[fedora 2] routing prob - Linux en overige clients

dinsdag 18 oktober 2005 19:43

Acties:

Topicstarter

Ik had een probleem met mijn fedora core 2 (kernel versie: 2.6.5-1.358) router, deze wilde wel eens moeilijk en vastlopen. Toen vanmorgen ik ook maar een snelheid van 20kb/s haalde (ipv 520) dacht ik schone install...

Zo gezegd zo gedaan....

Nu heb ik alles er weer op. alles werkt in principe ook. Alleen valt de sneleheid nadat de linux-pc 5min heeft aangestaan weer terug naar 20kb/s een reboot werkt dan. maar voor maar 5 min.

Ik dacht eerst dat het aan de cbq lag, is niet het geval -> uitgezet

firewall / routing script:
Geen zin op script te lezen, spring naar beneden
is erg groot, kan hem wel posten, maar denk niet dat het hieraan ligt.Maar wel handig

code:

#!/bin/sh
#
# rc.firewall-2.4-stronger

FWVER=0.73s

echo -e "\nLoading STRONGER rc.firewall - version $FWVER..\n"

IPTABLES=/sbin/iptables
LSMOD=/sbin/lsmod
DEPMOD=/sbin/depmod
INSMOD=/sbin/insmod
GREP=/bin/grep
AWK=/bin/awk
SED=/bin/sed
IFCONFIG=/sbin/ifconfig

# EXTIF is internet, INTIF is LAN

EXTIF="eth0"
INTIF="eth1"
echo "  External Interface:  $EXTIF"
echo "  Internal Interface:  $INTIF"
echo "  ---"

# Specify your Static IP address here or let the script take care of it 
# for you.
#
#   If you prefer to use STATIC addresses in your firewalls, un-# out the
#   static example below and # out the dynamic line.  If you don't care,
#   just leave this section alone.
#
#   If you have a DYNAMIC IP address, the ruleset already takes care of
#   this for you.  Please note that the different single and double quote 
#   characters and the script MATTER.
#
#
#   DHCP users:
#   -----------
#   If you get your TCP/IP address via DHCP, **you will need ** to enable the 
#   #ed out command below underneath the PPP section AND replace the word 
#   "eth0" with the name of your EXTERNAL Internet connection (ppp0, ippp0, 
#   etc) on the lines for "ppp-ip" and "extip".  You should also note that the 
#   DHCP server can and will change IP addresses on you.  To deal with this, 
#   users should configure their DHCP client to re-run the rc.firewall ruleset 
#   everytime the DHCP lease is renewed.
#
#     NOTE #1:  Some DHCP clients like the original "pump" (the newer
#               versions have been fixed) did NOT have the ability to run 
#               scripts after a lease-renew.  Because of this, you need to 
#               replace it with something like "dhcpcd" or "dhclient".
#
#     NOTE #2:  The syntax for "dhcpcd" has changed in recent versions.
#
#               Older versions used syntax like:
#                         dhcpcd -c /etc/rc.d/rc.firewall eth0
#
#               Newer versions execute a file called /etc/dhcpc/dhcpcd-eth0.exe
#
#     NOTE #3:  For Pump users, put the following line in /etc/pump.conf:
#
#                   script /etc/rc.d/rc.firewall
#
# Determine the external IP automatically:
# ----------------------------------------
# ip adressen bepalen, external en internal

EXTIP="`$IFCONFIG $EXTIF | $GREP 'inet addr' | $AWK '{print $2}' | $SED -e 's/.*://'`"
echo "  External IP: $EXTIP"
echo "  ---"


# Assign the internal TCP/IP network and IP address
INTNET="192.168.12.0/24"
INTIP="192.168.12.200/24"
echo "  Internal Network: $INTNET"
echo "  Internal IP:      $INTIP"
echo "  ---"




# Setting a few other local variables
#
UNIVERSE="0.0.0.0/0"

#======================================================================
#== No editing beyond this line is required for initial MASQ testing ==

# Need to verify that all modules have all required dependencies
#
echo "  - Verifying that all kernel modules are ok"
$DEPMOD -a

echo -en "    Loading kernel modules: "

echo -en "ip_tables, "
if [ -z "` $LSMOD | $GREP ip_tables | $AWK {'print $1'} `" ]; then
   $INSMOD ip_tables
fi

echo -en "ip_conntrack, "
if [ -z "` $LSMOD | $GREP ip_conntrack | $AWK {'print $1'} `" ]; then
   $INSMOD ip_conntrack
fi

echo -e "ip_conntrack_ftp, "
if [ -z "` $LSMOD | $GREP ip_conntrack_ftp | $AWK {'print $1'} `" ]; then
   $INSMOD ip_conntrack_ftp
fi

echo -en "ip_conntrack_irc, "
if [ -z "` $LSMOD | $GREP ip_conntrack_irc | $AWK {'print $1'} `" ]; then
   $INSMOD ip_conntrack_irc
fi

echo -en "iptable_nat, "
if [ -z "` $LSMOD | $GREP iptable_nat | $AWK {'print $1'} `" ]; then
   $INSMOD iptable_nat
fi

echo -e "ip_nat_ftp"
if [ -z "` $LSMOD | $GREP ip_nat_ftp | $AWK {'print $1'} `" ]; then
   $INSMOD ip_nat_ftp
fi

echo "  ---"

# Just to be complete, here is a list of the remaining kernel modules 
# and their function.  Please note that several modules should be only
# loaded by the correct master kernel module for proper operation.
# --------------------------------------------------------------------
#
#    ipt_mark       - this target marks a given packet for future action.
#                     This automatically loads the ipt_MARK module
#
#    ipt_tcpmss     - this target allows to manipulate the TCP MSS
#                     option for braindead remote firewalls.
#                     This automatically loads the ipt_TCPMSS module
#
#    ipt_limit      - this target allows for packets to be limited to
#                     to many hits per sec/min/hr
#
#    ipt_multiport  - this match allows for targets within a range
#                     of port numbers vs. listing each port individually
#
#    ipt_state      - this match allows to catch packets with various
#                     IP and TCP flags set/unset
#
#    ipt_unclean    - this match allows to catch packets that have invalid
#                     IP/TCP flags set
#
#    iptable_filter - this module allows for packets to be DROPped, 
#                     REJECTed, or LOGged.  This module automatically 
#                     loads the following modules:
#
#                     ipt_LOG - this target allows for packets to be 
#                               logged
#
#                     ipt_REJECT - this target DROPs the packet and returns 
#                                  a configurable ICMP packet back to the 
#                                  sender.
# 
#    iptable_mangle - this target allows for packets to be manipulated
#                     for things like the TCPMSS option, etc.


#CRITICAL:  Enable IP forwarding since it is disabled by default since
#
#           Redhat Users:  you may try changing the options in
#                          /etc/sysconfig/network from:
#
#                       FORWARD_IPV4=false
#                             to
#                       FORWARD_IPV4=true
#
echo "  Enabling forwarding.."
echo "1" > /proc/sys/net/ipv4/ip_forward

echo "  Enabling DynamicAddr.."
echo "1" > /proc/sys/net/ipv4/ip_dynaddr

echo "  ---"

echo "  Clearing any existing rules and setting default policy to DROP.."
$IPTABLES -P INPUT DROP  
$IPTABLES -F INPUT 
$IPTABLES -P OUTPUT DROP  
$IPTABLES -F OUTPUT 
$IPTABLES -P FORWARD DROP  
$IPTABLES -F FORWARD 
$IPTABLES -F -t nat

#Not needed and it will only load the unneeded kernel module
#$IPTABLES -F -t mangle
#
# Flush the user chain.. if it exists
if [ -n "`$IPTABLES -L | $GREP drop-and-log-it`" ]; then
   $IPTABLES -F drop-and-log-it
fi
#
# Delete all User-specified chains
$IPTABLES -X
#
# Reset all IPTABLES counters
$IPTABLES -Z


#Configuring specific CHAINS for later use in the ruleset
echo "  Creating a DROP chain.."
$IPTABLES -N drop-and-log-it
$IPTABLES -A drop-and-log-it -j LOG --log-level info 
$IPTABLES -A drop-and-log-it -j DROP

echo -e "\n   - Loading INPUT rulesets"


#######################################################################
# INPUT: Incoming traffic from various interfaces.  All rulesets are 
#        already flushed and set to a default policy of DROP. 
#

# loopback interfaces are valid.
#
$IPTABLES -A INPUT -i lo -s $UNIVERSE -d $UNIVERSE -j ACCEPT


# local interface, local machines, going anywhere is valid
#
$IPTABLES -A INPUT -i $INTIF -s $INTNET -d $UNIVERSE -j ACCEPT


# remote interface, claiming to be local machines, IP spoofing, get lost
#
$IPTABLES -A INPUT -i $EXTIF -s $INTNET -d $UNIVERSE -j drop-and-log-it


# external interface, from any source, for ICMP traffic is valid
#
#  If you would like your machine to "ping" from the Internet, 
#  enable this next line
#
#$IPTABLES -A INPUT -i $EXTIF -p ICMP -s $UNIVERSE -d $EXTIP -j ACCEPT


# remote interface, any source, going to permanent PPP address is valid
#
#$IPTABLES -A INPUT -i $EXTIF -s $UNIVERSE -d $EXTIP -j ACCEPT


# Allow any related traffic coming back to the MASQ server in
#
$IPTABLES -A INPUT -i $EXTIF -s $UNIVERSE -d $EXTIP -m state --state \
ESTABLISHED,RELATED -j ACCEPT


# ----- Begin OPTIONAL Section -----
#

# DHCPd - Enable the following lines if you run an INTERNAL DHCPd server
#
$IPTABLES -A INPUT -i $INTIF -p tcp --sport 68 --dport 67 -j ACCEPT
$IPTABLES -A INPUT -i $INTIF -p udp --sport 68 --dport 67 -j ACCEPT

# HTTPd - Enable the following lines if you run an EXTERNAL WWW server
#
echo -e "      - Allowing EXTERNAL access to the WWW server on port 7890/4890"
$IPTABLES -A INPUT -i $EXTIF -m state --state NEW,ESTABLISHED,RELATED -p tcp -s $UNIVERSE -d $EXTIP --dport 7890 -j ACCEPT
$IPTABLES -A INPUT -i $EXTIF -m state --state NEW,ESTABLISHED,RELATED -p tcp -s $UNIVERSE -d $EXTIP --dport 4890 -j ACCEPT

#
# ----- End OPTIONAL Section -----



# Catch all rule, all other incoming is denied and logged. 
#
$IPTABLES -A INPUT -s $UNIVERSE -d $UNIVERSE -j drop-and-log-it


echo -e "   - Loading OUTPUT rulesets"

#######################################################################
# OUTPUT: Outgoing traffic from various interfaces.  All rulesets are 
#         already flushed and set to a default policy of DROP. 
#

# loopback interface is valid.
#
$IPTABLES -A OUTPUT -o lo -s $UNIVERSE -d $UNIVERSE -j ACCEPT


# local interfaces, any source going to local net is valid
#
$IPTABLES -A OUTPUT -o $INTIF -s $EXTIP -d $INTNET -j ACCEPT


# local interface, any source going to local net is valid
#
$IPTABLES -A OUTPUT -o $INTIF -s $INTIP -d $INTNET -j ACCEPT


# outgoing to local net on remote interface, stuffed routing, deny
#
$IPTABLES -A OUTPUT -o $EXTIF -s $UNIVERSE -d $INTNET -j drop-and-log-it


# anything else outgoing on remote interface is valid
#
$IPTABLES -A OUTPUT -o $EXTIF -s $EXTIP -d $UNIVERSE -j ACCEPT


# ----- Begin OPTIONAL Section -----
#

# DHCPd - Enable the following lines if you run an INTERNAL DHCPd server
#
$IPTABLES -A OUTPUT -o $INTIF -p tcp -s $INTIP --sport 67 -d 255.255.255.255 --dport 68 -j ACCEPT
$IPTABLES -A OUTPUT -o $INTIF -p udp -s $INTIP --sport 67 -d 255.255.255.255 --dport 68 -j ACCEPT

#
# ----- End OPTIONAL Section -----

# Catch all rule, all other outgoing is denied and logged. 
#
$IPTABLES -A OUTPUT -s $UNIVERSE -d $UNIVERSE -j drop-and-log-it


echo -e "   - Loading FORWARD rulesets"

#######################################################################
# FORWARD: Enable Forwarding and thus IPMASQ
#

echo "     - FWD: Allow all connections OUT and only existing/related IN"
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED \
-j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT

# Catch all rule, all other forwarding is denied and logged. 
#
$IPTABLES -A FORWARD -j drop-and-log-it


echo "     - NAT: Enabling SNAT (MASQUERADE) functionality on $EXTIF"
#
#More liberal form
#$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
#
#Stricter form
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j SNAT --to $EXTIP


#######################################################################
echo "     - Enabling port blocking on $EXTIF"
$IPTABLES -A INPUT -p tcp -i $EXTIF --destination-port 80 -j REJECT
$IPTABLES -A INPUT -p tcp -i $EXTIF --destination-port 22 -j REJECT
$IPTABLES -A INPUT -p tcp -i $EXTIF --destination-port 111 -j REJECT
$IPTABLES -A INPUT -p tcp -i $EXTIF --destination-port 443 -j REJECT
$IPTABLES -A INPUT -p tcp -i $EXTIF --destination-port 1024 -j REJECT
$IPTABLES -A INPUT -p tcp -i $EXTIF --destination-port 3306 -j REJECT
$IPTABLES -A INPUT -p tcp -i $EXTIF --destination-port 6000 -j REJECT
$IPTABLES -A INPUT -p tcp -i $EXTIF --destination-port 199 -j REJECT

echo "     - Enabling port forwarding for use with the WWW server"
#webserver op 4890, extern 7890, intern 80
$IPTABLES -t nat -A PREROUTING -i $INTIF -d 192.168.12.200 -p tcp --dport 80 -j REDIRECT --to-port 4890
$IPTABLES -t nat -A PREROUTING -i $EXTIF -p tcp --dport 7890 -j REDIRECT --to-port 4890

#nfs:u
$IPTABLES -t nat -A PREROUTING -i $EXTIF -p udp --dport 3658:3659 -j DNAT --to-dest 192.168.12.13
$IPTABLES -t nat -A PREROUTING -i $EXTIF -p tcp --dport 10900:10999 -j DNAT --to-dest 192.168.12.13
$IPTABLES -A FORWARD -p udp -i $EXTIF --dport 3658:3659 -d 192.168.12.13 -j ACCEPT 
$IPTABLES -A FORWARD -p tcp -i $EXTIF --dport 10900:10999 -d 192.168.12.13 -j ACCEPT 

echo -e "\nStronger rc.firewall-2.4 $FWVER done.\n"

En dat was het script
Verder heb ik alle services uit proberen te zetten in de hoop dat dit werkt, ook dit is niet het geval.
Wat kan de oorzaak zijn?????

edit:
ping van www.home.nl als snelheid laag is:
64 bytes from www.home.nl (213.51.129.38): icmp_seq=5 ttl=251 time=863 ms
64 bytes from www.home.nl (213.51.129.38): icmp_seq=6 ttl=251 time=689 ms
64 bytes from www.home.nl (213.51.129.38): icmp_seq=7 ttl=251 time=523 ms
64 bytes from www.home.nl (213.51.129.38): icmp_seq=8 ttl=251 time=947 ms

is dus niet zo gek, de vraag is nu, waarom wordt die ping zo hoog?

Edit2:
als ik eth1 (intern) afsluit wordt de ping 'normaal' ~8ms
als ik hem weer aanzet loopt ie weer op.

Ik gebruik verder nog het programma dnsmasq (versie.2.23) om dns queries door te forwarden. Toen ik deze uitzette veranderde niets. Kan deze problemen veroorzaken oid?

Edit3:
fouten van firewall tijdens opstarten:
Oct 18 20:30:38 CC12729-A firewall-2.4: insmod: can't read 'ip_conntrack': No such file or directory
Oct 18 20:30:38 CC12729-A firewall-2.4: insmod: can't read 'ip_conntrack_ftp': No such file or directory
Oct 18 20:30:38 CC12729-A firewall-2.4: insmod: can't read 'ip_conntrack_irc': No such file or directory
Oct 18 20:30:38 CC12729-A firewall-2.4: insmod: can't read 'iptable_nat': No such file or directory
Oct 18 20:30:38 CC12729-A firewall-2.4: insmod: can't read 'ip_nat_ftp': No such file or directory

lijkt erop dat ik wat mis? nu ben ik niet zo goed met linux, maar hoe krijg in dit verholpen?

Ik heb nu het gevoel dat het of aan het firewall scriptje ligt, of dat er een route niet goed is waardoor de ping ontzettend hoog uitvalt. Als ik het firewall scriptje niet draai (dus met chkconfig uit boot gehaald) werkt ie wel (=goede snelheid @ linux pc / router), en als ik heb daarna met de hand aanzet doet ie het ook niet (brakke snelheid, hoge ping), oftewel mijn scriptje spoort niet.

Het vreemde is dus dat ik met dezelfde install een maand geleden nog 24/7 non stop werkte zonder fouten. Of heb ik iets niet goed gedaan?

[ Voor 178% gewijzigd door elgringo op 18-10-2005 22:01 ]

if broken it is, fix it you should

dinsdag 18 oktober 2005 23:38

Acties:

Wilke

elgringo schreef op dinsdag 18 oktober 2005 @ 19:43:
Ik had een probleem met mijn fedora core 2 (kernel versie: 2.6.5-1.358) router, deze wilde wel eens moeilijk en vastlopen. Toen vanmorgen ik ook maar een snelheid van 20kb/s haalde (ipv 520) dacht ik schone install...

Tja, het is inderdaad de makkelijkste oplossing, en ik geef toe dat het soms tijd spaart ten opzichte van de kern van het probleem aanpakken.

Maar ergens is het natuurlijk zoiets als een huis afbreken en een nieuw bouwen omdat de inrichting van de woonkamer niet meer voldoet. Met andere woorden, je kunt met paardemiddelen inderdaad het symptoom bestrijden, maar het uitzoeken van de oorzaak zou misschien beter zijn.

Als een systeem vastloopt, en er draait niet allerlei 'funny' experimentele software of exotische hardware (brakke drivers komen voor..), dan is de kans groot dat het aan de hardware ligt. Dit geldt bij Linux al jaren, bij Windows ongeveer sinds 2000 ook. Als een systeem dus echt at random crasht, moet je eens gaan kijken of je dat probleem kunt isoleren door bv. hardware eruit te halen tot het minimum, geheugen testen etc.

Als downloaden maar met 20 kb/s gaat, zou je kunnen uitzoeken waar dit aan ligt (gelukkig heb je dat ook al redelijk gedaan

). Een oorzaak zou kunnen zijn dat iemand je DDOSSed, maar meestal is dat niet echt het eerste waar je aan denkt ofzo (of je moet echt nare vijanden hebben....

). Het zou ook kunnen dat je de verbinding deelt met een ander systeem, waarop een virus of andere malware (IRC botnet?) de verbinding dichttrekt. Ik ga er niet vanuit dat dit het FC2-systeem zelf betreft, aangezien een reinstall het probleem niet heeft opgelost blijkbaar.

Aangezien het probleem weggaat als je eth1 uitzet, vraag ik me af: zitten eth0 en eth1 op dezelfde switch aangesloten? Hoe ziet de routingtabel er uit wanneer deze aan staat en het probleem optreedt (/sbin/route -n)? en /sbin/iptables -L? Zit er misschien per ongeluk een loop in je netwerk/routing-systeem?

Ik heb geen zin om die 5 meter script door te bladeren, maar misschien dat de outputs van bovenstaande commando's ons verder kunnen helpen.

dinsdag 18 oktober 2005 23:47

Acties:

elgringo

Topicstarter

eth0, zit aan kabelmodem
en eth1 zit via enkele switches aan 20 pc's

route -n:

code:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.12.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1
82.75.184.0     0.0.0.0         255.255.254.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth1
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         82.75.184.1     0.0.0.0         UG    0      0        0 eth0

Iptables:

code:

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  192.168.12.0/24      anywhere            
drop-and-log-it  all  --  192.168.12.0/24      anywhere            
ACCEPT     all  --  anywhere             cc12729-a.ensch1.ov.home.nl state RELATED,ESTABLISHED 
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:bootpc dpt:bootps 
ACCEPT     udp  --  anywhere             anywhere            udp spt:bootpc dpt:bootps 
ACCEPT     tcp  --  anywhere             cc12729-a.ensch1.ov.home.nl state NEW,RELATED,ESTABLISHED tcp dpt:7890 
ACCEPT     tcp  --  anywhere             cc12729-a.ensch1.ov.home.nl state NEW,RELATED,ESTABLISHED tcp dpt:4890 
drop-and-log-it  all  --  anywhere             anywhere            
REJECT     tcp  --  anywhere             anywhere            tcp dpt:http reject-with icmp-port-unreachable 
REJECT     tcp  --  anywhere             anywhere            tcp dpt:ssh reject-with icmp-port-unreachable 
REJECT     tcp  --  anywhere             anywhere            tcp dpt:sunrpc reject-with icmp-port-unreachable 
REJECT     tcp  --  anywhere             anywhere            tcp dpt:https reject-with icmp-port-unreachable 
REJECT     tcp  --  anywhere             anywhere            tcp dpt:1024 reject-with icmp-port-unreachable 
REJECT     tcp  --  anywhere             anywhere            tcp dpt:mysql reject-with icmp-port-unreachable 
REJECT     tcp  --  anywhere             anywhere            tcp dpt:x11 reject-with icmp-port-unreachable 
REJECT     tcp  --  anywhere             anywhere            tcp dpt:smux reject-with icmp-port-unreachable 
 
Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
ACCEPT     all  --  anywhere             anywhere            
drop-and-log-it  all  --  anywhere             anywhere            
ACCEPT     udp  --  anywhere             192.168.12.13       udp dpts:3658:3659 
ACCEPT     tcp  --  anywhere             192.168.12.13       tcp dpts:10900:10999 
 
Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  cc12729-a.ensch1.ov.home.nl  192.168.12.0/24     
ACCEPT     all  --  192.168.12.0/24      192.168.12.0/24     
drop-and-log-it  all  --  anywhere             192.168.12.0/24     
ACCEPT     all  --  cc12729-a.ensch1.ov.home.nl  anywhere            
ACCEPT     tcp  --  192.168.12.0/24      255.255.255.255     tcp spt:bootps dpt:bootpc 
ACCEPT     udp  --  192.168.12.0/24      255.255.255.255     udp spt:bootps dpt:bootpc 
drop-and-log-it  all  --  anywhere             anywhere            
 
Chain drop-and-log-it (5 references)
target     prot opt source               destination         
LOG        all  --  anywhere             anywhere            LOG level info 
DROP       all  --  anywhere             anywhere

en dat 'paardenmiddel' heb ik gebruikt omdat ik er een zooitje van gemaakt had. Verder vind ik die foutmelding die de firewall geeft (dat ie sommige modules niet kan vinden) vreemd. Of is dit geen ernstige fout?

Maar omdat dit probleem in eerste insantie (voor de herinstall) het spontaan kreeg vraamd ik het me af of het van defecte hardware oid kan komen? Maar dat zou weer vreemd zijn omdat ik wel een goeie verbinding tussen clients en server heb.

Edit: en over het ddossen:
Ik heb een windows laptop aangesloten en toen had ik nergens last van (of hij moet heel toevallig gestopr zijn) Verder heb ik met ethereal gekeken wat er binnekomt en als niet wat aan het doen is, zie je hier ook niets. Dus ik denk niet dat het een ddos oid is

[ Voor 7% gewijzigd door elgringo op 18-10-2005 23:55 ]

if broken it is, fix it you should

woensdag 19 oktober 2005 15:54

Acties:

elgringo

Topicstarter

Ik heb de nic ook vervangen (van rtl8239 naar 3com 900b) no result...

if broken it is, fix it you should

woensdag 19 oktober 2005 16:33

Acties:

WHiZZi

Museumdirecteurtje

Wellicht dat

Oct 18 20:30:38 CC12729-A firewall-2.4: insmod: can't read 'iptable_nat': No such file or directory

een lichtje doet branden

Naar mijn mening redelijk essentieel als je een NAT firewall aan het inrichten bent.

Als je de firewall niet laadt, heb je dan hetzelfde probleem vanaf de Linux machine?

HomeComputerMuseum - Interactief computermuseum waar wij de geschiedenis van de thuiscomputer preserveren. Centraal gelegen in de Benelux.

woensdag 19 oktober 2005 16:43

Acties:

elgringo

Topicstarter

WHiZZi schreef op woensdag 19 oktober 2005 @ 16:33:
Wellicht dat

[...]
een lichtje doet branden

Naar mijn mening redelijk essentieel als je een NAT firewall aan het inrichten bent.

Als je de firewall niet laadt, heb je dan hetzelfde probleem vanaf de Linux machine?

Ja dat dacht ik ook; maar waarom werkt het dan een beetje? En hoe fix ik dit?

En het uitzetten / niet laten draaien heeft zin, snelheid is dat goed @ server. Verder merk ik op dat mijn snelheid verhoogd is naar 100 kb/s en de ping gedaald tot 100 ms

[ Voor 20% gewijzigd door elgringo op 19-10-2005 16:45 ]

if broken it is, fix it you should

woensdag 19 oktober 2005 17:57

Acties:

daft_dutch

>.< >.< >.< >.<

heb je een test gedaan zonder die witch met 20 pc's er aan?
heb je upload killende proggels draaien
wat zegt : netstat -t -u

>.< >.< >.< >.<

woensdag 19 oktober 2005 18:21

Acties:

elgringo

Topicstarter

daft_dutch schreef op woensdag 19 oktober 2005 @ 17:57:
heb je een test gedaan zonder die witch met 20 pc's er aan?
heb je upload killende proggels draaien
wat zegt : netstat -t -u

zoals in de startpost staat; als eth1 uit staat werkt alles, zo niet dan niet.
als firewall uitstaat werkt het ook

oftewel firewall/ routing script spoort niet.... (imho)

if broken it is, fix it you should

donderdag 20 oktober 2005 08:47

Acties:

WHiZZi

Museumdirecteurtje

Zorgen dat je die iptables_nat module kunt laden. Ik weet niet in welke RPM het zit, normaliter compile je de kernel opnieuw met deze module er in (of als module)

Zet je firewall eens uit en probeer:

code:

1	iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE

Wat gebeurt er dan?

[ Voor 30% gewijzigd door WHiZZi op 20-10-2005 08:48 ]

HomeComputerMuseum - Interactief computermuseum waar wij de geschiedenis van de thuiscomputer preserveren. Centraal gelegen in de Benelux.