Linux Routing netwerken niet bereikbaar - Linux en overige clients

donderdag 9 november 2006 12:43

Acties:

Verwijderd

Topicstarter

Mijn probleem is als volgt:

Ik heb 2 linux Firewalls/Routers en een gewone linux Router en om het even makkelijk te maken ook in vorm van een afbeelding

:

Afbeeldingslocatie: http://www.dikkeshit.nl/afbeeldingen/netwerk_diagram.jpg

De situatie is als volgt het oude netwerk (192.168.100.0) word uitgebreid met de 10.*.0.0 ranges. Hiervoor heb een router ingericht met Ubuntu server Edition, deze routeerd het verkeer netjes in het interne netwerk. De router draait ook een DNS server netzoals de 2 Gateways, deze nieuwe Router gebruikt de Gateway 192.168.100.254 als Forward server.

Nou kan ik netjes www.google.nl pingen via een command pompt, echter wanneer ik naar de desgewenste webpagina wil gaan met b.v. IE krijg ik een time-out en met Firefox eveneens. Dit gebeurt ook als ik op ip adres naar een webpagina buiten mijn interne lan wil gaan.

Het lijkt niet alleen in het http verkeer te zitten want ssh verkeer naar buiten werkt ook niet, nou vind ik het nogal vreemd dat ik alle adressen wel kan bereiken door middel van een ping maar met geen andere mogelijkheid een andere reactie krijg van buiten mijn netwerk.

De 2 Gateways hebben een firewall door middel van een Ip-Tables script en op de router staat alleen ip_forward aan om het verkeer naar de andere netwerk te versturen.

Weet iemand of ik iets over het hoofd zie en zo ja wat?

*EDIT:
Ter verduidelijking ik heb op de gateways uiteraard ook routes aangemaakt om de 10.*.0.0 netwerken te vinden en een default gateway vanaf de Router naar de 192.168.100.254 Gateway zorgt ervoor dat al het verkeer waarvan de bestemming zich niet op het lan verkeerd naar het internet word verstuurd.

[ Voor 9% gewijzigd door Verwijderd op 09-11-2006 12:53 ]

donderdag 9 november 2006 12:55

Acties:

cherwin

Post eens de iptables scripts.

Tell me your problem, not the solution you think I should build for you.

donderdag 9 november 2006 13:00

Acties:

Verwijderd

Topicstarter

Bij deze:

code:

#!/bin/sh
# Disable forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward

echo ' * De IP-Tables Firewall word gestart...'

LAN_IP_NET='192.168.100.250/24'
LAN_NIC='eth1'
WAN_IP='10.0.0.1'
WAN_NIC='eth0'

# load some modules (if needed)
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# enable gre/protocol 47 for pptp
iptables -A INPUT -p 47 -j ACCEPT
iptables -A OUTPUT -p 47 -j ACCEPT

# Open ports on router for server/services
iptables -A INPUT -j ACCEPT -p tcp --dport 22
iptables -A INPUT -j ACCEPT -i eth1 -p tcp --dport 80
iptables -A INPUT -j ACCEPT -i eth1 -p tcp --dport 5901
iptables -A INPUT -j ACCEPT -i eth1 -p tcp --dport 137
iptables -A INPUT -j ACCEPT -i eth1 -p udp --dport 137
iptables -A INPUT -j ACCEPT -i eth1 -p tcp --dport 138
iptables -A INPUT -j ACCEPT -i eth1 -p udp --dport 138
iptables -A INPUT -j ACCEPT -i eth1 -p tcp --dport 139
iptables -A INPUT -j ACCEPT -i eth1 -p udp --dport 139
iptables -A INPUT -j ACCEPT -i eth1 -p tcp --dport 135
iptables -A INPUT -j ACCEPT -i eth1 -p udp --dport 135
iptables -A INPUT -j ACCEPT -i eth1 -p tcp --dport 445
iptables -A INPUT -j ACCEPT -i eth1 -p udp --dport 445
iptables -A INPUT -j ACCEPT -i eth1 -p tcp --dport 67
iptables -A INPUT -j ACCEPT -i eth1 -p udp --dport 67

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -i eth1 -j ACCEPT

# Open ports to server on LAN
#iptables -A FORWARD -j ACCEPT -p <PROTOCOL> --dport <PORT>
#iptables -t nat -A PREROUTING -i eth0 -p <PROTOCOL> --dport <PORT> -j DNAT --to <ADDRESS>:<PORT>

#SMTP Exchange Server
iptables -A FORWARD -j ACCEPT -p tcp --dport 25
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to 192.168.100.6:25

#RDP Pluto
iptables -A FORWARD -j ACCEPT -p tcp --dport 33333
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 33333 -j DNAT --to 192.168.100.5:33333

#FTP Pluto
iptables -A FORWARD -j ACCEPT -p tcp --dport 21
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j DNAT --to 192.168.100.5:21

#HTTP Pluto
iptables -A FORWARD -j ACCEPT -p tcp --dport 80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.100.5:80

# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

Ik heb er zelf ook over nagedacht of het hier in zou zitten maar kon niks verzinnen wat het zou veroorzaken maar misschien dat het verkeer van de 10.*.0.0 adressen ook toegestaan moet worden?

donderdag 9 november 2006 13:29

Acties:

Drgn

Je 192.168.* range kan wel internet op? Gebruikt die ook de *.254 als default gateway?

Leave the gun, get the canoli

donderdag 9 november 2006 13:53

Acties:

Verwijderd

Topicstarter

Ja deze werken prima op het internet, momenteel werken de gebruikers hier ook gewoon op en de clients gebruiken zowel de *.250 als de *.254 als gateway.

Dit verschilt per server (Grootste gedeelte werk op terminal server).

Maar niemand weet of de 10.* ranges toegvoegd zal moeten worden op de gateways en zo ja hoe?

donderdag 9 november 2006 15:36

Acties:

Verwijderd

Ik heb het idee dat je een regel moet toevoegen op je routers met zoiets als dit:

iptables -A FORWARD -i $incoming_iface -o $outgoing_iface -j ACCEPT

en waarschijnlijk ook

iptables -A FORWARD -i $outgoing_iface -o $incoming_iface -j ACCEPT

Je hebt wel iets dat in je forward regel staan dat verkeer toelaat van de interfaces op de router zelf, maar ik heb het idee dat je deze regel erbij moet zetten.

[ Voor 13% gewijzigd door Verwijderd op 09-11-2006 15:38 ]

donderdag 9 november 2006 16:10

Acties:

Verwijderd

Topicstarter

Dit lijkt inderdaad te werken maar dan alleen bij een firewall waar Firestarter draait, ik vermoed dan ook dat er nog een fout in mijn script zit.

Ik heb beide regels toegevoegd bij de Firestarter Firewall en dit werkte perfect. Daarna deed ik dit bij de gateway met het iptables script en daar had het echter geen effect.
Ik had het ook al geprobeerd door de regel:
iptables -A FORWARD -j ACCEPT -i eth1 -s 10.1.0.0/16
toe te voegen, waarin eth1 de interne interface is, dit had alleen ook geen effect.

Ook is er in eens helemaal geen verkeer meer mogelijk vanaf het nieuwe netwerk naar het internet ook niet op ip adres (via de iptables firewall) het verkeer op het oude lan werkt alleen nog altijd prima.

donderdag 9 november 2006 17:19

Acties:

Verwijderd

tcpdump is your friend, gewoon even op de routers bij de verschillende interfaces tcpdump gaan doen en kijken of er pakketjes langskomen cq aankomen.

donderdag 9 november 2006 17:25

Acties:

TrailBlazer

Karnemelk FTW

hoewel ik het raar vind dat je kan pingen is deze regel toch gewoon fout
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

je $LAN_IP net is niet 10.X.0.0

ook is de definitie

LAN_IP_NET='192.168.100.250/24'

raar dit is namelijk geen goede netwerk notatie dit moet zijn

LAN_IP_NET='192.168.100.0/24'

vrijdag 10 november 2006 09:15

Acties:

Verwijderd

Topicstarter

Sorry voor de late reactie, was laat thuis dus dan maar weer verder op een onwakkere ochtend

.

Over de netwerk notatie heb je gelijk dit heb ik dan nu ook verbetert en wat de betreft het feit dat mijn netwerk niet 10.*.0.0 is.
Dit had ik toegevoegd om te zorgen dat hij verbindingen zou toestaan die van dit netwerk kwamen, de oude regel met het 192.168.100 adres bleef er dus ook gewoon in staan.

En als laatste wat is precies fout aan de regel die je zo nadrukkelijk aangeeft of doelde je alleen op de verkeerde netwerk notatie?

EDIT*:
Ik heb het probleem gevonden, met de masquerade regel gaf ik aan dat alleen het 192.168.100.* netwerk genat mocht worden dit heb nu gewijzigd naar alle interne netwerken en het werkt als een zonnetje.
Iniedergeval bedankt voor alle hulp, nu maar even gaan testen of alles ook veilig werkt

.

[ Voor 22% gewijzigd door Verwijderd op 10-11-2006 09:37 ]

vrijdag 10 november 2006 11:07

Acties:

TrailBlazer

Karnemelk FTW

Verwijderd schreef op vrijdag 10 november 2006 @ 09:15:
Sorry voor de late reactie, was laat thuis dus dan maar weer verder op een onwakkere ochtend .

Over de netwerk notatie heb je gelijk dit heb ik dan nu ook verbetert en wat de betreft het feit dat mijn netwerk niet 10.*.0.0 is.
Dit had ik toegevoegd om te zorgen dat hij verbindingen zou toestaan die van dit netwerk kwamen, de oude regel met het 192.168.100 adres bleef er dus ook gewoon in staan.

En als laatste wat is precies fout aan de regel die je zo nadrukkelijk aangeeft of doelde je alleen op de verkeerde netwerk notatie?

EDIT*:
Ik heb het probleem gevonden, met de masquerade regel gaf ik aan dat alleen het 192.168.100.* netwerk genat mocht worden dit heb nu gewijzigd naar alle interne netwerken en het werkt als een zonnetje.
Iniedergeval bedankt voor alle hulp, nu maar even gaan testen of alles ook veilig werkt .

ja en dat bedoelde ik dus