Routerproblem !! Ping in anders NEtz möglich, jedoch kein PING zu öffentlichen IP's

D

dave_magu

Jungspund
Hallo Leute !

Bin gerade dabei mir einen LINUX ROuter aufzusetzen, mal kurz folgendes Szenario geschildert:


SERVER:

eth0 192.168.179.1 => geht zum anderen GATEWAY 192.168.179.254 ==> INTERNET, öffentliches Netz 0.0.0.0/0

eth1 192.168.178.1 => geht in anderes NEtz bspw. Client oder so, ganz egal, in meinem Fall ein Linksys Router, spielt ja aber mal keine ROlle :-)!

OK, soweit so gut, habe meine IPtables und IPv4_forwarding alles soweit aktiviert.

D.h. ich kann von einem Clienten aus dem NETZ 192.168.178.0/24 den Server mit eth0 und/oder eth1 ,,ANPINGEN" sogar darüber hinaus noch über eth0 weiter zu 192.168.179.254 (das andere Gateway) ebenso auch noch andere Systeme im NETZ 192.168.179.0/24 !!

Alles was im NETZ 192.168.179.0/24 liegt hat verbindung über 192.168.179.254 (GAteway und DNS) ins Internet, als auch der Server welcher sich in 2 NEtzen befindet.


====> Wie bereits erwähnt klappt vom NETZ 192.168.178.0/24 in Ping in KOMPLETTE NETZ 192.168.179.0/24 aber NICHT darüber hinaus!!

Also, kein PING web.de oder so !



hier mal meine IPtable !


Code: 
iptables-save
# Generated by iptables-save v1.4.4 on Thu Jan 28 13:33:24 2010
*nat
:PREROUTING ACCEPT [66:6153]
:POSTROUTING ACCEPT [104:8250]
:OUTPUT ACCEPT [675:42427]
-A PREROUTING -d 192.168.179.0/24 -i eth1 -j DNAT --to-destination 192.168.178.1-192.168.178.3 
-A PREROUTING -d 192.168.178.0/24 -i eth1 -j DNAT --to-destination 192.168.179.1-192.168.179.254 
-A POSTROUTING -d 192.168.179.0/24 -o eth0 -j MASQUERADE 
-A POSTROUTING -d 192.168.178.0/24 -o eth1 -j MASQUERADE 
COMMIT
# Completed on Thu Jan 28 13:33:24 2010
# Generated by iptables-save v1.4.4 on Thu Jan 28 13:33:24 2010
*mangle
:PREROUTING ACCEPT [99156:73419841]
:INPUT ACCEPT [99113:73416841]
:FORWARD ACCEPT [43:3000]
:OUTPUT ACCEPT [96574:129389636]
:POSTROUTING ACCEPT [96727:129405620]
COMMIT
# Completed on Thu Jan 28 13:33:24 2010
# Generated by iptables-save v1.4.4 on Thu Jan 28 13:33:24 2010
*filter
:INPUT ACCEPT [453:40517]
:FORWARD ACCEPT [41:2832]
:OUTPUT ACCEPT [96572:129389412]
-A INPUT -s [B]192.168.178.0/32[/B] -i eth1 -j ACCEPT 
-A INPUT -s [B]192.168.179.0/32[/B] -i eth0 -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -[B]d 192.168.178.0/32[/B] -j ACCEPT 
-A FORWARD -d [B]192.168.179.0/32[/B] -j ACCEPT 
COMMIT
# Completed on Thu Jan 28 13:33:24 2010

Wie ich jetzt eben sah, FETT MARKIERT, kann es denn sein dass es an der 32bit notation liegt, denn schließlich ist ja ein OKET der Ip's = komplett 0, somit müsste es doch /24 sein, oder !?



An was kann das liegen, .. bitte um Hilfestellung!


Besten Dank im Voraus !


MfG

Dave
 
Zuletzt bearbeitet:
also 0/32 ist nur ein Host :) und zwra der eigene .... wenn du das gesamte Subnetz abbilden willst mussu /24 machen ja

aber ich werde aus dieser generierten config sowieso nicht schlau :)

wenn es ordentlich sein soll, würde ich dir empfehlen selbst so etwas zu schreiben ... vor allem strukturiert ... sonst hast du nacher einen unermesslichen wartungsaufwand
 
@ Foexle,

danke für die prompte Antwort, das dachte ich mir nun auch schon, habe die Notation wieder auf /24 gestellt, jedoch ohne Erfolg.

Wie gesagt, ins andere NETZ komme ich, allerdings nciht ins INTERNET welches mit dem anderen NEtz verbunden ist !

Vom Server aus ist ein Ping jederzeit zu web.de oder so, möglich !


Code: 
iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.179.0/24 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -d 192.168.178.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.179.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -d 192.168.179.0/24 -j MASQUERADE -o eth0
iptables -t nat -A POSTROUTING -d 192.168.178.0/24 -j MASQUERADE -o eth1
iptables -t nat -A PREROUTING -i eth0 -d 192.168.178.0/24 -j DNAT --to-destination 192.168.179.1 - 192.168.179.254

iptables -t nat -A PREROUTING -i eth1 -d 192.168.179.0/24 -j DNAT --to-destination 192.168.178.1 - 192.168.178.3
 
Zuletzt bearbeitet:
Habs jetzt nur kurz überflogen, aber du willst von deinem Netz über das andere ins Internet?

Mal /proc/sys/net/ipv4/ip_forward aktiviert?
 
jup, ipv4 is aktiviert !!

Code: 
cat /etc/sysctl.conf
#
# /etc/sysctl.conf - Configuration file for setting system variables
# See /etc/sysctl.d/ for additional system variables.
# See sysctl.conf (5) for information.
#

#kernel.domainname = example.com

# Uncomment the following to stop low-level messages on console
#kernel.printk = 4 4 1 7

##############################################################3
# Functions previously found in netbase
#

# Uncomment the next two lines to enable Spoof protection (reverse-path filter)
# Turn on Source Address Verification in all interfaces to
# prevent some spoofing attacks
#net.ipv4.conf.default.rp_filter=1
#net.ipv4.conf.all.rp_filter=1

# Uncomment the next line to enable TCP/IP SYN cookies
# This disables TCP Window Scaling (http://lkml.org/lkml/2008/2/5/167),
# and is not recommended.
#net.ipv4.tcp_syncookies=1

# Uncomment the next line to enable packet forwarding for IPv4
[B][U]net.ipv4.ip_forward=1[/U][/B]

# Uncomment the next line to enable packet forwarding for IPv6
#net.ipv6.conf.all.forwarding=1


###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Ignore ICMP broadcasts
#net.ipv4.icmp_echo_ignore_broadcasts = 1
#
# Ignore bogus ICMP errors
#net.ipv4.icmp_ignore_bogus_error_responses = 1
# 
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0
#
# Do not accept IP source route packets (we are not a router)
#net.ipv4.conf.all.accept_source_route = 0
#net.ipv6.conf.all.accept_source_route = 0
#
# Log Martian Packets
#net.ipv4.conf.all.log_martians = 1
#
# The contents of /proc/<pid>/maps and smaps files are only visible to 
# readers that are allowed to ptrace() the process
# kernel.maps_protect = 1

also:

der SERVER hat eth0 und eth1

eth0 mit 192.168.179.1 ====> geht zum anderen Gateway mit DNS, ins Internet
eth1 mit 192.168.178.1 ===> geht zu den Clienten

Über einen Clienten im NETZ 192.168.178.0 kann ich jegliches Device im NETZ 192.168.179.0 anpingen.

KAnn aber kein ÖFFENTLICHES ANPINGEN wie WEb.de oder so.

VOm Server selbst aus habe ich ZUgriff aufs INternet !

Beim Ping vom CLIENTEN aus zeigt er mir komischerweise die IP des zu pingenden HOSTS an, ... KEINE AUNG woher er die IP bekommt, wo/wie aufgelöst wird, .. und dennoch kein PING stattfindet !

Code: 
root@wrt54glhtc:/etc# ping web.de
PING web.de (217.72.195.42): 56 data bytes
 
Zuletzt bearbeitet:
ES FUNKTIONIERT !!!!!


Hallo, für all diejenigen welche auch mit Routing Probleme haben/haben werden, ... hier mal ein Auszug meiner Routingtabellen am Client und mal am Server.

Des Weiteren unten noch der Auszug der IPTABLES:

am CLIENT ( es sei erwähnt dass es sich um einen WLAN-ROUTER handelt):

Code: 
root@wrt54glhtc:/etc# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 br0
192.168.182.0   0.0.0.0         255.255.255.0   U     0      0        0 tun0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 br0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         192.168.178.1   0.0.0.0         UG    0      0        0 br0


am SERVER:

Code: 
root@serverhtc:~# route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.179.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth1
0.0.0.0         192.168.179.254 0.0.0.0



root@serverhtc:~# iptables-save

Code: 
# Generated by iptables-save v1.4.4 on Thu Jan 28 18:06:38 2010
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -d 192.168.179.0/24 -i eth1 
-A PREROUTING -d 192.168.178.0/24 -i eth0 
-A PREROUTING -j ACCEPT 
-A POSTROUTING -o eth0 -j MASQUERADE 
-A POSTROUTING -d 192.168.178.0/24 -o eth1 
-A POSTROUTING -j ACCEPT 
-A OUTPUT -j ACCEPT 
COMMIT
# Completed on Thu Jan 28 18:06:38 2010
# Generated by iptables-save v1.4.4 on Thu Jan 28 18:06:38 2010
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [4401:4059191]
:FORWARD ACCEPT [2:152]
:OUTPUT ACCEPT [4032:7693656]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -j ACCEPT 
-A POSTROUTING -j ACCEPT 
COMMIT
# Completed on Thu Jan 28 18:06:38 2010
# Generated by iptables-save v1.4.4 on Thu Jan 28 18:06:38 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -s 192.168.178.0/24 -i eth1 
-A INPUT -s 192.168.179.0/24 -i eth0 
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED 
-A INPUT -j ACCEPT 
-A FORWARD -m state --state RELATED,ESTABLISHED 
-A FORWARD -d 192.168.178.0/24 
-A FORWARD -d 192.168.179.0/24 
-A FORWARD -j ACCEPT 
-A OUTPUT -j ACCEPT 
COMMIT
# Completed on Thu Jan 28 18:06:38 2010


Das Szenario hierzu ist in diesem Thread mehrmals genannt !!


:D:D
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.

Ähnliche Themen

Port Forwarding mit iptables
Port Forwarding mit iptables: Hallo beisammen, ich würde gerne von A nach B den SMTP Port weiterleiten - als Port Forwarding. Ich habe folgendes auf A versucht: iptables -t nat -A...

ip6tables Problem
ip6tables Problem: Hallo zusammen, ich hab ein Problem kann aber keinen Fehler finden, äußert sich wie folgt, ich habe endlich für ein System in Netz eine IPv6 bekommen und...

[SOLVED][CentOS 7] Samba server nicht erreichbar trotz firewall regeln.
[SOLVED][CentOS 7] Samba server nicht erreichbar trotz firewall regeln.: Hallo zusammen, ich habe auf einem XenServer (CentOS 7) einen Samba Server installiert und eingerichtet. Ich habe auch entsprechende Regeln in die...

Wired-Lan komisches Verhalten
Wired-Lan komisches Verhalten: Hallo zusammen, ich hab bei meinem router ein sehr komisches Verhalten festgestellt. Leider lässt es sich nicht einfach reproduzieren, weil manchmal geht es...

iptables und whitelist
iptables und whitelist: Moin zusammen, Nach einer Ewigkeit melde ich mich mal hier zurück. Ich hab da so ein kleines Problemchen. Ich mach z.Zt. eine Umschulung zum...

Neueste Beiträge

Neueste Themen

Zurück
Oben