Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[SOLVED]maskarada -nie zawsze dziala
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Polskie forum (Polish)
View previous topic :: View next topic  
Author Message
misterLu
Guru
Guru


Joined: 14 Sep 2003
Posts: 430
Location: Poland

PostPosted: Sat Feb 14, 2004 1:30 pm    Post subject: [SOLVED]maskarada -nie zawsze dziala Reply with quote

Mam gentoo na serwerze. Do tego NEO+ (sagem shit 800 USB). Czasami z kompa wew. domowej sieci, za sprawa maskarady, nie moge wejsc na niektore serwery. Jesli sie ssh-uje na moja bramke, to za pomoca Linksa2 moge wejsc na te strony (polaczyć sie z tymi serwerami).
Ktos mi to wyjasni?


Last edited by misterLu on Sun Feb 22, 2004 5:58 pm; edited 1 time in total
Back to top
View user's profile Send private message
czestmir
n00b
n00b


Joined: 30 Jan 2004
Posts: 38
Location: RH16 1LS

PostPosted: Sat Feb 14, 2004 6:21 pm    Post subject: maskarada Reply with quote

pierwsze co mi przychodzi do głowy to DNS czy są te same na serverze i kompach w sieci.

2) o ile dobrze zrozumiałem to dzieje się tak czasami może więc ustal
- czy na wszystkich kompach
- czy dokładnie w tym samym czasie niedziała na kompie w sieci
co na serverze
3) przejrzyj logi może one coś wyjaśnią

to tyle co mi przychodzi do głowy

PS. Podobno TPSA przy nadawaniu IP z DHCP używa klas 83.x.x.x co równierz może być przyczyną

Pozdrawiam
czestmir
Back to top
View user's profile Send private message
misterLu
Guru
Guru


Joined: 14 Sep 2003
Posts: 430
Location: Poland

PostPosted: Sun Feb 15, 2004 1:37 pm    Post subject: Re: maskarada Reply with quote

czestmir wrote:
pierwsze co mi przychodzi do głowy to DNS czy są te same na serverze i kompach w sieci.

są te same (tpsa-owe)
czestmir wrote:

2) o ile dobrze zrozumiałem to dzieje się tak czasami może więc ustal
- czy na wszystkich kompach

na wszystkich :(
czestmir wrote:

- czy dokładnie w tym samym czasie niedziała na kompie w sieci
co na serverze

Jeszcze sie nie zdarzyło, zeby przy połączeniu z serwera nie zadziałało.
czestmir wrote:

3) przejrzyj logi może one coś wyjaśnią

nie bardzo mam pomysl gdzie zajrzec, Poprostu te kompy nie odpowiadają na
żądanie wyslane z sieci wew. Jak wysylam żądanie z serwera, to wszystko jest OK
czestmir wrote:

PS. Podobno TPSA przy nadawaniu IP z DHCP używa klas 83.x.x.x co równierz może być przyczyną

mam neo+ , jeszcze nie dostalem adresu innego niz z rodziny 80.50 lub 80.54.

pozdrawiam, ludwik
Back to top
View user's profile Send private message
czestmir
n00b
n00b


Joined: 30 Jan 2004
Posts: 38
Location: RH16 1LS

PostPosted: Mon Feb 16, 2004 10:05 pm    Post subject: Reply with quote

Witam
Pozostają jeszcze logi na serwerze spróbuj zobaczyć co dzieje sie w czasie braku dostępu do netu (/var/log/messages - albo jakoś tak)

Pozdrawiam
czestmir
Back to top
View user's profile Send private message
Starko
n00b
n00b


Joined: 16 Feb 2004
Posts: 2

PostPosted: Mon Feb 16, 2004 11:27 pm    Post subject: Reply with quote

Jeżeli to jest to o czym myślę, to problem tkwi w różnych wartościach MTU dla interfejsu ppp i eth. MTU dla ppp = 1492, a dla eth domyslnie 1500. Najprosciej na kazdym z kompow w sieci zmienic MTU wlasnie na 1492 (chyba ifconfig eth0 mtu=1492). Dla windowsow sa do tego specjalne programy, pogoogluj.
A ustawienia dla iptables na serwerze znajdziesz np tutaj:
http://neostrada.info/instalacja.php?instalacja=sagem_slackware

starko
_________________
Slackware user :]
Back to top
View user's profile Send private message
Dagger
Retired Dev
Retired Dev


Joined: 11 Jun 2003
Posts: 765
Location: UK

PostPosted: Tue Feb 17, 2004 6:15 am    Post subject: Reply with quote

To kawalek z mojej starej konfiguracji firewalla. SPrawdz i zobacz czy wszystko Ci juz dziala:

#!/bin/bash
#
# Masq script
#
# Starting Internet Connection sharing.
# PPP0 - Internet interface
# ETH0 - Local interface
# Written for Gentoo Linux.
#
# Autor: Robert Piasek dagger@vico.pl

USER=root
DATA=`date`
IPAD=`cat /etc/masq/ipsave.txt`

case "$1" in
start)
# echo -n 'Starting internet connection sharing. '

echo "1" > /proc/sys/net/ipv4/ip_forward

# First of all we need to load some modules.
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp

# Its time to flush all tables.
/sbin/iptables -F
/sbin/iptables -F -t nat

# By default we do not allow anything to pass.
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP

# We give lo special rights
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -A FORWARD -o lo -j ACCEPT


# We allow transfer to local network
/sbin/iptables -A INPUT -i eth0 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -j ACCEPT

# Now we need to block with ICMP Port Unreachable SOCKS and INETD requests
/sbin/iptables -A INPUT -p tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable
/sbin/iptables -A INPUT -p tcp --dport 1080 -j REJECT --reject-with icmp-port-unreachable

# We accept all pings.
/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT

# Some services like www or DNS need to get throught
TCP_SERVICES_ALLOWED=7,21,22,25,80,115,209,443,993,995,4001,4662,5901

/sbin/iptables -A INPUT -p tcp -d 0/0 -m multiport --destination-port $TCP_SERVICES_ALLOWED -j ACCEPT

#Special rights for ICMP protocol

# We accept all connection witch was already established
/sbin/iptables -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED
/sbin/iptables -A INPUT -p udp -j ACCEPT -m state --state ESTABLISHED
/sbin/iptables -A INPUT -p icmp -j ACCEPT -m state --state ESTABLISHED,RELATED,NEW

/sbin/iptables -A FORWARD -p tcp -j ACCEPT -m state --state ESTABLISHED,RELATED
/sbin/iptables -A FORWARD -p udp -j ACCEPT -m state --state ESTABLISHED
/sbin/iptables -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED,RELATED,NEW

/sbin/iptables -A OUTPUT -p tcp -j ACCEPT -m state --state ESTABLISHED,RELATED
/sbin/iptables -A OUTPUT -p udp -j ACCEPT -m state --state ESTABLISHED
/sbin/iptables -A OUTPUT -p icmp -j ACCEPT -m state --state ESTABLISHED,RELATED,NEW


# Its list of ports with we will accept
# 4242,4662-eMule; 3770-PM Voice server; 4001-Q6 Voice server; 8245-noip client; 873-rsync; 4242-ProbenPricne mule server; 4661-Razorback mule server;
TCP_OUT_ALLOWED=80,8080,21,22,995,25,53,23,119,6667,443,1863
TCP_OUT_ALLOWED2=4001,8245,873,28070,4000,4242,4661,4662,7,3770,6073,2302
UDP_OUT_ALLOWED=123,7,53,4001,3770,4662,2302

/sbin/iptables -A OUTPUT -o ppp0 -p tcp -j ACCEPT -m state --state NEW -m multiport --destination-port $TCP_OUT_ALLOWED
/sbin/iptables -A OUTPUT -o ppp0 -p tcp -j ACCEPT -m state --state NEW -m multiport --destination-port $TCP_OUT_ALLOWED2
/sbin/iptables -A OUTPUT -o ppp0 -p udp -j ACCEPT -m state --state NEW -m multiport --destination-port $UDP_OUT_ALLOWED

#Lionheart local game ports
/sbin/iptables -A FORWARD -i eth0 -p tcp -j ACCEPT -m multiport --destination-port 47624,26784,6073
/sbin/iptables -A FORWARD -i eth0 -p udp -j ACCEPT -m multiport --destination-port 47624,26784,6073

#Homeworld2 ports
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 2300:2400 -j ACCEPT
# /sbin/iptables -t nat -A PREROUTING -p tcp -d 80.54.153.55/32 --dport 6073 -j DNAT --to-destination 192.168.1.254

#JO and JA ports
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 28060:28080 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p udp --dport 28060:28080 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 29060:29080 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p udp --dport 29060:29080 -j ACCEPT

/sbin/iptables -I FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
/sbin/iptables -A FORWARD -o ppp0 -p tcp -j ACCEPT -m state --state NEW -m multiport --destination-port $TCP_OUT_ALLOWED
/sbin/iptables -A FORWARD -o ppp0 -p tcp -j ACCEPT -m state --state NEW -m multiport --destination-port $TCP_OUT_ALLOWED2
/sbin/iptables -A FORWARD -o ppp0 -p udp -j ACCEPT -m state --state NEW -m multiport --destination-port $UDP_OUT_ALLOWED


# Now its time to forward some ports.
#/sbin/iptables -t nat -A PREROUTING -p tcp -d $IPAD --dport 412 -j DNAT --to-destination 192.168.1.254
#/sbin/iptables -t nat -A PREROUTING -p tcp -d 0/0 --dport 412 -j DNAT --to-destination 192.168.1.254

# Masquerade to local network
/sbin/iptables -t nat -A POSTROUTING -p all -s 192.168.1.0/24 -j MASQUERADE

# We need to logg all packetes with wasnt accepted by aby rule.
/sbin/iptables -A INPUT -j LOG -m limit --limit 50/hour
/sbin/iptables -A OUTPUT -j LOG -m limit --limit 50/hour
/sbin/iptables -A FORWARD -j LOG -m limit --limit 50/hour

# echo
echo "$DATA - Setting up internet connection sharing." >> /var/log/masq.log
;;
stop)
# echo -n 'Stopping internet connection sharing. '
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -F INPUT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -F OUTPUT
/sbin/iptables -P FORWARD DROP
/sbin/iptables -F FORWARD
/sbin/iptables -A FORWARD -i eth0 -o eth1 -j DROP

# echo
echo "$DATA - Stopping internet connection sharing." >> /var/log/masq.log
;;
*)
echo "Usage: ./rc.masq {start|stop}"
exit 1
esac

exit 0
Back to top
View user's profile Send private message
Dagger
Retired Dev
Retired Dev


Joined: 11 Jun 2003
Posts: 765
Location: UK

PostPosted: Tue Feb 17, 2004 6:17 am    Post subject: Reply with quote

Przypuszczalnie chodzi o linijke:
/sbin/iptables -I FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Back to top
View user's profile Send private message
Starko
n00b
n00b


Joined: 16 Feb 2004
Posts: 2

PostPosted: Tue Feb 17, 2004 10:28 am    Post subject: Reply with quote

Hm, niby wszędzie piszą że to właśnie trzeba dopisać żeby neo działało w sieci lokalnej, ale niestety u mnie to nie pomogło. Dopiero zmiana wartości mtu na każdym kompie coś dała.

starko
_________________
Slackware user :]
Back to top
View user's profile Send private message
misterLu
Guru
Guru


Joined: 14 Sep 2003
Posts: 430
Location: Poland

PostPosted: Sun Feb 22, 2004 5:58 pm    Post subject: Reply with quote

i u mnie ustawienie mtu (Maximum transfer Unit) na 1492 na każdym kompie pomogło.
Jesli ktos chce wiedziec dlaczego, to tu jest wszystko klarownie wyjasnione:
http://www.spoko.neostrada.pl/DSL-HOWTO.html
dzieki za pomoc. Wszystko juz OK.
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Polskie forum (Polish) All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum