[LUG.ro] Router linux no rutea

lugro@lugro.org.ar lugro@lugro.org.ar
Fri, 12 Sep 2003 17:54:10 -0400


Internet
                |
                |
        ________|________
        |               |
        | Cisco 2600    |                                               
                |       |   
        IP: 208.53.98.254               
        |_______________|
                |
                |       
                |
                |
                |       
                |
        ________|_________
        |               |
        |     Switch 1  |                       
                            
        |_______________|
        
                |       
                |
                |
                |       
                |
               ETH0 ---> IP:208.53.98.198        Net 208.53.98.0/25
        ________|________
        |               |
        |    Linux      | 
        |_______________|
                |
               ETH1 --> IP:208.53.164.254    Net 208.53.164.0/24        
        
                |
                |
        ________|_________
        |               |
        |     Switch 2  | ------ Clients                        
                            
       
        |_______________|
                        
Red Hat Linux 9
Kernel: 2.4.20-8



Routing table:

208.53.98.128   0.0.0.0         255.255.255.128 U                   0 eth0
208.53.164.0    0.0.0.0         255.255.255.0   U                   0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U                   0 eth1
127.0.0.0       0.0.0.0         255.0.0.0       U                   0 lo
0.0.0.0         208.53.98.254   0.0.0.0         UG                  0 eth0

                
Cisco 2600 config:

ip route 208.53.164.0 255.255.255.0 208.53.98.198


/proc/sys/net/ipv4 


icmp_echo_ignore_all:0
icmp_echo_ignore_broadcasts:0
icmp_ignore_bogus_error_responses:0
icmp_ratelimit:100
icmp_ratemask:6168
igmp_max_memberships:20
inet_peer_gc_maxtime:120
inet_peer_gc_mintime:10
inet_peer_maxttl:600
inet_peer_minttl:120
inet_peer_threshold:65664
ip_autoconfig:0
ip_conntrack_max:32656
ip_default_ttl:64
ip_dynaddr:0
ip_forward:1
ipfrag_high_thresh:262144
ipfrag_low_thresh:196608
ipfrag_time:30
ip_local_port_range:32768       61000
ip_nonlocal_bind:0
ip_no_pmtu_disc:0
tcp_abort_on_overflow:0
tcp_adv_win_scale:2
tcp_app_win:31
tcp_dsack:1
tcp_ecn:0
tcp_fack:1
tcp_fin_timeout:60
tcp_frto:0
tcp_keepalive_intvl:75
tcp_keepalive_probes:9
tcp_keepalive_time:7200
tcp_max_orphans:16384
tcp_max_syn_backlog:1024
tcp_max_tw_buckets:180000
tcp_mem:97280   97792   98304
tcp_orphan_retries:0
tcp_reordering:3
tcp_retrans_collapse:1
tcp_retries1:3
tcp_retries2:15
tcp_rfc1337:0
tcp_rmem:4096   87380   174760
tcp_sack:1
tcp_stdurg:0
tcp_synack_retries:5
tcp_syncookies:0
tcp_syn_retries:5
tcp_timestamps:1
tcp_tw_recycle:0
tcp_tw_reuse:0
tcp_window_scaling:1
tcp_wmem:4096   16384   131072


/proc/sys/net/ipv4/conf/ethX


accept_redirects:1
accept_source_route:1
arp_filter:0
bootp_relay:0
forwarding:1
log_martians:0
mc_forwarding:0
medium_id:0
proxy_arp:0
rp_filter:1
secure_redirects:1
send_redirects:1
shared_media:1
tag:0


Problema:

Con esta configuracion no funcionó. Desde los clientes (208.53.164.0)
puedo pingear al Cisco pero no salgo a Internet.

El cisco sabe que todo lo que va a la red 208.53.164.0 pasa por la eth0
del linux 208.53.98.198

haciendo un traceroute desde un cliente a por ej. la ip de la web de cisco
pasa esto:

1st hop --> 208.53.164.254
2nd hop --> Time out
3d --> Time out
y asi..

el firewall es el siguiente:

#!/bin/bash

iptables -F
iptables -t nat -F
iptables -t mangle -F


iptables -A INPUT -i lo -p all -j ACCEPT                      
iptables -A OUTPUT -o lo -p all -j ACCEPT
iptables -A INPUT -i eth0 -p ICMP -j ACCEPT
iptables -A INPUT -p ALL -i eth0
iptables -A FORWARD -i eth0 -p ALL -j ACCEPT
iptables -A OUTPUT -o eth0 -p all -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP 
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT                                    


despues corro este script para habilitar a los clientes por direccion mac.

iptables -A INPUT -s $IP -i eth1 -m mac --mac $MAC 
iptables -A FORWARD -s $IP -i eth1 -m mac --mac $MAC

Alguna idea de porque esto no funciona?