Изпечатай

[bashi1]

Привет! Днес ми се случи нешто много странно с интернета. Всичко си вьрвеше добре. Интернета ми е VPN. Днес нещо се случи и като се опитам да да пусна пинг кьм някои локален server ми дава:
ping: sendmsg: Operation not permitted
Обадих се на достажчика ми и се устаножи че проблема не е в него - и MAC на карата е добре.
Сега нямам и външен интернет. Какво може да съм объркал?

[neter]

За ping-а, проблемът би трябвало да се реши с

Примерен код

chmod 4755 /bin/ping

Липсата на международна свързаност ми прилича на друг проблем и ако не си слагал някакви защитни стени, то проблемът трябва да се търси при доставчика '>

edit: Извинявай, малко бях сбъркал командата '>

[bashi1]

Ами проблемът не се опражи с тази команда. Проблемът явно не е при моя доставчик, защото слойих кабела на един друг комп с вин и там всичко си върви. За защитна стена не съм писал никакви други правила освен за една вутрешна мрежа - за nat. Все пак има ли начин да се проверят и премахнат всички защитни стени? Забелязах и нещо друго. Ако изгася компа си и след определено време го включа и запона ръчно са си пражя настоиките всичко вурви добре докато не дам route add default gw ... . Не само, че не тръгва интернет, но се появява и този отговор на пинг към локалните сървари. Сложих кабела и на втората си лан карта - опражих МАК-а но и там проблемът си остава. Какво може да се направи по въпроса?

[neter]

Виж промяната в командата, която съм направил в предния ми пост. Така трябва да бъдат зададени правата на /bin/ping. Проблемът обаче, може и да не е от това. Дай изходи от командите

Примерен код

ifconfig route -n iptables -L -t filter iptables -L -t nat iptables -L -t mangle

Чистенето на правила в iptables става с командата

Примерен код

iptables -D ВЕРИГА НОМЕР_РЕД -t ТАБЛИЦА

Пример

Примерен код

iptables -D INPUT 2 -t filter

Изчистването на цялата таблица става с командата

Примерен код

iptables -F -t ТАБЛИЦА

[p3tzata_]

Цитат (bashi1 @ Март 27 2008,08:10)

Забелязах и нещо друго. Ако изгася компа си и след определено време го включа и запона ръчно са си пражя настоиките всичко вурви добре докато не дам route add default gw ... . Не само, че не тръгва интернет, но се появява и този отговор на пинг към локалните сървари.

А защо трябва да даваш "route add default gw ..." аз това не мога да разбера

Aко имаш такъв ред в маршрутизиращата таблица:

Примерен код

Destination     Gateway         Genmask       Flags    Metric   Ref       Use    Iface ******             ******           *******      ***        ***           ***    ***         **** 0.0.0.0              0.0.0.0            0.0.0.0             U          0              0         0           ppp0 ******            ******            *******      ***        ***           ***    ***         ****

Никога няма да имаш интернет

[Slevin_]

Понеже имаш VPN, да не би проблема да се дължи на MTU (Maximum Transmission Unit).
Защото проблемите, за които говориш според мен е възможно да са за обвързани с MTU.
Windows си сетва MTU=1396 по спомен,
докато БСД и Линукс, мисля че могат да работят MTU=1496 с PPTP.
Може да пробваш директно да сетнеш MTU=1396 или с windows ping -а  да
вдигнеш флага Don't Fragment и да променяш размера на пакета.
Когато спре да минава, значи е достигнато MTU на трасето.
След това сетни това MTU в конфига на ppp интерфейса.

В идеалния случай ако се изпрати по голям пакет би трябвало да върне ICMP MTU грешка с размера на MTU, които трябва да бъде.
Това при полжение, че доставчика не е филтрирал ICMP, примерно заради червеите, които се разпространяват в windows, чрез ICMP echo request
Следствие на това филтриране се чупи и механизма на Path MTU Discovery -то, което въобще не е препоръчително.
М/у другото в windows този механизъм e изключен по подразбиране.
Та докато сис-админите се чудим как да "озъптим" Windows машините в мрежите ни, се случва да си докараме и повече главоболия.

[bashi1]

Така - не знам от къде да започна. Що се отнася до ifconfig и iptables в момента не мога да копирам изхода от командите, понеже на компа няма ев мометна нито ЦД нито флопи. Ще се опитам да намеря една флаш карта и ще ги копирам. От iptables  ми показа пражила само в filter но едва ли е от това, понеже не съм ги слагал аз а и ако ги махна и се опитам да пусна интернета резултата е същия. Това с MTU не можах много да го разбера но навсякъде е 1500. Ако си изключа компа и след тожа го включа и започна да правя настроиките ръчно всичко е наред до пускането на външния интернет. Опитах се да вляза в спасителния режим на ядрото и там се случи нещо, което не разбрах. След като вдигнах външния интернет изведнъж започнаха да се появяват едни редове без да съм писал нищо. Успях да препиша малко от тях - те се повтарят с малки изманения - [268.577127] IN= OUT= eth0 SRC = 10.26.20.76 DST= 10.0.0.7 LEN=56 TOS=0x00 PREC=0x00 TTL=64 ID=25324 DF PROTO=TCPSPPT=56770 DPT=1723 WINDOW=6432 RES=0x00 56770 DPT=1723 ACK PSH FIN URGP=0
Това има ли някаква връзка с проблема?

[neter]

Опа, чакай сега. Как така "до пускането на външния интернет"? Кой външен интернет? Отделни доставчици ли имаш за peering и за международен? Или става дума за друго? Обясни по-подробно картинката.

[Slevin_]

Цитат (bashi1 @ Март 27 2008,17:58)

Това с MTU не можах много да го разбера но навсякъде е 1500.

Да приемем, че интeрфейса на VPN-а ти е ppp0
Сетването на MTU става така:

Примерен код

ifconfig ppp0 mtu 1396

Ако не стане, намали още mtu-то 1380 примерно
За да ти се запазят настройките след рестарт, ще трябва да откриеш options.pptp
на ppp0 интерфейса и да нанесеш корекцията там. Обикновено се намира в /etc/ppp/options.pptp

Цитат (neter @ Март 27 2008,18:43)

Опа, чакай сега. Как така "до пускането на външния интернет"? Кой външен интернет? Отделни доставчици ли имаш за peering и за международен? Или става дума за друго? Обясни по-подробно картинката.

С гадателските си способности, мисля че се ориентирах в ситуацията му, но нека да обясни точно.

[bashi1]

Ами ето за какво става дума - имам локален интернет - мрежа 10.0.0.0 - там са всички локални сържари - ето командите, с които го пускам
ifconfig eth0 10.26.20.76 netmask 255.255.255.0 up
route add -net 10.0.0.0 netmask 255.224.0.0 gw 10.26.20.1
с това всичко е наред. Като дам pon neta ми се появява това ppp0 но само за няколко секунди или вобще не се появява и идва проблема с пинга и разпадането на цялата мрежа.

[neter]

Подозирам, че целият проблем се дължи на защитна стена. И грешката при ping е такава, каквато излиза при блокирам icmp порт... Намери начин да ни покажеш изходите от

Примерен код

iptables -L -t filter iptables -L -t nat iptables -L -t mangle

За да огледаме точно какво е въвела защитната ти стена в iptables и да решим какво трябва да се направи. Кажи и какъв софтуер използваш за защитна стена (защото явно не си си я изграждал сам), а погледни и конфигурационния файл на pppoe-то, защото в зависимост от нивото на сигурност, най-вероятно от там се вкарват някои или всички правила в iptables '>

[bashi1]

Ами nat i mangle са празни таблици. Ще препиша filter
Chain INPUT (policy DROP)
target     port      opt    source       destination
ACCEPT    0        - -     anywhere     anywhere
LOG         0        - -     127.0.0.0/8   anywhere  LOG lewel waring
DROP       0        - -      127.0.0.0/8   anywhere
ACCEPT   0         - -      anywhere       255.255.255.255
ACCEPT   0        - -      anywhere        10.26.20.76
ACCEPT   0        - -       anywhere         10.26.20.255
DROP      0          - -      anywhere        ALL.SYSTEMS.MCAST.NET
LOG        0         - -       anywhere     anywhere  LOG lewel waring
DROP     0         - -        anywhere      anywhere
Chain FORWARD (policy DROP)
target     port      opt    source       destination
DROP      0          - -      anywhere        ALL.SYSTEMS.MCAST.NET
LOG        0         - -       anywhere     anywhere  LOG lewel waring
DROP      0          - -      anywhere    anywhere
Chain OUTPUT (policy DROP)
target     port      opt    source       destination
ACCEPT    0        - -     anywhere    anywhere
ACCEPT    0        - -     anywhere     255.255.255.255
ACCEPT  0         - -      10.26.20.76    anywhere
ACCEPT  0         - -      10.26.20.255   anywhere
DROP      0          - -      anywhere        ALL.SYSTEMS.MCAST.NET
LOG        0         - -       anywhere     anywhere  LOG lewel waring
DROP      0          - -      anywhere    anywhere
Дано не съм объркал нещо

[neter]

Само като видях напълно противоречащите си първи и последен ред от INPUT и OUTPUT, а и този policy DROP, след който внимателно трябва да се опишат всички нужни позволения, а както се вижда това не е направено и ме домързя да чета останалото. Махни тези правила (както ти казах, най-вероятно са описани в конфигурационния файл на pppoe-то) и си задай policy ACCEPT, след което най-вероятно няма да имаш проблеми, освен ако нямаш някъде и някакъв друг проблем. Защитната стена си я изгради сам. Няма лошо, а дори е полезно да е policy DROP, но правилата трябва да са описани точно, защото ще е позволено само описаното в правилата, но когато си изградиш защитната стена сам, ще знаеш точно кое защо е така и ще знаеш точно какви ограничения си наложил както на себе си, така и на другите, които се опитват да се вържат към машината ти '>

[bashi1]

След като вдигнах интернета тези таблици се попромениха
В първата се добави още един ред
ACCEPT   0         - -      anywhere       255.255.255.255
Ето още други редове
ACCEPT 0  - -   10.26.20.0/24 anywhere
ACCEPT 0  - -   212.233.255.5 anywhere
ACCEPT !tcp - - anywhere 224.0.0.0/4
ACCEPT !tcp - - anywhere 224.0.0.0/4
DROP 0 -- anywhere 224.0.0.1
Втората таблица също има други редове
В нея само последните редове са сущите - ето първите
ACCEPT 0 -- 212.233.255.5 10.26.20.0/24
ACCEPT 0 -- anywhere 212.233.255.5
ACCEPT 0 -- 172.26.20.76 10.26.20.0/24
ACCEPT 0 - - 10.26.20.0/24 172.26.20.76
DROP 0 -- anywhere 224.0.0.1
В Третата таблица първите и последните редове са еднакви - ето другите
ACCEPT   0         - -      anywhere       255.255.255.255
ACCEPT 0  - -    anywhere  10.26.20.0/24
ACCEPT 0  - -    anywhere  212.233.255.5
ACCEPT !tcp - - anywhere 224.0.0.0/4
ACCEPT !tcp - - anywhere 224.0.0.0/4
DROP 0 -- anywhere 224.0.0.1

[neter]

Приеми съвета ми, изчисти си таблиците и си изгради сам защитната стена. Временно можеш да изчистиш таблиците с командата

Примерен код

iptables -F

а policy-то можеш да го смениш с последователни команди

Примерен код

iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT

след което провери как стоят нещата. Ако проблемът ти е изчезнал, то намери къде са описани всички тези правила и ги махни, за да не се зареждат със системата и с вдигането на ppp0 и си изгради сам стената.