martian source

Luc3k · Post autor: **Luc3k** » 04 czerwca 2015, 23:46

Podczas konfiguracji nowego serwera (Debian Wheezy x64) natknąłem się na problem, którego nie mogę rozwiązać.
Serwer posiada dwa interfejsy sieciowe eth0 - Wan (pobiera adres ip od dostawcy internetu), eth1 - Lan (adres statyczny 192.168.14.1/16). Serwer ma pełnić rolę m.in. routera więc skonfigurowałem dhcp oraz udostępnianie internetu dla poszczególnych komputerów w sieci. Robię to za pomocą takich wpisów w zaporze:

Kod: Zaznacz cały

iptables -t nat -A POSTROUTING -s 192.168.14.2/32 -j MASQUERADE
iptables -A FORWARD -s 192.168.14.2/32 -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.14.3/32 -j MASQUERADE
iptables -A FORWARD -s 192.168.14.3/32 -m mac --mac-source XY:XY:XY:XY:XY:XY -j ACCEPT

I do tego momentu wszystko działa jak należy (serwer dhcp przyznaje adresy filtrując je po mac adresach, zapora udostępnia internet w/w adresom ip, pod warunkiem, że posiadają właściwy mac adres).

Jako, że w sieci przybywa urządzeń z różnych kategorii (tablety, smartfony, telewizory itp.) postanowiłem, że będę te urządzenia umieszczał w innej sieci 192.168.1.0/16 - dla lepszego rozeznania. Pomysł ten rozwiązuję w identyczny sposób jak powyżej. Serwer dhcp przydziela adres ip:

Kod: Zaznacz cały

host test01 {
hardware ethernet 10:A5 :D:12:87:32;
fixed-address 192.168.1.1;
option broadcast-address 192.168.255.255;
option routers 192.168.14.1;
}

host test02 {
hardware ethernet 10:F9:EE:12:34:82;
fixed-address 192.168.1.2;
option broadcast-address 192.168.255.255;
option routers 192.168.14.1;
}

Następnie zapora zezwala na ruch z i do internetu:

Kod: Zaznacz cały

iptables -t nat -A POSTROUTING -s 192.168.1.1/32 -j MASQUERADE
iptables -A FORWARD -s 192.168.1.1/32 -m mac --mac-source 10:A5 :D:12:87:32 -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.1.2/32 -j MASQUERADE
iptables -A FORWARD -s 192.168.1.2/32 -m mac --mac-source 10:F9:EE:12:34:82 -j ACCEPT

I w tym momencie zaczynają się kłopoty. Serwer dhcp przyznaje adresy ip, nie mniej jednak w logach widać następujące wpisy (przykład z logu dotyczy adresu 192.168.1.3, ale z adresami 192.168.1.1-2 jest podobnie):

Kod: Zaznacz cały

martian source 192.168.14.1 from 192.168.1.3, on dev eth1
ll header: ff:ff:ff:ff:ff:ff:db:f3:5b:35:32:30:08:06
martian source 192.168.14.1 from 192.168.1.3, on dev eth1
ll header: ff:ff:ff:ff:ff:ff:db:f3:5b:35:32:30:08:06
martian source 192.168.14.1 from 192.168.1.3, on dev eth1
ll header: ff:ff:ff:ff:ff:ff:db:f3:5b:35:32:30:08:06
martian source 192.168.1.3 from 192.168.1.3, on dev eth1

W konsekwencji urządzenia otrzymujące adresy ip z sieci 192.168.1.0/16 nie dostają internetu.
Od czego zacząć, aby wyeliminować ten problem?

Post autor: **Yampress** » 07 czerwca 2015, 19:07

fowarding w jaju włączony?

dhcp nie dzieli internetu. Jest tylko po to aby przydzielać automatycznie adresy IP komputerom, które o ip poproszą, bo tak są defaultowo skonfigurowane, aby móc się łączyć.

Luc3k · Post autor: **Luc3k** » 07 czerwca 2015, 22:16

Tak, taką mam regułkę w zaporze:
"/bin/echo 1 > /proc/sys/net/ipv4/ip_forward" - jeżeli o to Ci chodzi

Zasada działania serwera dhcp jest mi w miarę dobrze znana, dlatego tym bardziej dziwi mnie takie zachowanie w logach tej usługi.

Post autor: **LordRuthwen** » 08 czerwca 2015, 09:17

Na którym eth masz w końcu WAN? Bo w pierwszym poście oba to eth0.

Luc3k · Post autor: **Luc3k** » 08 czerwca 2015, 13:14

LordRuthwen pisze:Na którym eth masz w końcu WAN? Bo w pierwszym poście oba to eth0.

Rzeczywiście wkradł się błąd - już poprawiłem. WAN jest na eth0.

Post autor: **LordRuthwen** » 08 czerwca 2015, 13:59

DHCPD działa na konkretnym interfejsie?

Luc3k · Post autor: **Luc3k** » 08 czerwca 2015, 15:06

Na eth1.

Post autor: **Yampress** » 08 czerwca 2015, 17:30

A urzadzenia o tych MAC dostają dokładnie te ip, które im przydzieliłeś?
mogą pobietać ip z serwera dhcp?
skąd znasz MAC tych urządzeń?

pokaż konfiguracje interfejsów z /etc/network/interfaces

Luc3k · Post autor: **Luc3k** » 10 czerwca 2015, 23:16

Yampress pisze:A urzadzenia o tych MAC dostają dokładnie te ip, które im przydzieliłeś?

Tak

Yampress pisze: mogą pobietać ip z serwera dhcp?

Tak

Yampress pisze: skąd znasz MAC tych urządzeń?

Z poprzedniego serwera. Wygaszamy stary serwer i konfigurujemy nowy. Dane są przenoszone.

Yampress pisze: pokaż konfiguracje interfejsów z /etc/network/interfaces

Kod: Zaznacz cały

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0
iface eth0 inet dhcp

auto eth1
iface eth1 inet static
address 192.168.14.1
netmastk 255.255.0.0

Post autor: **Yampress** » 11 czerwca 2015, 16:02

Adresy hostów masz w innej podklasie adresowej

interfejs serwera chodzi w sieci 192.168.14.*

urządzeniom przyznajesz adresy z podklasy 192.168.1.*

chyba powinny być z tej samej podklasy?