[+] Nie można dosta

[Finarfin]

Mam problem ze skomunikowaniem się z jednej podsieci do drugiej. Generalnie opcja jest taka, że mam dwie podsieci - jedna od zarządzania, druga - z urządzeniami. Chcę abym z sieci zarządzalnej mógł się dostać do podsieci z urządzeniami i abym mógl je konfigurować. Sieć zarządzalna to podsieć 192.168.2.0/24, z urządzeniami 192.168.102.0/24. Wykonuje regułkę:

Kod: Zaznacz cały

iptables -I FORWARD -s 192.168.2.0/24 -d 192.168.102.0/24 -j ACCEPT

A tu niestety ping z podsieci 2 nie odpowiada. Co ciekawe jak na ruterze wpiszę ping na jakiekolwiek urządzenie w sieci 102 to otrzymuję:

Kod: Zaznacz cały

ping 192.168.102.3
PING 192.168.102.3 (192.168.102.3) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted

Brzmi to nieco kosmicznie, tym bardziej, że ruting teoretycznie jest ustawiony prawidłowo.
Gdy ustawiam regułkę w drugą stronę to z sieci 102 mogę pingować urządzenia w sieci 2 - tylko nie o to mi chodzi.

Ktoś wie jak można sobie z tym problemem poradzić?

[mendeczka]

Kolego nie obraź się, ale najpierw zapoznaj się z tym Jak mądrze zadać pytanie .
Po zapoznaniu się z tym opisem. Podaj nam więcej info odnośnie Twojej konfiguracji i nie wydaje mi się żeby ludzie sami zgadywali co i jak robisz i masz skonfigurowane

[Finarfin]

Generalnie nie wiem czego kolega zbytnio nie zrozumiał, ale może to dlatego, że i sam jestem przemęczony.

Ale spróbuję inaczej i szerzej (i z polskimi znaczkami, bo widzę, że mój post został przez moderatora edytowany).

Mam ruter, pod którym mam skonfigurowane kilkanaście podinterfejsów dla kilkunastu różnych podsieci. Na jednym podinterfejsie mam skonfigurowaną sieć dla wifi - jest ona skonfigurowana z założeniami bardziej restrykcyjnymi, jeżeli chodzi o dostęp do innych podsieci. Generalnie tam wszystko jest praktycznie ustawione na ,,DROP'', poza dostępem do internetu. I działa to tak samo w drugą stronę. Jednak chciałbym się dostać do sieci wifi z poziomu sieci administratorskiej - i właśnie do tego zmierzam i ten problem opisałem w poście powyżej.

Sieć administratorska - podsieć o adresie 192.168.0.2/24. Sieć wifi - podsieć o adresie 192.168.0.102/24.
Normalnie po wklepaniu regułki:

Kod: Zaznacz cały

iptables -I FORWARD -s 192.168.2.0/24 -d 192.168.102.0/24 -j ACCEPT

powinno wszystko działać i tego posta nie powinno być. Ale niestety tak nie jest. Jak robię ping z komputera w sieci administratorskiej na dowolną wifi - nie dostaję odpowiedzi. Więc wszedłem na ruter i spróbowałem z niego zapuścić ping na urządzenie w sieci wifi - w końcu ruter powinien móc wszystko. A tam niestety takie coś:

Kod: Zaznacz cały

ping 192.168.102.3
PING 192.168.102.3 (192.168.102.3) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted

A więc myślę - co to jest? Pogooglałem na ten temat, a tu niestety żaden z tamtych opisów zbytnio nie pomógł. Dla testów ustawiłem przekierowanie portów w drugą stronę, czyli:

Kod: Zaznacz cały

iptables -I FORWARD -s 192.168.102.0/24 -d 192.168.2.0/24 -j ACCEPT

i pingowałem z sieci wifi urządzenia w sieci administratorskiej - pingi wtedy leciały! Ale przecież nie o to mi chodziło, to gryzłem temat dalej, ale na nic sensownego nie wpadłem.

W związku z tym pytanie ciągle aktualne: co może być nie tak?

[fnmirk]

Finarfin, prościej byś to zobrazował gdyś do pierwszej wiadomości dołączył jakiś szkic sieci, teraz rozjaśniłeś ten temat. Brakuje tylko informacji o wersji (wersjach) systemu operacyjnego na poszczególnych elementach połączeń sieci. Może wykonaj szkic i przedstaw wynik:

Kod: Zaznacz cały

uname  -r

W jakich okolicznościach do tego doszło?
Robiłeś jakąś aktualizację?
Wymianę sprzętu?
Miałeś awarię zasilania itp.

[Finarfin]

Połączenie ruter - przełącznik (switch) na zasadzie ,,router on a stick''. Tych urządzeń w każdej podsieci jest oczywiście więcej, ale to nie ma takiego znaczenia.

Ruter ma zainstalowanego Debiana Lenny, natomiast urządzenia np. w sieci zarządzalnej (administratorskiej) to PC-ty, mają wszystkie OSy, natomiast w sieci wifi to AP (choć odnośnie pytania o wersję tych urządzeń to nie wiem w czym to może pomóc).

W jakich okolicznościach do tego doszło?

Po prostu próbuję teraz nagle coś takiego skonfigurować - wcześniej nie chodziło, teraz chcę by chodziło.

Robiłeś jakąś aktualizację?

Robiłem aktualizację ale to dość dawno na ruterze z Etcha na Lennego.
Ale to też raczej nie jest przyczyna nagła.

[bzyk]

Pokaz wynik komend (na routerze ktory zabrania Ci pingowac);

Kod: Zaznacz cały

ip a show
ip r show
iptables -L -nv
iptables -L -nv -t nat 
uname -a

[mendeczka]

Wylistuj nam jakie reguły masz w swoim firewallu (bez tego będziemy stać w miejscu).
Czy czasem wpisując:

Kod: Zaznacz cały

iptables -I 

nie powinieneś podać, na której pozycji ma być ta reguła wpisana? Wstawienie reguły do łańcucha na określoną pozycję (-I).
Np.:

Kod: Zaznacz cały

iptables -I FORWARD 3 -s 192.168.102.0/24 -d 192.168.2.0/24 -j ACCEPT

(być może się nie znam - ale chce się nauczyć).

A co do pingów to nie powinno jeszcze być:

Kod: Zaznacz cały

iptables -A INPUT -p icmp -j ACCEPT

[Finarfin]

Witam po długiej przerwie. Niestety miałem w międzyczasie sporo na głowie, tak iż nie mogłem się za to zadanie zabrać.

Jednak po dokładnym przejrzeniu logów zauważyłem, że wycinałem ruch wyjściowy do podsieci 102. Ostatecznie poprawiłem wpisy i działa, że aż miło.

Tak, że dziękuję za rady - można problem zamknąć.