URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 91376
[ Назад ]

Исходное сообщение
"Пропадает соедининение"
Отправлено BulBulDozeR , 14-Апр-11 13:26

Здравствуйте!
Помогите разобраться с проблемой:
Имеем:
Есть машина с Debian которая выполняет функции прокси(squid), и шлюза между подсетями 192.168.1.х и 192.168.2.х. 192.168.2.х - это "защищенная и секретная" подсесть в которой есть две машинки (192.168.2.10, 192.168.2.11 настройки сети для них выставлены ручками), которые скрыты от 192.168.1.х за натом. Обе подсети подключены к одной сетевухе с vlanom, К ноутам из первой подсети есть доступ только нескольким ресурсам: Серверу Exchange(192.168.1.253), файловому серверу(192.168.1.6), и серверу с интрасайтом(192.168.1.93).
Проблема:
При работе на ноутах в Outlook и acsses(база и PSTшник находиться на файловом сервере),
примерно раз в час "теряется соединение" с базой и pst файлом, соответсвено все это хозяйство вылетает с ошибкой, при этом в винде ошибок подключения нет,при повторном запуске програм все работает(без перезагрузки ноута), а на шлюзе debian в tcpdump появляется вот это:
13:00:33.889739 arp who-has 192.168.2.11 tell 192.168.80.5
13:00:33.889896 arp reply 192.168.2.11 is-at 00:1d:72:02:33:0f (oui Unknown)
Подскажите как это победить.
Правила iptabels:
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Wed Apr 13 13:58:56 2011
# Generated by iptables-save v1.4.2 on Wed Apr 13 13:58:56 2011
*filter
:FORWARD DROP [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -m state -d 192.168.80.0/24 -i eth1 --state ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.2.0/24 -d 192.168.1.253/32 -j ACCEPT
-A FORWARD -s 192.168.2.0/24 -d 192.168.1.6/32 -j ACCEPT
-A FORWARD -s 192.168.2.0/24 -d 192.168.1.252/32 -j ACCEPT
-A FORWARD -s 192.168.2.0/24 -d 192.168.1.93/32 -j ACCEPT
COMMIT
# Completed on Wed Apr 13 13:58:56 2011
# Generated by iptables-save v1.4.2 on Wed Apr 13 13:58:56 2011
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o ppp1 -j MASQUERADE
-A POSTROUTING -o ppp2 -j MASQUERADE
COMMIT
# Completed on Wed Apr 13 13:58:56 2011
sysctrl Прописал:
net.ipv4.conf.all.proxy_arp=1
net.ipv4.ip_dynaddr=1
net.ipv4.conf.all.arp_filter=1
net.ipv4.conf.all.rp_filter=1
net.ipv4.ip_forward=1

Содержание

Пропадает соедининение,Zl0, 14:01 , 14-Апр-11
- Пропадает соедининение,BulBulDozeR, 17:32 , 14-Апр-11
  - Пропадает соедининение,PavelR, 17:37 , 14-Апр-11
    - Пропадает соедининение,BulBulDozeR, 17:48 , 14-Апр-11
      - Пропадает соедининение,PavelR, 17:59 , 14-Апр-11
Пропадает соедининение,PavelR, 17:58 , 14-Апр-11
- Пропадает соедининение,BulBulDozeR, 22:46 , 14-Апр-11
  - Пропадает соедининение,PavelR, 22:58 , 14-Апр-11
    - Пропадает соедининение,BulBulDozeR, 10:46 , 18-Апр-11
      - Пропадает соедининение,Harry_nsk, 17:16 , 21-Дек-13

Сообщения в этом обсуждении

"Пропадает соедининение"
Отправлено Zl0 , 14-Апр-11 14:01

> 13:00:33.889739 arp who-has 192.168.2.11 tell 192.168.80.5
> 13:00:33.889896 arp reply 192.168.2.11 is-at 00:1d:72:02:33:0f (oui Unknown)
Если у вас протухают маки, и именно из-за этого происходит такой разрыв соединения, в чем я не уверен, то пропишите мак адреса статиком двух своих секретных ноутбуков.

"Пропадает соедининение"
Отправлено BulBulDozeR , 14-Апр-11 17:32

>> 13:00:33.889739 arp who-has 192.168.2.11 tell 192.168.80.5
>> 13:00:33.889896 arp reply 192.168.2.11 is-at 00:1d:72:02:33:0f (oui Unknown)
> Если у вас протухают маки, и именно из-за этого происходит такой разрыв
> соединения, в чем я не уверен, то пропишите мак адреса
> статиком двух своих секретных ноутбуков.
Прописал. Буду тестить. Но хотелось бы понять причину протухания.

"Пропадает соедининение"
Отправлено PavelR , 14-Апр-11 17:37

>>> 13:00:33.889739 arp who-has 192.168.2.11 tell 192.168.80.5
>>> 13:00:33.889896 arp reply 192.168.2.11 is-at 00:1d:72:02:33:0f (oui Unknown)
>> Если у вас протухают маки, и именно из-за этого происходит такой разрыв
>> соединения, в чем я не уверен, то пропишите мак адреса
>> статиком двух своих секретных ноутбуков.
> Прописал. Буду тестить. Но хотелось бы понять причину протухания.
мак-адреса "протухают" гораздо быстрее, чем раз в час.

"Пропадает соедининение"
Отправлено BulBulDozeR , 14-Апр-11 17:48

> мак-адреса "протухают" гораздо быстрее, чем раз в час.
Но обрыв происходит примерно раз в час. И в tcpdumpe на этом интерфейсе вылазит вот это:
> 13:00:33.889739 arp who-has 192.168.2.11 tell 192.168.80.5
> 13:00:33.889896 arp reply 192.168.2.11 is-at 00:1d:72:02:33:0f (oui Unknown)

"Пропадает соедининение"
Отправлено PavelR , 14-Апр-11 17:59

>> мак-адреса "протухают" гораздо быстрее, чем раз в час.
> Но обрыв происходит примерно раз в час. И в tcpdumpe на этом
> интерфейсе вылазит вот это:
>> 13:00:33.889739 arp who-has 192.168.2.11 tell 192.168.80.5
>> 13:00:33.889896 arp reply 192.168.2.11 is-at 00:1d:72:02:33:0f (oui Unknown)
а вы в тцпдамп не раз в час смотрите, а почаще. И побольше информации чтобы тцпдамп отображал, не только арп-запросы, но и всё остальное, может быть даже с ethernet-заголовками. Оно как бы полезно бывает.

"Пропадает соедининение"
Отправлено PavelR , 14-Апр-11 17:58

-
> Есть машина с Debian которая выполняет функции прокси(squid), и шлюза между подсетями
>  192.168.1.х и 192.168.2.х. 192.168.2.х - это "защищенная и секретная" подсесть
> в которой есть две машинки (192.168.2.10, 192.168.2.11 настройки сети для них
> выставлены ручками),
--
> которые скрыты от 192.168.1.х за натом.
феерично. "скрыты за натом".... мля. это ппц, слов других просто нет.
>Обе подсети подключены к одной сетевухе с vlanom, К ноутам из первой  подсети
> есть доступ только нескольким ресурсам: Серверу  Exchange(192.168.1.253), файловому серверу(192.168.1.6), и серверу с  интрасайтом(192.168.1.93).
Это как ? к ноутам из первой подсети (я так понимаю,  слово первая - это или цифра 1 в 192.168.1.0/24 или первая в вашем списке - опять же 192.168.1.0/24) доступ "только нескольким ресурсам" - опять же в сети 192.168.1.0/24 - так какое же оборудование этот доступ ограничивает ?  =) вы уж либо описывайте нормально, либо .... короче телепатов-угадывателей тут нету.
пунхт дфа: это как так - "у ресурсов есть доступ к ноутам" - бред. Обычно бывает наоборот, "у клиентов есть доступ к ресурсам"... Переделывайте.

> Проблема:
> При работе на ноутах в Outlook и acsses(база и PSTшник находиться на
> файловом сервере),
> примерно раз в час  "теряется соединение" с базой и pst файлом,
мои зачатки телепатии говорят, что ноуты и файловый сервер находятся в одном физическом сегменте, и "маршрутизатор" тут совсем не при чем. Если это не так, то потрудитесь подумать и внятно объяснять, что у вас где и как.

> соответсвено все это хозяйство вылетает с ошибкой, при этом в винде
> ошибок подключения нет,при повторном запуске програм все работает(без перезагрузки ноута),
> а на шлюзе debian в tcpdump появляется вот это:
> 13:00:33.889739 arp who-has 192.168.2.11 tell 192.168.80.5
> 13:00:33.889896 arp reply 192.168.2.11 is-at 00:1d:72:02:33:0f (oui Unknown)
> Подскажите как это победить.
Если вам надо победить ровно арп-запросы (я так трактую слово "это", как то "это", что появляется в tcpdump) - то пропишите хосты (мак-адреса в ARP-таблицы) статически, командой arp. Вообще говоря, полное прописывание мак-адресов имеет и негативные side-эффекты, проявляющиеся в том, что коммутаторы могут перестать находить эти мак-адреса на своих портах. Но вы же хотите лечить следствие, а не причину (если понимаете о чем я)....
> Правила iptabels:
> -A FORWARD -m state -d 192.168.80.0/24 -i eth1 --state ESTABLISHED -j ACCEPT
> -A FORWARD -s 192.168.2.0/24 -d 192.168.1.253/32 -j ACCEPT
> -A FORWARD -s 192.168.2.0/24 -d 192.168.1.6/32 -j ACCEPT
> -A FORWARD -s 192.168.2.0/24 -d 192.168.1.252/32 -j ACCEPT
> -A FORWARD -s 192.168.2.0/24 -d 192.168.1.93/32 -j ACCEPT
Приведенные выше размышления о том, что маршрутизатор не участвует в коммуникации между некими хостами "ноут" и "файловый сервер" подтверждаются вашими правилами файрволла.
Если вы хотите что-то от кого-то скрыть, выкладывая информацию на форум для обсуждения, то делать это надо также с умом. Приведенные правила файрволла не пропустят никакой трафик из сети 192.168.1.0/24 в сеть 192.168.2.0/24. Задумайтесь, как ходят по сети пакетики, в одну сторону или в две... Рекомендую переделать (вдумчиво, после чтения документации по сетям).

> -A POSTROUTING -o eth1 -j MASQUERADE
а если бы была приведена еще и конфигурация сетевых интерфейсов.... ээххх, мечты, мечты...
Спасибо что стараетесь развивать наши телепатические навыки.
Интересно, как это вообще совмещается с вашим описанием:
>Обе подсети подключены к одной сетевухе с vlanom,
Наверное вы таки не понимаете, что такое виланы. Рекомендую ознакомиться, и, конечно же, переделать настройки.

> sysctrl Прописал:
> net.ipv4.conf.all.proxy_arp=1
> net.ipv4.ip_dynaddr=1
> net.ipv4.conf.all.arp_filter=1
> net.ipv4.conf.all.rp_filter=1
> net.ipv4.ip_forward=1
Ой какие красивые ручки. Дайте подергать.
Подергали ? Жаль, стрелочек нету :-) Ничо не показывает. И "не едет".
Объясните, хотя бы для себя, чо уж там, нам на форум не надо, чего вы хотели добиться выставляя каждый конкретный параметр.

"Пропадает соедининение"
Отправлено BulBulDozeR , 14-Апр-11 22:46

to: PavelR
По поводу Nat:

На этих ноутах хранится очень важная информация, а в нашу сеть подключается много(192.168.1.0) левых тел(оутсорс всякий). По этому жители 192.168.1.0 не должны знать что в 192.168.2.0 вообще происходит, сколько машин там, и чем они там занимаются)
Я конечно понимаю что определение "у ресурсов есть доступ к ноутам" не хорошо звучит, но оно лучше всего отражает суть вопроса.
Схема такая:


<Ресурсы>--192.168.1.0--(192.168.1.5 <Debian> Vlan 192.168.2.5)----- 192.168.2.0--<ноуты>


Правила iptabels)):
> -A FORWARD -m state -d 192.168.2.0/24 -i eth1 --state ESTABLISHED -j ACCEPT
> -A FORWARD -s 192.168.2.0/24 -d 192.168.1.253/32 -j ACCEPT
> -A FORWARD -s 192.168.2.0/24 -d 192.168.1.6/32 -j ACCEPT
> -A FORWARD -s 192.168.2.0/24 -d 192.168.1.252/32 -j ACCEPT
> -A FORWARD -s 192.168.2.0/24 -d 192.168.1.93/32 -j ACCEPT
Сетевые интерфейсы выложу завтра.
> sysctrl Прописал:
> net.ipv4.conf.all.proxy_arp=1
> net.ipv4.ip_dynaddr=1
> net.ipv4.conf.all.arp_filter=1
> net.ipv4.conf.all.rp_filter=1
> net.ipv4.ip_forward=1
Признаю, что здесь все кроме последнего пункта скопипастил) Нашел где-то в инете что должно помочь...
ЗЫ Я конечно понимаю, что писатель я не великий ровно как и debian"шик. Прошу проявить терпение к начинающим. Вы тоже, я полагаю не сразу таким умным родились...

"Пропадает соедининение"
Отправлено PavelR , 14-Апр-11 22:58

> По поводу Nat:
Ну так нат это нат, а файрволл - это файрволл.
> Я конечно понимаю что определение "у ресурсов есть доступ к ноутам" не
> хорошо звучит, но оно лучше всего отражает суть вопроса.
В общем, если хотите чтобы вас поняли, старайтесь говорить на понятном языке.
Понятном теми, кому вы хотите информацию донести, а не так, как принято у вас "через переднюю пятку".
> Схема такая:
> <Ресурсы>--192.168.1.0--(192.168.1.5 <Debian> Vlan 192.168.2.5)----- 192.168.2.0--<ноуты>
А "ресурсы" и "ноуты" используют "Debian" в качестве шлюза по умолчанию, или предлагаете потелепатировать на эту тему ?

> Правила iptabels)):
>> -A FORWARD -m state -d 192.168.2.0/24 -i eth1 --state ESTABLISHED -j ACCEPT
Что еще вы выложили "видоизмененно" ? Предлагаете поугадывать ?

> Признаю, что здесь все кроме последнего пункта скопипастил) Нашел где-то в инете
> что должно помочь...
Что еще вы нашли и скопипастили ?
Я полагаю, что теперь систему надо переустанавливать и настраивать всё с нуля и заново, потому что искать черных блох на черной кошке в черной комнате - удел избранных.

"Пропадает соедининение"
Отправлено BulBulDozeR , 18-Апр-11 10:46

Настройки сети.
auto eth1
        iface eth1 inet static
        address 192.168.1.5
        netmask 255.255.255.0
        post-up iptables-restore < /etc/iptables.up.rules
auto vlan3
       iface vlan3 inet static
       address 192.168.2.5
       netmask 255.255.255.0
       hwaddress ether  00:d0:b7:13:14:00
       vlan_raw_device eth1
К Vlan3 подключены ноуты, к eth1 общая сеть.
>Ну так нат это нат, а файрволл - это файрволл.
Спасибо кэп!
Дефолт гетевай - у ноутов Debian. У ресурсов свой.
>Что еще вы нашли и скопипастили ?
Больше ничего.
ЗЫ.Вы напишите сразу список вопросов которые вам нужны, чтобы помочь решить мою проблему.

"Пропадает соедининение"
Отправлено Harry_nsk , 21-Дек-13 17:16

Будет правильней написать так:
"какую информацию предоставить вам для того, чтобы решить мою проблему."
А то иначе получается что-то типа: "угадай какой я тебе вопрос задам."
Мимо проходил...