[LUG.ro] Router linux no rutea
lugro@lugro.org.ar
lugro@lugro.org.ar
Fri, 12 Sep 2003 17:54:10 -0400
Internet
|
|
________|________
| |
| Cisco 2600 |
| |
IP: 208.53.98.254
|_______________|
|
|
|
|
|
|
________|_________
| |
| Switch 1 |
|_______________|
|
|
|
|
|
ETH0 ---> IP:208.53.98.198 Net 208.53.98.0/25
________|________
| |
| Linux |
|_______________|
|
ETH1 --> IP:208.53.164.254 Net 208.53.164.0/24
|
|
________|_________
| |
| Switch 2 | ------ Clients
|_______________|
Red Hat Linux 9
Kernel: 2.4.20-8
Routing table:
208.53.98.128 0.0.0.0 255.255.255.128 U 0 eth0
208.53.164.0 0.0.0.0 255.255.255.0 U 0 eth1
169.254.0.0 0.0.0.0 255.255.0.0 U 0 eth1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 lo
0.0.0.0 208.53.98.254 0.0.0.0 UG 0 eth0
Cisco 2600 config:
ip route 208.53.164.0 255.255.255.0 208.53.98.198
/proc/sys/net/ipv4
icmp_echo_ignore_all:0
icmp_echo_ignore_broadcasts:0
icmp_ignore_bogus_error_responses:0
icmp_ratelimit:100
icmp_ratemask:6168
igmp_max_memberships:20
inet_peer_gc_maxtime:120
inet_peer_gc_mintime:10
inet_peer_maxttl:600
inet_peer_minttl:120
inet_peer_threshold:65664
ip_autoconfig:0
ip_conntrack_max:32656
ip_default_ttl:64
ip_dynaddr:0
ip_forward:1
ipfrag_high_thresh:262144
ipfrag_low_thresh:196608
ipfrag_time:30
ip_local_port_range:32768 61000
ip_nonlocal_bind:0
ip_no_pmtu_disc:0
tcp_abort_on_overflow:0
tcp_adv_win_scale:2
tcp_app_win:31
tcp_dsack:1
tcp_ecn:0
tcp_fack:1
tcp_fin_timeout:60
tcp_frto:0
tcp_keepalive_intvl:75
tcp_keepalive_probes:9
tcp_keepalive_time:7200
tcp_max_orphans:16384
tcp_max_syn_backlog:1024
tcp_max_tw_buckets:180000
tcp_mem:97280 97792 98304
tcp_orphan_retries:0
tcp_reordering:3
tcp_retrans_collapse:1
tcp_retries1:3
tcp_retries2:15
tcp_rfc1337:0
tcp_rmem:4096 87380 174760
tcp_sack:1
tcp_stdurg:0
tcp_synack_retries:5
tcp_syncookies:0
tcp_syn_retries:5
tcp_timestamps:1
tcp_tw_recycle:0
tcp_tw_reuse:0
tcp_window_scaling:1
tcp_wmem:4096 16384 131072
/proc/sys/net/ipv4/conf/ethX
accept_redirects:1
accept_source_route:1
arp_filter:0
bootp_relay:0
forwarding:1
log_martians:0
mc_forwarding:0
medium_id:0
proxy_arp:0
rp_filter:1
secure_redirects:1
send_redirects:1
shared_media:1
tag:0
Problema:
Con esta configuracion no funcionó. Desde los clientes (208.53.164.0)
puedo pingear al Cisco pero no salgo a Internet.
El cisco sabe que todo lo que va a la red 208.53.164.0 pasa por la eth0
del linux 208.53.98.198
haciendo un traceroute desde un cliente a por ej. la ip de la web de cisco
pasa esto:
1st hop --> 208.53.164.254
2nd hop --> Time out
3d --> Time out
y asi..
el firewall es el siguiente:
#!/bin/bash
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -A INPUT -i lo -p all -j ACCEPT
iptables -A OUTPUT -o lo -p all -j ACCEPT
iptables -A INPUT -i eth0 -p ICMP -j ACCEPT
iptables -A INPUT -p ALL -i eth0
iptables -A FORWARD -i eth0 -p ALL -j ACCEPT
iptables -A OUTPUT -o eth0 -p all -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
despues corro este script para habilitar a los clientes por direccion mac.
iptables -A INPUT -s $IP -i eth1 -m mac --mac $MAC
iptables -A FORWARD -s $IP -i eth1 -m mac --mac $MAC
Alguna idea de porque esto no funciona?