/fortune
С раскрытым ртом слушает свою жену Сысой Сидорович Свиридов,
чтобы звуковое давление на ушные перепонки снаружи и изнутри было одинаковым.

Re: [Comm] routing

[Sergey Degtyaryov]

Доброго дня, Sergey V. Golovin.
Wed, 18 Dec 2002 18:02:43 +0400  Вы сказали буквально следующее:

> On 18 Dec Wed 16:43, Sergey Degtyaryov wrote:
> > одинаковый, как раз он и есть - x.x.x.1
> > адреса .4 в сети нет
> 
> Так в позе с файрволлом же должен быть х.х.х.5 или уже
> вечер и мне пора домой?

С arp (arp-прокси), видимо, не имеет значения.
Физический обход разбросанных по зданию машинок будем считать
невозможным.

-- 
Rgds, Сергей Дегтярев
[maga@localhost]$ /usr/games/fortune
Программмистика - учение о глюках,
  багах и других потусторонних силах.

Re: [Comm] routing

[Dmytro O. Redchuk]

On Wed, Dec 18, 2002 at 05:25:50PM +0300, Sergey Degtyaryov wrote:
> Доброго дня, Dmytro O. Redchuk.
> Wed, 18 Dec 2002 16:02:50 +0200  Вы сказали буквально следующее:
> 
> > On Wed, Dec 18, 2002 at 01:30:50PM +0300, Sergey Degtyaryov wrote:
> > > 
> > > эффект:
> > > 1. где-то на половине машин после этого перестает пинговаться модем на
> > > x.x.x.1
> > :-|
> > 
> > Я бы покопался на предмет arp'а
> > и попытался отснортить (оттисипидампить) icmp пакеты (редиректы и все
> > destination-unreachable).
> > Или оставил arp напоследок :-)
> 
> arpproxy работает.
> Пинг ходит до _обоих_ интерфейсов роутера.
Я, наверное, почистил бы arp кеши на рутере и отдельно взятой виндовой
машине, попросил snort'а выбрасывать в меня всё, что относится к arp, а
также все пакеты icmp[0]=3 (или как там? -- destination-unreachable, I
mean) и запустил бы пинг... На x.x.x.1, конечно.
И посмотрел бы в arp таблицы потом.

(И сообщил бы результаты, наверное:)

А "пинг не ходит" -- это что? С какой диагностикой?
> 
> -- 
> Rgds, maga, maga@mail.ru
-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk

Re: [Comm] routing

[Sergey Degtyaryov]

Доброго дня, Dmytro O. Redchuk.
Wed, 18 Dec 2002 16:40:18 +0200  Вы сказали буквально следующее:

> On Wed, Dec 18, 2002 at 05:25:50PM +0300, Sergey Degtyaryov wrote:
> > Доброго дня, Dmytro O. Redchuk.
> > Wed, 18 Dec 2002 16:02:50 +0200  Вы сказали буквально следующее:
> > 
> > > On Wed, Dec 18, 2002 at 01:30:50PM +0300, Sergey Degtyaryov
> > > wrote:
> > > > 
> > > > эффект:
> > > > 1. где-то на половине машин после этого перестает пинговаться
> > > > модем на x.x.x.1
> > > :-|
> > > 
> > > Я бы покопался на предмет arp'а
> > > и попытался отснортить (оттисипидампить) icmp пакеты (редиректы
> > > и все destination-unreachable).
> > > Или оставил arp напоследок :-)
> > 
> > arpproxy работает.
> > Пинг ходит до _обоих_ интерфейсов роутера.
> Я, наверное, почистил бы arp кеши на рутере и отдельно взятой
> виндовой

Кэши, да, чистили. Везде.

> машине, попросил snort'а выбрасывать в меня всё, что относится к
> arp, а также все пакеты icmp[0]=3 (или как там? --
> destination-unreachable, I mean) и запустил бы пинг... На x.x.x.1,
> конечно. И посмотрел бы в arp таблицы потом.
> 
> (И сообщил бы результаты, наверное:)

> А "пинг не ходит" -- это что? С какой диагностикой?

Все ближе к вечеру, как народ разойдется. Проблема в том, что хозяин
сетки при включении роутера оказывается внутри, а я -- снаружи =)

-- 
Rgds, Сергей Дегтярев
[maga@localhost]$ /usr/games/fortune
Поздpавляем! Вы пpошли Windows! Hачать новую игpу?

Re: [Comm] routing

[Dmytro O. Redchuk]

On Wed, Dec 18, 2002 at 06:05:52PM +0300, Sergey Degtyaryov wrote:
> > Я, наверное, почистил бы arp кеши на рутере и отдельно взятой
> > виндовой
> 
> Кэши, да, чистили. Везде.
> 
> > машине, попросил snort'а выбрасывать в меня всё, что относится к
> > arp, а также все пакеты icmp[0]=3 (или как там? --
> > destination-unreachable, I mean) и запустил бы пинг... На x.x.x.1,
> > конечно. И посмотрел бы в arp таблицы потом.

Та не, это всё надо одной транзакцией :-)

> > (И сообщил бы результаты, наверное:)
> 
> -- 
> Rgds, Сергей Дегтярев
-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk


Internet exceeded Luser level, please wait until a luser logs off
before attempting to log back on.