hallo,
nachdem ich unseren ex NT rechner auf debian potato umgestellt und einen neuen kernel gebaut habe, will das netzwerk nicht mehr packete in die weite welt lassen. mit einem 2.0.38 funzt alles wunderpraechtig. die config sollte eigentlich stimmen (route und ifconfig). lokale maschinen im subnetz kann ich anpingen. entfernte hosts antworten z.t. auf das erste ping packet. weiterhin kann ich auf dem host mit tcpdump nicht mal meine eigenen pings an einen lokalen rechner sehen, obwohl unser router die sehen kann. da ist doch was in meinem kernel kaputt, oder?
ich habe folgendes probiert:
#ifconfig eth0 down #ifconfig eth0 up 192.168.16.3 netmask 255.255.255.0 # route add default gw 192.168.16.254
# ping 141.30.108.254 /* router hinter dem maskerierenden host (pinguin)*/ --- 141.30.108.254 ping statistics --- 29 packets transmitted, 2 packets received, 93% packet loss round-trip min/avg/max = 3.2/4.3/5.5 ms
pinge ich jedoch die oeffentliche ip unseres maskerierenden hosts an (der wie erwaehnt im selben physikal. netz steht) funzt alles bestens.
wie man sieht geht es ja teilweise. dummerweise gab es beim konfigurieren der neuen debian packete irgendwo einen hinweis auf so ein aehnliches problem. leider habe ich diesem kurzen hinweis nicht genuegend beachtung geschenkt (sprich: ueberlesen - peinlich). koennt ihr mir trotzdem einen tip geben? bei debian habe ich keine info speziell zu potato gefunden, aber das problem muss recht kanonisch sein. in meinem kernel ist speziell in den netzwerk optionen folgendes reinkompiliert: packet socket, unix domain sockets, tcp/ip networking, syncookie support (aber nicht aktiviert), allow large frames.
andre
On Thu, Mar 30, 2000 at 08:25:50PM +0200, Andre Schulze wrote: : mit einem 2.0.38 funzt alles wunderpraechtig. : die config sollte eigentlich stimmen (route und ifconfig). lokale
``sollte'' oder stimmt?
: maschinen im subnetz kann ich anpingen. entfernte hosts antworten z.t. : auf das erste ping packet.
Dann nicht mehr? Macht da jemand Proxy-Arp?
: weiterhin kann ich auf dem host mit tcpdump nicht mal meine eigenen : pings an einen lokalen rechner sehen, obwohl unser router die sehen : kann. da ist doch was in meinem kernel kaputt, oder? : : ich habe folgendes probiert: : : #ifconfig eth0 down : #ifconfig eth0 up 192.168.16.3 netmask 255.255.255.0 : # route add default gw 192.168.16.254 : : # ping 141.30.108.254 /* router hinter dem maskerierenden host (pinguin)*/ : --- 141.30.108.254 ping statistics --- : 29 packets transmitted, 2 packets received, 93% packet loss : round-trip min/avg/max = 3.2/4.3/5.5 ms
Schau' Dir mal die arp-Tablette an. Was ist das fuer ein Router? Auch ein Linux?
: pinge ich jedoch die oeffentliche ip unseres maskerierenden hosts an : (der wie erwaehnt im selben physikal. netz steht) funzt alles bestens.
Der kennt Dich ja auch. Egal welches Interface Du anpingst. Hast Du auf Deiner ex-NT-Maschine irgendwelche Firewall-Rules (ipchains/ipfwadm)?
: aehnliches problem. leider habe ich diesem kurzen hinweis nicht : genuegend beachtung geschenkt (sprich: ueberlesen - peinlich).
Macht nix, ich hab' das noch nie gesehen. Es gibt nur einen Hinweis, dass in Zukunft nicht mehr /etc/init.d/network sondern networking (oder so aehnlich) zustaendig ist.
Was sieht der Router mit tcpdump auf der Innen- und Aussen-Seite von sich, wenn Du versuchst, die Aussenwelt zu erreichen?
Best regards from Dresden/Germany Viele Gruesse aus Dresden Heiko Schlittermann
Heiko Schlittermann wrote:
: die config sollte eigentlich stimmen (route und ifconfig). lokale ``sollte'' oder stimmt?
stimmt insofern, als dass es mit einem 2.0.38 ohne modifik. funktioniert.
: maschinen im subnetz kann ich anpingen. entfernte hosts antworten z.t. : auf das erste ping packet. Dann nicht mehr? Macht da jemand Proxy-Arp?
nein, nur 1-3 packete, proxy-arp mache ich nicht, jemand anderes im selben netz mit hoher wahrscheinlichkeit auch nicht (ich habe leider nur ip's aus einem bestehenden subnetz eines institutes an der fakultaet, deswegen auch die maskerade)
Schau' Dir mal die arp-Tablette an.
lokaler host kennt die mac seines gateways, maskerierender host habe ich vergessen nachzusehen.
Was ist das fuer ein Router? Auch ein Linux?
der router hinter unserem maskerierenden host ist etwas sonderbar. mache ich ein telnet <ip-des-gateway> komme ich auf einem powerhub, der eine andere ip und andere netzwerkadresse hat, an. (lokaler host)->(maskerierender host)->(gateway->powerhub)->dfn(=internet) 192.168.16.3->192.168.16.254/ 141.30.108.193->141.30.108.254->141.30.27.???->0.0.0.0
Hast Du auf Deiner ex-NT-Maschine irgendwelche Firewall-Rules (ipchains/ipfwadm)?
nein, ist gar nicht im kernel drin.
Was sieht der Router mit tcpdump auf der Innen- und Aussen-Seite von sich, wenn Du versuchst, die Aussenwelt zu erreichen?
(lokaler host) -> gateway echo request aber kein reply. muesste nicht imho mein ping 1. als packet zum maskierenden host und 2. als packet zum gateway sichtbar sein? ich hatte nicht genuegend zeit, das problem zu studieren, ein tcpdump auf einem dritten rechner ist sicher hilfreich. weiterhin tritt dieses problem nicht auf, wenn ich der lokalen maschine eine weltweite ip (141.30.108.???) gebe, also nicht maskeriere. meine firewall rules auf dem maskerierenden host habe ich mit z.b.
ipchains -C forward -p 80 -s 192.168.16.3 -d 141.30.67.232 (bzw. -s -d vertauscht fuer antwortpackete)
ueberprueft und habe ein "accepted" bekommen. laeuft die kiste unter nt :-( dann geht die maskerade auch wie mit einem 2.0.38'er
auf dem anderen pc habe ich jetzt auch debian drauf, da baue ich auch mal einen 2.2.14 und sehe, was dort passiert.
andre
lug-dd@mailman.schlittermann.de
-
Andre Schulze -
Heiko Schlittermann -
that's me!