[+] Problem z otwieraniem stron (iptables?)

WiCiO_MeDi - 08-04-2010 11:17
Witam!

Od pewnego czasu przestały nam się w biurze otwierać NIEKTÓRE strony internetowe. Mamy w firmie postawiony serwer na Debian 5.0, do którego podłączony jest modem ADSL przez LAN. Wszystkie komputery są podłączone do rutera (AirLive z Tomato). W sieci mamy dwie bramy do internetu: jedna z serwera a druga bezpośrednio z AP (wifi). Wszystkie strony się otwierają w konsoli linuksa, natomiast już na komputerach w sieci jest problem. Na drugiej bramie oczywiście wszystko chodzi. Komputery w firmie są z różnymi systemami Windows, więc problem MUSI leżeć po stronie serwera.
Najprawdopodobniej coś nie tak z rutingiem w iptables.
Mam też zainstalowany pakiet denyhost, ale jak by to była jego wina to by na linuksie też strony nie chodziły..
Proszę o pomoc :)

iptables --list

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
LOG all -- loopback/8 anywhere LOG level warning
DROP all -- loopback/8 anywhere
ACCEPT all -- anywhere 255.255.255.255
ACCEPT all -- 192.168.1.0/24 anywhere
ACCEPT !tcp -- anywhere BASE-ADDRESS.MCAST.NET/4
LOG all -- 192.168.1.0/24 anywhere LOG level warning
DROP all -- 192.168.1.0/24 anywhere
ACCEPT all -- anywhere 255.255.255.255
ACCEPT all -- anywhere 213-238-86-206.adsl.inetia.pl
LOG all -- anywhere anywhere LOG level warning
DROP all -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- 192.168.1.0/24 anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
LOG all -- anywhere 192.168.1.0/24 LOG level warning
DROP all -- anywhere 192.168.1.0/24
LOG all -- anywhere anywhere LOG level warning
DROP all -- anywhere anywhere

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere 255.255.255.255
ACCEPT all -- anywhere 192.168.1.0/24
ACCEPT !tcp -- anywhere BASE-ADDRESS.MCAST.NET/4
LOG all -- anywhere 192.168.1.0/24 LOG level warning
DROP all -- anywhere 192.168.1.0/24
ACCEPT all -- anywhere 255.255.255.255
ACCEPT all -- 213-238-86-206.adsl.inetia.pl anywhere
LOG all -- anywhere anywhere LOG level warning
DROP all -- anywhere anywhere

grzesiek - 08-04-2010 11:41
Jeżeli reguły nie były zmieniane i nagle coś nie tak, to wątpię że to ich wina. Najprostszy test to wyłączenie zapory i sprawdzenie czy problem dalej występuje. Najpierw to sprawdź.

WiCiO_MeDi - 08-04-2010 12:25
Jakiej zapory? To jest zwykły ruting, więc jak go wyłączę to przecież komputery w sieci w ogóle internetu nie będą miały.

grzesiek - 08-04-2010 13:25
To reguł udostępniających połączenie nie usuwaj. Chodzi o to, aby nic nie blokować!

WiCiO_MeDi - 08-04-2010 13:31
Tylko ja nie widzę gdzie tu jest coś blokowanego :)

grzesiek - 08-04-2010 15:16
Skoro nie widzisz, to w inny sposób iptables nie może się przyczynić do tego, że niektóre stronki nie działają :) I po temacie!

WiCiO_MeDi - 08-04-2010 15:24
Temat będzie dopóki stronki będą blokowane. Ja tylko zasugerowałem iptables, co nie znaczy ze właśnie tam problem leży.

grzesiek - 08-04-2010 17:45
To po co pytasz, jak i tak nie masz zamiaru sprawdzać tego co Ci podpowiadam.
Skoro tak podchodzisz do tematu to mam do Ciebie pytanie. Czy potrafisz udowodnić, że iptables nic nie blokuje?
Routing to jest w tablicy nat a nie filter Panie

WiCiO_MeDi - 09-04-2010 09:17
Dobrze. To może ja się cofnę trochę.
Dzień dobry, jestem użytkownikiem Windowsa i posiadam niewielką wiedzę na temat Linuksa. Moja konfiguracja serwera jest wynikiem korzystania z Google i adaptacji znalezionych skryptów w sieci do własnych potrzeb.

Nie potrafię udowodnić, że iptables nic nie blokuje, ale wydaje mi się dziwne, że niektóre adresy przepuszcza, a niektóre blokuje. I akurat tego wybiórczego blokowania nie widzę w konfiguracji.
Chylę czoła przed "wyjadaczami" linuksa, dlatego z pokorą proszę o pomoc na tym forum.

Konkludując, bardzo proszę o naprowadzenie (łopatologią nie pogardzę), gdzie problem może leżeć i jak go rozwiązać, bo się panie w biurze denerwują, że im eNKa nie działa :rolleyes:

arturimagda - 09-04-2010 12:40
Spoko. Od tego (między innymi) jest forum, aby sobie pomagać. Zainteresuj się opcją -L w iptables (szczególnie iptables -L -t nat -nv). Zaznajom się z programem tcpdump, bo to podstawowe narzędzie każdego administratora. Czy jesteś w stanie określić, które ze stron Ci nie działają? Pokaż wynik polecenia: iptables -L -t nat -nv | grep DROP oraz: iptables -L -nv | grep DROP

WiCiO_MeDi - 09-04-2010 12:46
debian:~# iptables -L -t nat -nv | grep DROP
debian:~# iptables -L -nv | grep DROP
Chain INPUT (policy DROP 0 packets, 0 bytes)
0 0 DROP all -- !lo * 127.0.0.0/8 0.0.0.0/0
0 0 DROP all -- ppp0 * 192.168.1.0/24 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
0 0 DROP all -- * ppp0 0.0.0.0/0 192.168.1.0/24
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
0 0 DROP all -- * ppp0 0.0.0.0/0 192.168.1.0/24
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 weekend przede mną to się dokształcę ;)

Nie wiem za bardzo co mi miał dać ten pakiet tcpdump. Dowiedziałem się tylko, że nic się nie dzieje :/
Tak wygląda jak "wchodzę" na strony z komputera w sieci:
debian:~# tcpdump host nasza-klasa.pl
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
13:16:07.965067 IP 192.168.1.88.50498 > nasza-klasa.pl.www: F 3612069707:3612069707(0) ack 242466884 win 4380
13:16:08.012687 IP nasza-klasa.pl.www > 192.168.1.88.50498: . ack 1 win 14
13:16:09.687216 IP 192.168.1.88.50511 > nasza-klasa.pl.www: S 268816887:268816887(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
13:16:09.723098 IP nasza-klasa.pl.www > 192.168.1.88.50511: S 1292147057:1292147057(0) ack 268816888 win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 9>
13:16:09.724038 IP 192.168.1.88.50511 > nasza-klasa.pl.www: . ack 1 win 4380
13:16:09.724749 IP 192.168.1.88.50511 > nasza-klasa.pl.www: P 1:411(410) ack 1 win 4380
13:16:09.823267 IP nasza-klasa.pl.www > 192.168.1.88.50511: . 1:1453(1452) ack 411 win 14
13:16:09.833603 IP nasza-klasa.pl.www > 192.168.1.88.50511: . 1453:2905(1452) ack 411 win 14
13:16:09.834188 IP nasza-klasa.pl.www > 192.168.1.88.50511: . 2905:2921(16) ack 411 win 14
13:16:09.835163 IP 192.168.1.88.50511 > nasza-klasa.pl.www: . ack 2905 win 4380
13:16:09.883112 IP nasza-klasa.pl.www > 192.168.1.88.50511: . 2921:4373(1452) ack 411 win 14
13:16:09.883692 IP nasza-klasa.pl.www > 192.168.1.88.50511: . 4373:4381(8) ack 411 win 14
13:16:09.884541 IP 192.168.1.88.50511 > nasza-klasa.pl.www: . ack 4373 win 4380
13:16:09.894224 IP nasza-klasa.pl.www > 192.168.1.88.50511: . 4381:5833(1452) ack 411 win 14
13:16:09.895730 IP 192.168.1.88.50511 > nasza-klasa.pl.www: . ack 5833 win 4380
13:16:09.931216 IP nasza-klasa.pl.www > 192.168.1.88.50511: . 5833:7285(1452) ack 411 win 14
13:16:09.935972 IP nasza-klasa.pl.www > 192.168.1.88.50511: F 7285:7881(596) ack 411 win 14
13:16:09.937108 IP 192.168.1.88.50511 > nasza-klasa.pl.www: . ack 7882 win 4380
13:16:09.937270 IP 192.168.1.88.50511 > nasza-klasa.pl.www: F 411:411(0) ack 7882 win 4380
13:16:09.977091 IP nasza-klasa.pl.www > 192.168.1.88.50511: . ack 412 win 14
^C
20 packets captured
21 packets received by filter
0 packets dropped by kernel
debian:~# tcpdump host softexia.com
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
13:16:45.066142 IP 192.168.1.88.50532 > softexia.com.www: S 555158626:555158626(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
13:16:45.139752 IP softexia.com.www > 192.168.1.88.50532: S 2171606244:2171606244(0) ack 555158627 win 65535 <mss 1460,nop,wscale 3,sackOK,eol>
13:16:45.140615 IP 192.168.1.88.50532 > softexia.com.www: . ack 1 win 4380
13:16:45.141170 IP 192.168.1.88.50532 > softexia.com.www: P 1:516(515) ack 1 win 4380
13:16:45.437885 IP 192.168.1.88.50532 > softexia.com.www: P 1:516(515) ack 1 win 4380
13:16:46.037952 IP 192.168.1.88.50532 > softexia.com.www: P 1:516(515) ack 1 win 4380
13:16:47.241230 IP 192.168.1.88.50532 > softexia.com.www: P 1:516(515) ack 1 win 4380
13:16:47.320501 IP softexia.com.www > 192.168.1.88.50532: . ack 516 win 8212
13:17:55.134184 IP 192.168.1.88.50532 > softexia.com.www: F 516:516(0) ack 1 win 4380
13:17:56.176237 IP 192.168.1.88.50534 > softexia.com.www: S 184054387:184054387(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
13:17:56.244424 IP softexia.com.www > 192.168.1.88.50534: S 1882374632:1882374632(0) ack 184054388 win 65535 <mss 1460,nop,wscale 3,sackOK,eol>
13:17:56.245329 IP 192.168.1.88.50534 > softexia.com.www: . ack 1 win 4380
13:17:56.246025 IP 192.168.1.88.50534 > softexia.com.www: P 1:516(515) ack 1 win 4380
13:17:56.545073 IP 192.168.1.88.50534 > softexia.com.www: P 1:516(515) ack 1 win 4380
13:17:57.145132 IP 192.168.1.88.50534 > softexia.com.www: P 1:516(515) ack 1 win 4380
13:17:58.345220 IP 192.168.1.88.50534 > softexia.com.www: P 1:516(515) ack 1 win 4380
13:17:58.425649 IP softexia.com.www > 192.168.1.88.50534: . ack 516 win 8212
13:17:58.435976 IP 192.168.1.88.50532 > softexia.com.www: F 516:516(0) ack 1 win 4380
13:18:05.036450 IP 192.168.1.88.50532 > softexia.com.www: F 516:516(0) ack 1 win 4380
13:18:18.237433 IP 192.168.1.88.50532 > softexia.com.www: F 516:516(0) ack 1 win 4380
13:18:44.641429 IP 192.168.1.88.50532 > softexia.com.www: F 516:516(0) ack 1 win 4380
13:19:37.442291 IP 192.168.1.88.50532 > softexia.com.www: F 516:516(0) ack 1 win 4380
13:20:37.443538 IP 192.168.1.88.50532 > softexia.com.www: R 517:517(0) ack 1 win 0 A tak wygląda jak wejdę na stronę z konsoli (links2):
debian:~# tcpdump -i ppp0 host nasza-klasa.pl
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
13:25:04.178260 IP 87-205-219-169.adsl.inetia.pl.60297 > 195.93.178.5.www: S 1047040608:1047040608(0) win 5808 <mss 1452,sackOK,timestamp 223802 0,nop,wscale 7>
13:25:04.215203 IP 195.93.178.5.www > 87-205-219-169.adsl.inetia.pl.60297: S 1269051846:1269051846(0) ack 1047040609 win 5792 <mss 1460,sackOK,timestamp 61281419 223802,nop,wscale 9>
13:25:04.215241 IP 87-205-219-169.adsl.inetia.pl.60297 > 195.93.178.5.www: . ack 1 win 46 <nop,nop,timestamp 223812 61281419>
13:25:04.215336 IP 87-205-219-169.adsl.inetia.pl.60297 > 195.93.178.5.www: P 1:600(599) ack 1 win 46 <nop,nop,timestamp 223812 61281419>
13:25:04.309718 IP 195.93.178.5.www > 87-205-219-169.adsl.inetia.pl.60297: . 1:1441(1440) ack 600 win 14 <nop,nop,timestamp 61281440 223812>
13:25:04.309744 IP 87-205-219-169.adsl.inetia.pl.60297 > 195.93.178.5.www: . ack 1441 win 68 <nop,nop,timestamp 223835 61281440>
13:25:04.320296 IP 195.93.178.5.www > 87-205-219-169.adsl.inetia.pl.60297: . 1441:2881(1440) ack 600 win 14 <nop,nop,timestamp 61281440 223812>
13:25:04.320318 IP 87-205-219-169.adsl.inetia.pl.60297 > 195.93.178.5.www: . ack 2881 win 91 <nop,nop,timestamp 223838 61281440>
13:25:04.330401 IP 195.93.178.5.www > 87-205-219-169.adsl.inetia.pl.60297: P 2881:4321(1440) ack 600 win 14 <nop,nop,timestamp 61281440 223812>
13:25:04.330422 IP 87-205-219-169.adsl.inetia.pl.60297 > 195.93.178.5.www: . ack 4321 win 113 <nop,nop,timestamp 223840 61281440>
13:25:04.351107 IP 195.93.178.5.www > 87-205-219-169.adsl.inetia.pl.60297: . 4321:5761(1440) ack 600 win 14 <nop,nop,timestamp 61281451 223835>
13:25:04.351126 IP 87-205-219-169.adsl.inetia.pl.60297 > 195.93.178.5.www: . ack 5761 win 136 <nop,nop,timestamp 223845 61281451>
13:25:04.361211 IP 195.93.178.5.www > 87-205-219-169.adsl.inetia.pl.60297: . 5761:7201(1440) ack 600 win 14 <nop,nop,timestamp 61281451 223835>
13:25:04.361231 IP 87-205-219-169.adsl.inetia.pl.60297 > 195.93.178.5.www: . ack 7201 win 158 <nop,nop,timestamp 223848 61281451>
13:25:04.367799 IP 195.93.178.5.www > 87-205-219-169.adsl.inetia.pl.60297: F 7201:8033(832) ack 600 win 14 <nop,nop,timestamp 61281451 223835>
13:25:04.367848 IP 87-205-219-169.adsl.inetia.pl.60297 > 195.93.178.5.www: F 600:600(0) ack 8034 win 181 <nop,nop,timestamp 223850 61281451>
13:25:04.400998 IP 195.93.178.5.www > 87-205-219-169.adsl.inetia.pl.60297: . ack 601 win 14 <nop,nop,timestamp 61281465 223850>
^C
17 packets captured
23 packets received by filter
0 packets dropped by kernel
debian:~# tcpdump -i ppp0 host softexia.com
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
13:25:33.813935 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: S 1529042092:1529042092(0) win 5808 <mss 1452,sackOK,timestamp 231211 0,nop,wscale 7>
13:25:33.883306 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: S 2768069208:2768069208(0) ack 1529042093 win 65535 <mss 1452,nop,wscale 3,sackOK,timestamp 1543524819 231211>
13:25:33.883336 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: . ack 1 win 46 <nop,nop,timestamp 231229 1543524819>
13:25:33.883594 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: P 1:598(597) ack 1 win 46 <nop,nop,timestamp 231229 1543524819>
13:25:33.997538 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: . 1:1441(1440) ack 598 win 8280 <nop,nop,timestamp 1543524924 231229>
13:25:33.997564 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: . ack 1441 win 68 <nop,nop,timestamp 231257 1543524924>
13:25:34.008105 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: . 1441:2881(1440) ack 598 win 8280 <nop,nop,timestamp 1543524924 231229>
13:25:34.008129 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: . ack 2881 win 91 <nop,nop,timestamp 231260 1543524924>
13:25:34.074635 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: . 2881:4321(1440) ack 598 win 8280 <nop,nop,timestamp 1543525001 231257>
13:25:34.074658 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: . ack 4321 win 113 <nop,nop,timestamp 231276 1543525001>
13:25:34.085244 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: . 4321:5761(1440) ack 598 win 8280 <nop,nop,timestamp 1543525001 231257>
13:25:34.085263 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: . ack 5761 win 136 <nop,nop,timestamp 231279 1543525001>
13:25:34.095328 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: . 5761:7201(1440) ack 598 win 8280 <nop,nop,timestamp 1543525009 231260>
13:25:34.095348 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: . ack 7201 win 158 <nop,nop,timestamp 231282 1543525009>
13:25:34.105678 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: . 7201:8641(1440) ack 598 win 8280 <nop,nop,timestamp 1543525009 231260>
13:25:34.105697 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: . ack 8641 win 181 <nop,nop,timestamp 231284 1543525009>
13:25:34.150303 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: . 8641:10081(1440) ack 598 win 8280 <nop,nop,timestamp 1543525076 231276>
13:25:34.150323 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: . ack 10081 win 203 <nop,nop,timestamp 231295 1543525076>
13:25:34.160627 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: . 10081:11521(1440) ack 598 win 8280 <nop,nop,timestamp 1543525076 231276>
13:25:34.160646 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: . ack 11521 win 226 <nop,nop,timestamp 231298 1543525076>
13:25:34.170980 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: . 11521:12961(1440) ack 598 win 8280 <nop,nop,timestamp 1543525088 231279>
13:25:34.171000 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: . ack 12961 win 248 <nop,nop,timestamp 231300 1543525088>
13:25:34.181085 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: . 12961:14401(1440) ack 598 win 8280 <nop,nop,timestamp 1543525088 231279>
13:25:34.181104 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: . ack 14401 win 271 <nop,nop,timestamp 231303 1543525088>
13:25:34.191673 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: . 14401:15841(1440) ack 598 win 8280 <nop,nop,timestamp 1543525096 231282>
13:25:34.191694 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: . ack 15841 win 293 <nop,nop,timestamp 231306 1543525096>
13:25:34.199542 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: P 15841:16920(1079) ack 598 win 8280 <nop,nop,timestamp 1543525096 231282>
13:25:34.199562 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: . ack 16920 win 316 <nop,nop,timestamp 231308 1543525096>
13:25:36.904791 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: F 598:598(0) ack 16920 win 316 <nop,nop,timestamp 231984 1543525096>
13:25:36.970778 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: . ack 599 win 8280 <nop,nop,timestamp 1543527907 231984>
13:25:36.971470 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: F 16920:16920(0) ack 599 win 8280 <nop,nop,timestamp 1543527907 231984>
13:25:36.971499 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: . ack 16921 win 316 <nop,nop,timestamp 232001 1543527907>

arturimagda - 09-04-2010 13:25
Wygląda na to że (jak na razie) żaden pakiet nie został "dropnięty". Może masz jakieś problemy z dnsami? Może gdzieś na styku router<>klienty windows coś jest nie tak?

fnmirk - 09-04-2010 13:31
arturimagda, gdybyś przeoczył to masz do przeczytania prywatną wiadomość.

grzesiek - 09-04-2010 13:39
Tak szczerze mówiąc to tak jak napisałem, jak działało i nagle przestało bez ruszania konfiguracji to raczej nie jest to zapora.
Domyślam się ze masz jakąś tam pulę adresów publicznych IP do użytku, 6 chyba. Przypisz dla serwera inny adres, nie używany i wtedy zobacz czy stronki działają. W tym celu musisz zmienić konfiguracje karty, albo zrobić alias i zmienić lub dodać regułę w POSTROUTING, która maskuje ruch wychodzący z sieci.

WiCiO_MeDi - 09-04-2010 13:50

Może masz jakieś problemy z dnsami? Może gdzieś na styku router<>klienty windows coś jest nie tak? DNSy są na sztywno wpisane na każdym komputerze (adresy Netii) i działają jak zmieni się bramę. Z tego samego powodu wykluczam błąd po stronie rutera.

Domyślam się ze masz jakąś tam pulę adresów publicznych IP do użytku, 6 chyba. Przypisz dla serwera inny adres, nie używany i wtedy zobacz czy stronki działają. W tym celu musisz zmienić konfiguracje karty, albo zrobić alias i zmienić lub dodać regułę w POSTROUTING, która maskuje ruch wychodzący z sieci. Internet mamy z Netii, więc pula adresów publicznych jest dość spora i zmienia się co 24h. Nie mogę przypisać innego adresu publicznego gdyż jest przydzielany automatycznie. Chyba, że masz na myśli adres w sieci lokalnej, ale nie wiem co to miałoby wspólnegoz moim problemem :/
Proszę o jaśniejsze instrukcje :)

Anetka - 09-04-2010 21:33
Wicio; czy okreslone hosty nie działają zawsze, czy też czasem działają a czasem nie? Czy w momencie gdy nie działają jakieś tam strony inne strony (na tej samej przeglądarce/windowsie) są dostępne?

WiCiO_MeDi - 10-04-2010 11:49
Droga Anetko,
Tak działają :)
Nie zaprzątałbym Wam głowy, gdyby żadna strona nie chodziła. Zawsze nie chodzą te same strony. Z pamięci powiem: nasza-klasa.pl, softexia.com, enion.pl, epson.com i kilka innych, ale nie pamiętam dokładnie. Wpisuje człowiek adres strony, wciska ENTER i czeka, a tu nic. Więc idzie taki człowiek na inny komputer, a tam dalej nic. To zgłasza w biurze, że ta strona nie działa, aby każdy (5 stanowisk) ją sprawdził. Gdy nikomu nie działa ta jedna strona to zmienia wtedy bramę (tylko) i wtedy się otwiera. Dla nas to dość uciążliwa ciekawostka.

grzesiek - 10-04-2010 21:19
Zaraz zaraz, to jak to jest. Masz
WAN ---> ADSL ---> Debian ---> Host
|
AP ---> Host Teraz mnie interesuje ta linia połączenia między Debianem a AP. Jak to wygląda.
Możesz też dla ułatwienia sprawy pokazać reguły zapory (nie listing z polecenia iptables) i narysować schemat opisany adresami, bo nie wiem po co dwie bramy i jak to wygląda.

WiCiO_MeDi - 11-04-2010 11:06
WAN1(adsl) ---> Debian(192.168.1.11) -
|
---> Ruter(192.168.1.1) ---> Host(192.168.1.x)
|
WAN2(wifi) ---> AP(port WAN) --------- Punkt dostępowy (AP) jest podłączony do portu WAN na ruterze, nie ma adresu bo jest przeźroczysty.
O jakich regułach mówisz?

grzesiek - 11-04-2010 12:13
Sam tworzyłeś zaporę ogniową? Chodzi mi o taki pliczek, zapewne mieszczący się w /etc/init.d/, w którym zapisane są te reguły.
Próbowałeś na routerze wypiąć z portu WAN kabel i spróbować tylko na Debianie? Chodzi o to aby wyeliminować router na drodze - niech zadziała jako przełącznik tylko.
Na routerze jest DHCP włączony? jeżeli tak to wyłącz go na czas tych testów. Sprawdź w właściwościach połączenia jakie parametry otrzyłała karta sieciowa klienta.

WiCiO_MeDi - 11-04-2010 12:45
Nie kojarzę abym tworzył reguły zapory..
Nie próbowałem, zatem uczynię to w poniedziałek ;)
Na ruterze jest DHCP włączony (ludzie maja ajfony), ale każdy komputer ma na sztywno wpisany adres IP wraz z DNSami.
Rozumiem, że najlepiej będzie jak podłącze komputer hosta bezpośrednio (kablem lan) z serwerem, tak?

grzesiek - 11-04-2010 13:13
Na przykład, ale przez router też powinno działać byle tylko portu WAN nie używać. Czyli mówiąc krótko przez przełącznik.
Rozumiem, że na Debianie nie masz serwera DHCP.

WiCiO_MeDi - 12-04-2010 08:07
Dobrze rozumiesz, nie mam.

Dodane:
Dzień dobry.
Kabelkiem bezpośrednio nie mogę sprawdzić bo nie mam żadnego kabla krosowanego w firmie.
Natomiast przez ruter w funkcji przełącznika (odpięty port WAN) żadnych zmian nie ma, czyli większość stron się otwiera, a na tych wybranych nic się nie dzieje (przeglądarki zatrzymują się na Oczekiwanie na www..... To też jest ciekawe, że nie ma komunikatu o tym, że strona nie istnieje, tylko takie czekanie na nic.
Jestem otwarty na dalsze pomysły..

Dodane później:
Dzisiaj odkryłem, że nie działają nam też strony tp.pl i microsoft.com.
Robi się coraz ciekawiej.

grzesiek - 12-04-2010 17:44
No to wracamy, do tego co mówiłem na samym początku, trzeba wyłączyć zaporę - albo pokaż jej skrypt w końcu.
iptables -F -t raw
iptables -F -t nat
iptables -F -t filter
iptables -F -t mangle
iptables -X -t raw
iptables -X -t nat
iptables -X -t filter
iptables -X -t mangle i wtedy w identyczny sposób sprawdź.

WiCiO_MeDi - 12-04-2010 19:49
Ok, ale to w środę dopiero ;)

Dodano:
Niestety żadnych zmian to nie przyniosło :/
Gdybyś mi dokładnie powiedział, gdzie może być zaszyty skrypt tej zapory to bym go tu wkleił. Przejrzałem folder init.d i nic 'podejrzanego' nie zauważyłem..

Dodano później:
Nie macie pomysłów? :|
Może to coś pomoże?
debian:~# ipmasq --verbose
#: Interfaces found:
#: ppp0 87.205.187.223/255.255.255.255
#: ppp0 87.205.187.223/255.255.255.255
#: eth0 192.168.1.11/255.255.255.0
echo "0" > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -F INPUT
/sbin/iptables -F OUTPUT
/sbin/iptables -F FORWARD
/sbin/iptables -t mangle -P PREROUTING ACCEPT
/sbin/iptables -t mangle -P OUTPUT ACCEPT
/sbin/iptables -t mangle -F PREROUTING
/sbin/iptables -t mangle -F OUTPUT
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT
/sbin/iptables -t nat -F PREROUTING
/sbin/iptables -t nat -F POSTROUTING
/sbin/iptables -t nat -F OUTPUT
/sbin/iptables -A INPUT -j ACCEPT -i lo
/sbin/iptables -A INPUT -j LOG -i ! lo -s 127.0.0.1/255.0.0.0
/sbin/iptables -A INPUT -j DROP -i ! lo -s 127.0.0.1/255.0.0.0
/sbin/iptables -A INPUT -j ACCEPT -i eth0 -d 255.255.255.255/32
/sbin/iptables -A INPUT -j ACCEPT -i eth0 -s 192.168.1.11/255.255.255.0
/sbin/iptables -A INPUT -j ACCEPT -i eth0 -d 224.0.0.0/4 -p ! 6
/sbin/iptables -A INPUT -j LOG -i ppp0 -s 192.168.1.11/255.255.255.0
/sbin/iptables -A INPUT -j DROP -i ppp0 -s 192.168.1.11/255.255.255.0
/sbin/iptables -A INPUT -j ACCEPT -i ppp0 -d 255.255.255.255/32
/sbin/iptables -A INPUT -j ACCEPT -i ppp0 -d 87.205.187.223/32
/sbin/iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.1.11/255.255.255.0 -j MASQUERADE
/sbin/iptables -A FORWARD -i eth0 -o ppp0 -s 192.168.1.11/255.255.255.0 -j ACCEPT
/sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -j ACCEPT -o lo
/sbin/iptables -A OUTPUT -j ACCEPT -o eth0 -d 255.255.255.255/32
/sbin/iptables -A OUTPUT -j ACCEPT -o eth0 -d 192.168.1.11/255.255.255.0
/sbin/iptables -A OUTPUT -j ACCEPT -o eth0 -d 224.0.0.0/4 -p ! 6
/sbin/iptables -A FORWARD -j LOG -o ppp0 -d 192.168.1.11/255.255.255.0
/sbin/iptables -A FORWARD -j DROP -o ppp0 -d 192.168.1.11/255.255.255.0
/sbin/iptables -A OUTPUT -j LOG -o ppp0 -d 192.168.1.11/255.255.255.0
/sbin/iptables -A OUTPUT -j DROP -o ppp0 -d 192.168.1.11/255.255.255.0
/sbin/iptables -A OUTPUT -j ACCEPT -o ppp0 -d 255.255.255.255/32
/sbin/iptables -A OUTPUT -j ACCEPT -o ppp0 -s 87.205.187.223/32
echo "1" > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -A INPUT -j LOG -s 0.0.0.0/0 -d 0.0.0.0/0
/sbin/iptables -A INPUT -j DROP -s 0.0.0.0/0 -d 0.0.0.0/0
/sbin/iptables -A OUTPUT -j LOG -s 0.0.0.0/0 -d 0.0.0.0/0
/sbin/iptables -A OUTPUT -j DROP -s 0.0.0.0/0 -d 0.0.0.0/0
/sbin/iptables -A FORWARD -j LOG -s 0.0.0.0/0 -d 0.0.0.0/0
/sbin/iptables -A FORWARD -j DROP -s 0.0.0.0/0 -d 0.0.0.0/0 Znowu ja:
Odinstalowałem pakiet ipmasq i usunąłem wszystkie reguły z iptables. Postawiłem od nowa udostępnianie internetu używając poradnika pani BiExi. Niestety systuacja jest IDENTYCZNA, czyli problem RACZEJ nie leży w iptables...

grzesiek - 17-04-2010 13:53
Więc wina nie leży po stronie serwera - zainteresuj się tą "puszką" przed serwerem, najlepiej było by ją podmienić na sprawdzenie.

WiCiO_MeDi - 22-04-2010 11:47
Witam ponownie,
Przepraszam za opóźnienie, ale choróbsko mnie zmogło :/

Dzisiaj wgrałem najnowszy firmware do rutera (tomato v1.27) i dalej nic. A przecież reguły zostały wyszczyszczone podczas aktualizacji..
Zaciskarkę będę miał jutro (piątek) i wtedy ostatecznie sprawdzę (potwierdzę?) czy to wina serwera czy rutera.
Pozdrawiam!

WiCiO_MeDi - 26-04-2010 10:23
Witam po weekendzie ;)
Sprawdziłem:l komputer PC podpięty pod port LAN4 na ruterze,l l podpięty przełącznik na drodze SERWER-PC (zaciskarki nie dostałem, więc krosa zrobić nie mogłem).l W obu przypadkach dzieje się to samo co normalnie w sieci na WiFi, czyli stronki NIEKTÓRE się w ogóle nie otwierają, przeglądarka po prostu wisi i czeka na nie wiadomo co.
Co ciekawe onet.pl się trochę załadował i wygląda tak:
Obrazek

Kolega przez weekend zasugerował, że to mogła jakaś poprawka do Debiana zdziałać bo wcześniej wszystko działało i dopiero od nieco ponad miesiąca przestało.
Bardzo proszę o dalsze pomysły bo skończy się reinstalacją Debiana, a mam tam już sporo rzeczy zainstalowanych i zajmie mi kilka dni tego przywrócenie.

mariaczi - 26-04-2010 12:28
1. Możesz przytoczyć jakiś graficzny schemat sieci wraz z adresacją co i jak?
2. Ta "puszka" przed Debianem pracuje tylko jako modem ale połączenie zestawia już Debian?
3. Debian jest bramą dla całej sieci? Jaki adres(y) IP ma "puszka" przed Debianem?

WiCiO_MeDi - 26-04-2010 13:34
l Schemat
adresacja:
serwer 192.168.1.11
ruter: 192.168.1.1
PC-ty: 192.168.1.xx
l lTak, tak puszka to modem Speedtouch, a połączenie skonfigurowane zostało przez pppoeconf.l lTak, jest bramą dla całej sieci, ale oprócz niego jest jeszcze brama na ruterze (port WAN).l

mariaczi - 26-04-2010 14:01
Spróbuj dodać na Debianie do firewalla
-A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A OUTPUT -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu Na tym tomato nie masz żadnego filtrowania?

3. Tak, jest bramą dla całej sieci, ale oprócz niego jest jeszcze brama na ruterze (port WAN). Możesz to jakoś wyjaśnić? Masz 2 łącza do internetu i część ruchu idzie jednym a część drugim?

WiCiO_MeDi - 26-04-2010 15:00
Kod niestety nie pomógł..
Tomato jest goły bez żadnych reguł. Nawet był wgrywany na czysto w zeszłym tygodniu. Z resztą jak napisałem, już go podmieniałem na inny przełącznik i dalej nie działało.
Dokładnie tak, mamy ADSL z zewnętrznym IP, na którym działa serwer i kilka komputerów oraz darmową bramę WiFi na dachu, na której działa kilka komputerów. Wszystkie komputery mają na sztywno wpisaną konfiguraję sieciową i wystarczy, że użytkownik zmieni adres bramy z 192.168.1.1 (WiFi) na 192.168.1.11(ADSL) i już mu działa "drugi internet". Tzn. działał, bo od jakiegoś czasu kuleje :(

grzesiek - 26-04-2010 20:38
W celu sprawdzenia/wykluczenia zawsze możesz LiveCD KNOPPIX załadować na serwerze i wprowadzić tylko parę poleceń przekazywania połączenia.
Rozumiem, że nie miałeś możliwości podpięcia jakiegoś komputera bezpośrednio do serwera, nie przez router czy przełącznik. A ten przełącznik co podpinałeś to zupełnie inne urządzenie i na pewno sprawne.

WiCiO_MeDi - 15-06-2010 14:48
Ten przełącznik to znalezione u znajomego pełnosprawne urządzenie. Już sobie ściągam Knoppiksa.

Dodane:
Witam ponownie po długiej przerwie.

Problem został rozwiązany. Przyczyny nie znalazłem, więc spróbowałem czegoś innego. Ponieważ błąd występował w momencie przekazywania pakietów z serwera do rutera, postanowiłem zmienić sposób samego ,,przekazywania'' i jednocześnie usprawnić internet w firmie. Jak? Instalując pakiet squid - serwer proxy. Teraz wszystko działa tak jak należy, a i łącze zostało odciążone w stopniu zauważalnym.

Pozdrawiam!

Ps. Temat do zamknięcia.