sslug-teknik team mailing list archive

Thread
Date

kerne 2.4.2 routningsproblem

To: "sslug-teknik@xxxxxxxx" <sslug-teknik@xxxxxxxx>
From: "Kristian F. Høgh" <kfh@xxxxxxxxx>
Date: Mon, 09 Apr 2001 20:52:57 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Organization: EUC Syd

Hej sslug.

Jeg har et (større) problem (opgave)...
Jeg ved ikke hvad jeg skal kalde opggaven. Routning, firewall, service
mm er OK. (kerne/hjerne)
En lille ascii.


    Internet
      _|_
     |___|---- DMZ   (firewall)
       |10.18.0.1     (route add -net 10.28.0.0/15 gw 10.18.0.115)
       |
       |        lokalnet   (10.18.0.0/15)
  -----------------------------------------------------
     |                                         |
     |                                         | server
    _|_10.18.0.115                            _|_10.18.0.116  (default:
10.18.0.1)
   |___|  router (default: 10.18.0.1)        |___|
     | 10.28.1.1
     |
     |          lokalnet2 10.28.0.0/15
  ---|----------------------------------
       |
       |  klient
      _|_ 10.28.1.16 (default: 10.28.1.1)
     |___|


Problemet:
  Jeg kan ping'e mm. fra serveren (10.18.0.116) til klienten
(10.28.1.16).
  Jeg kan *ikke* pinge mm. fra klienten til serveren .....
  Pakkerne går "tabt" i firewall'en. (LÆS: bliver ikke routed)
  Jeg har slettet alle regler i firewallen og sat policy til ACCEPT i
alle kæder.
  Jeg kan vha. "tcpdump -penli eth2" se at pakkerne når frem til
firewallen, den sender dem bare ikke videre.
  Firewall'en kan (selvfølgelig) ping'e begge maskiner.
  Firewall'en kører 2.4.0/alpha, routeren (uskyldig i balladen) kører
2.0.36/i386

Spørgsmål:
   Hvorfor f... kan jeg ping'e fra serveren til klienten, når jeg ikke
kan ping'e den anden vej?
 Svar1: Rout'ning: Nej, routning *bør* virke ved både icmp echo og reply
.....
 Svar2: Firewall: Nej, firewall'en er åben som en si, ingen statefull
eller andet .....
 Svar3. rp_filter el.l: Nej. Er rp_filter el.l. defekt ....?

tcpdump -penli eth2  # på firewall'en   (ping, fra server til klient:)
16:07:... 0:50:4:20:e8:24 0:40:33:d4:b9:cd 0800 98: 10.18.0.116 >
10.28.1.16: icmp: echo request
         (MAC: server -> firewall)
16:07:... 0:40:33:d4:b9:cd 0:60:8:5c:cc:d3 0800 98: 10.18.0.116 >
10.28.1.16: icmp: echo request
         (MAC: firewall -> router)

tcpdump -penli eth2  # på firewall'en   (ping, fra klient til server:)
16:09:... 0:50:4:20:e8:24 0:40:33:d4:b9:cd 0800 98: 10.18.0.116 >
10.28.1.16: icmp: echo reply (DF)
         (MAC: server -> firewall)
(Væk er den pakke ......)

Håber på lidt hjælp.
Inden jeg bliver totalt.... (Og det gør jeg)

Er det kerne eller hjerne???


Kristian Høgh.