uz jsem blizko VYPIS tcpdump

Dan Lukes dan at obluda.cz
Mon Nov 25 04:27:54 CET 2002
Previous message: uz jsem blizko VYPIS tcpdump
Next message: uz jsem blizko VYPIS tcpdump
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Pentium wrote, On 11/25/02 03:17:

> > Tak - chodil-li nam pripojeni teto masiny, pak je skutecn ecas na NAT.
> > Chova-li se system nestandardne, spustite na odchozim interface
> (kterym
> > muze byt ppp0, jak ale vyse receno, jake to je skutecne musite zjistit
> z
> > vasi konfigurace) program 'tcpdump' (doporucene paramery: "-n -s
> 1600 -p
> > -i ") a budete se divat, zda vidite ven odchazet ony
> > "ping" pakety, ktere Windowsy generuji.
>
> Zde je vypis:
> 01:57:09.515492 192.168.1.99 > 195.146.100.5: icmp: echo request

...

> 01:57:36.346157 192.168.1.99.1394 > 195.146.100.5.53: 1+ A?
> SEZNAM.CZ. (27)


	Pakety odchazeji z adresy 192.168.1.99 - to je adresa vnitrni (z vasi 
vnitrni site), ktera se mela NATem prelozit, ale evidentne neprelozila. 
Nedochazi tedy k prekladu.

> Odpoved na tve otazky:
> bezi ti natd ? No snad jo mam v rc.configu natd enable i kdyz jak to
> muzu zjistit ?

"ps -ax" vypise vsechny bezici procesy, NAT musi byt mezi nimi, jinak 
nebezi.
Krome 'natd_enable="YES"' musi byt pritomno take 'natd_interface="ppp0"'
Dale musi byt aktivni firewall.  Mate v rc.conf aktivovan firewall v 
konfiguraci "open" tak jak uz jsem jednou drive psal 
(firewall_enable=YES";firewall_type="open") ?

Vypis 'ipfw l' jak jste ho zaslal ukazuje, ze firewall neni ve spravnem 
stavu.

Vyse uvedene samozrejme plati v pripade, ze pouzivate takovy script pro 
nastavovani firewalu, ktery na zaklade vyse uvedenych promennych dokaze 
firewall nastavit spravne. V konfiguraci jsem si vsiml, ze nepouzivate 
standardni /etc/rc.firewall, ale /etc/rc.ipfw, ktere ve standardni 
instalaci neni a proto predpokladam, ze jste si ho napsal sam - coz 
predpoklada, ze jste pochopil funkce ipfw a na zaklade 
'natd_enable="YES"' a 'natd_interface="ppp0"' v nem spravne nastavujete 
divert prichozich a odchozich paketu do NATu.

	Pokud tomu tak neni, je zakladnim krokem vratit se k dodavanemu 
rc.firewall, prinejmensim do doby nez budete pripraven napsat si vlastni.

> Nasel jsem jeste jeden zaznam jak jsem si s tim hral
> 03:27:20.501368 212.90.241.168.1058 > 195.146.100.5.53: 54361+ A?
> ferda.martin-network.cz. (41)
> 03:27:20.666717 195.146.100.5.53 > 212.90.241.168.1058: 54361
> NXDomain 0/1/0 (97) (DF)

	Tohle sice problem primo souvisejici s prekladem, nicmene, problem to 
je, tak proc se o nem nezminit - nemate v poradku DNS, protoze se 
evidentne ptate CZCOMu na IP adresu stroje ferda.martin-network.cz, 
kterou CZCOM (protoze jste si celou domenu vymyslel) pochopitelne nemuze 
znat. Kdyz uz jste si domenu vymyslel, mel byste ji korektne obsluhovat 
primo na vasem stroji, protoze na dotazy posilane do okoli tezko nekdo 
odpovi..

> Jeste jeden poznatek zkusil jsem v Kppp je moznost v nastaveni
> associovat pripojenou branu assing to default route to this gateway
> ty predchozi vypisy byli behem toho co to bylo zaskrtnute Pokud to
> nezaskrtnu tak se nic nememni casovy limit vyprsel.
> Je to proste to same az je to zapnute a nebo neni.

	S nastavenim kppp vam nijak neporadim - vubec ho neznam a nemam poneti 
co dela "assign default route to this gateway". Ja vam mohu pouze rict, 
jaka je spravna default gateway - na stanicich je to vzdy adresa vaseho 
routeru (IP adresa na jeho vnitrnim interface), na routeru je to adresa, 
kterou vam pridelil vas provider soucasne s IP adresou (aktualni IP 
adresu vam rekne 'ifconfig -a', aktualni 'default route" vam rekne 
'netstat -rn').

> Tak to mi prosim poradte ktera moznost podle toho vypisu pada v uvahu

	V popisu moznosti bylo napsano jak poznate, ktera z moznosti je ta 
"spravna" - pakety odchazely, a to se zdrojovou adresou neprelozenou - 
slo tedy o moznost (kterou jsem avizoval jako favorita):

> > 2: odchazeji a to se zdrojovou adresou
> > 2a: neprelozenou - pak je chybne nakonfigurovan NAT (vcetne
> > souvisejici konfigurace firewallu)

> slozite ,ale je to tam prece jen jine a graficke. Teoreticke fungovani
> internetu a paketu obecne docela chapu vcetne routrovani atd ovsem vim
> pouze co se s tim paketem deje uz ovsem nevim jak docilit aby se to s
> nim delo. Toto co chystam nepotrebuji ani tak do prace tam jsou na to

	No, nechci vam sahat do svedomi, nicmene pak by vam nemelo delat 
problemy poznat, proc se pakety (ping) odesilane ven nevraceji - 
nevraceji se jelikoz je odesilate s navratovou adresou, pro kterou neni 
u vaseho ISP nastaven routing, ktery tam, jak tedy musite vedet, ani byt 
nastaven nemuze, takze zpatky odpoved proste "netrefi".

	Mimochodem, ze zaslane konfigurace se mi zdalo, ze mate spusten 
'routed' - daemon pro vymenu routovacich informaci. Pokud routingu 
rozumite, nemusim nijak zvlast vysvetlovat, proc je jeho spousteni ve 
vasem pripade pravdepodobne zcela zbytecne (i kdyz nicemu neprekazi) - 
myslim, ze si nema s kym vymenovat routingove tabulky ..

				Dan

-- 
Dan Lukes     tel: +420 2 21914205, fax: +420 2 21914206
root of  FIONet, KolejNET,  webmaster  of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz
Previous message: uz jsem blizko VYPIS tcpdump
Next message: uz jsem blizko VYPIS tcpdump
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
More information about the Users-l mailing list