[LUG.ro] Router linux no rutea
Federico Wiecko
lugro@lugro.org.ar
13 Sep 2003 13:49:29 -0300
Las tablas de ruteo de tu gateway parecen estar bien, tu firewall
digamos que no es muy seguro :-), me parece que el problema tiene que
ver con el arp del Cisco.
Pero por las dudas:
desde tu gateway tenes salida a internet ?
desde el cisco, podes pinguear alguna de las maquinas de
la LAN ?
Proba tambien hacer un tcpdump sobre la eth0 para ver si encontras algo.
Suerte !
El vie, 12-09-2003 a las 18:54, gsanso@tutopia.com escribió:
> Internet
> |
> |
> ________|________
> | |
> | Cisco 2600 |
> | |
> IP: 208.53.98.254
> |_______________|
> |
> |
> |
> |
> |
> |
> ________|_________
> | |
> | Switch 1 |
>
> |_______________|
>
> |
> |
> |
> |
> |
> ETH0 ---> IP:208.53.98.198 Net 208.53.98.0/25
> ________|________
> | |
> | Linux |
> |_______________|
> |
> ETH1 --> IP:208.53.164.254 Net 208.53.164.0/24
>
> |
> |
> ________|_________
> | |
> | Switch 2 | ------ Clients
>
>
> |_______________|
>
> Red Hat Linux 9
> Kernel: 2.4.20-8
>
>
>
> Routing table:
>
> 208.53.98.128 0.0.0.0 255.255.255.128 U 0 eth0
> 208.53.164.0 0.0.0.0 255.255.255.0 U 0 eth1
> 169.254.0.0 0.0.0.0 255.255.0.0 U 0 eth1
> 127.0.0.0 0.0.0.0 255.0.0.0 U 0 lo
> 0.0.0.0 208.53.98.254 0.0.0.0 UG 0 eth0
>
>
> Cisco 2600 config:
>
> ip route 208.53.164.0 255.255.255.0 208.53.98.198
>
>
> /proc/sys/net/ipv4
>
>
> icmp_echo_ignore_all:0
> icmp_echo_ignore_broadcasts:0
> icmp_ignore_bogus_error_responses:0
> icmp_ratelimit:100
> icmp_ratemask:6168
> igmp_max_memberships:20
> inet_peer_gc_maxtime:120
> inet_peer_gc_mintime:10
> inet_peer_maxttl:600
> inet_peer_minttl:120
> inet_peer_threshold:65664
> ip_autoconfig:0
> ip_conntrack_max:32656
> ip_default_ttl:64
> ip_dynaddr:0
> ip_forward:1
> ipfrag_high_thresh:262144
> ipfrag_low_thresh:196608
> ipfrag_time:30
> ip_local_port_range:32768 61000
> ip_nonlocal_bind:0
> ip_no_pmtu_disc:0
> tcp_abort_on_overflow:0
> tcp_adv_win_scale:2
> tcp_app_win:31
> tcp_dsack:1
> tcp_ecn:0
> tcp_fack:1
> tcp_fin_timeout:60
> tcp_frto:0
> tcp_keepalive_intvl:75
> tcp_keepalive_probes:9
> tcp_keepalive_time:7200
> tcp_max_orphans:16384
> tcp_max_syn_backlog:1024
> tcp_max_tw_buckets:180000
> tcp_mem:97280 97792 98304
> tcp_orphan_retries:0
> tcp_reordering:3
> tcp_retrans_collapse:1
> tcp_retries1:3
> tcp_retries2:15
> tcp_rfc1337:0
> tcp_rmem:4096 87380 174760
> tcp_sack:1
> tcp_stdurg:0
> tcp_synack_retries:5
> tcp_syncookies:0
> tcp_syn_retries:5
> tcp_timestamps:1
> tcp_tw_recycle:0
> tcp_tw_reuse:0
> tcp_window_scaling:1
> tcp_wmem:4096 16384 131072
>
>
> /proc/sys/net/ipv4/conf/ethX
>
>
> accept_redirects:1
> accept_source_route:1
> arp_filter:0
> bootp_relay:0
> forwarding:1
> log_martians:0
> mc_forwarding:0
> medium_id:0
> proxy_arp:0
> rp_filter:1
> secure_redirects:1
> send_redirects:1
> shared_media:1
> tag:0
>
>
> Problema:
>
> Con esta configuracion no funcionó. Desde los clientes (208.53.164.0)
> puedo pingear al Cisco pero no salgo a Internet.
>
> El cisco sabe que todo lo que va a la red 208.53.164.0 pasa por la eth0
> del linux 208.53.98.198
>
> haciendo un traceroute desde un cliente a por ej. la ip de la web de cisco
> pasa esto:
>
> 1st hop --> 208.53.164.254
> 2nd hop --> Time out
> 3d --> Time out
> y asi..
>
> el firewall es el siguiente:
>
> #!/bin/bash
>
> iptables -F
> iptables -t nat -F
> iptables -t mangle -F
>
>
> iptables -A INPUT -i lo -p all -j ACCEPT
> iptables -A OUTPUT -o lo -p all -j ACCEPT
> iptables -A INPUT -i eth0 -p ICMP -j ACCEPT
> iptables -A INPUT -p ALL -i eth0
> iptables -A FORWARD -i eth0 -p ALL -j ACCEPT
> iptables -A OUTPUT -o eth0 -p all -j ACCEPT
> iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -P INPUT DROP
> iptables -P FORWARD DROP
> iptables -P OUTPUT ACCEPT
>
>
> despues corro este script para habilitar a los clientes por direccion mac.
>
> iptables -A INPUT -s $IP -i eth1 -m mac --mac $MAC
> iptables -A FORWARD -s $IP -i eth1 -m mac --mac $MAC
>
> Alguna idea de porque esto no funciona?
>
>
>
>
>
>
>
>
> _______________________________________________
> Lugro mailing list
> Lugro@lugro.org.ar
> http://www.lugro.org.ar/mailman/listinfo/lugro
>