The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Пропадает соедининение"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Маршрутизация, NAT / Linux)
Изначальное сообщение [ Отслеживать ]

"Пропадает соедининение"  +/
Сообщение от BulBulDozeR (ok) on 14-Апр-11, 13:26 
Здравствуйте!

Помогите разобраться с проблемой:
Имеем:
Есть машина с Debian которая выполняет функции прокси(squid), и шлюза между подсетями  192.168.1.х и 192.168.2.х. 192.168.2.х - это "защищенная и секретная" подсесть в которой есть две машинки (192.168.2.10, 192.168.2.11 настройки сети для них выставлены ручками), которые скрыты от 192.168.1.х за натом. Обе подсети подключены к одной сетевухе с vlanom, К ноутам из первой  подсети есть доступ только нескольким ресурсам: Серверу  Exchange(192.168.1.253), файловому серверу(192.168.1.6), и серверу с  интрасайтом(192.168.1.93).

Проблема:
При работе на ноутах в Outlook и acsses(база и PSTшник находиться на файловом сервере),
примерно раз в час  "теряется соединение" с базой и pst файлом, соответсвено все это хозяйство вылетает с ошибкой, при этом в винде ошибок подключения нет,при повторном запуске програм все работает(без перезагрузки ноута), а на шлюзе debian в tcpdump появляется вот это:

13:00:33.889739 arp who-has 192.168.2.11 tell 192.168.80.5
13:00:33.889896 arp reply 192.168.2.11 is-at 00:1d:72:02:33:0f (oui Unknown)

Подскажите как это победить.

Правила iptabels:

*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Wed Apr 13 13:58:56 2011
# Generated by iptables-save v1.4.2 on Wed Apr 13 13:58:56 2011
*filter
:FORWARD DROP [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -m state -d 192.168.80.0/24 -i eth1 --state ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.2.0/24 -d 192.168.1.253/32 -j ACCEPT
-A FORWARD -s 192.168.2.0/24 -d 192.168.1.6/32 -j ACCEPT
-A FORWARD -s 192.168.2.0/24 -d 192.168.1.252/32 -j ACCEPT
-A FORWARD -s 192.168.2.0/24 -d 192.168.1.93/32 -j ACCEPT
COMMIT
# Completed on Wed Apr 13 13:58:56 2011
# Generated by iptables-save v1.4.2 on Wed Apr 13 13:58:56 2011
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o ppp1 -j MASQUERADE
-A POSTROUTING -o ppp2 -j MASQUERADE
COMMIT
# Completed on Wed Apr 13 13:58:56 2011

sysctrl Прописал:

net.ipv4.conf.all.proxy_arp=1
net.ipv4.ip_dynaddr=1
net.ipv4.conf.all.arp_filter=1
net.ipv4.conf.all.rp_filter=1
net.ipv4.ip_forward=1


Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Пропадает соедининение"  +/
Сообщение от Zl0 (ok) on 14-Апр-11, 14:01 
> 13:00:33.889739 arp who-has 192.168.2.11 tell 192.168.80.5
> 13:00:33.889896 arp reply 192.168.2.11 is-at 00:1d:72:02:33:0f (oui Unknown)

Если у вас протухают маки, и именно из-за этого происходит такой разрыв соединения, в чем я не уверен, то пропишите  мак адреса статиком двух своих секретных ноутбуков.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Пропадает соедининение"  +/
Сообщение от BulBulDozeR (ok) on 14-Апр-11, 17:32 
>> 13:00:33.889739 arp who-has 192.168.2.11 tell 192.168.80.5
>> 13:00:33.889896 arp reply 192.168.2.11 is-at 00:1d:72:02:33:0f (oui Unknown)
> Если у вас протухают маки, и именно из-за этого происходит такой разрыв
> соединения, в чем я не уверен, то пропишите  мак адреса
> статиком двух своих секретных ноутбуков.

Прописал. Буду тестить. Но хотелось бы понять причину протухания.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Пропадает соедининение"  +/
Сообщение от PavelR (??) on 14-Апр-11, 17:37 
>>> 13:00:33.889739 arp who-has 192.168.2.11 tell 192.168.80.5
>>> 13:00:33.889896 arp reply 192.168.2.11 is-at 00:1d:72:02:33:0f (oui Unknown)
>> Если у вас протухают маки, и именно из-за этого происходит такой разрыв
>> соединения, в чем я не уверен, то пропишите  мак адреса
>> статиком двух своих секретных ноутбуков.
> Прописал. Буду тестить. Но хотелось бы понять причину протухания.

мак-адреса "протухают" гораздо быстрее, чем раз в час.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Пропадает соедининение"  +/
Сообщение от BulBulDozeR (ok) on 14-Апр-11, 17:48 
> мак-адреса "протухают" гораздо быстрее, чем раз в час.

Но обрыв происходит примерно раз в час. И в tcpdumpe на этом интерфейсе вылазит вот это:
> 13:00:33.889739 arp who-has 192.168.2.11 tell 192.168.80.5
> 13:00:33.889896 arp reply 192.168.2.11 is-at 00:1d:72:02:33:0f (oui Unknown)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Пропадает соедининение"  +/
Сообщение от PavelR (??) on 14-Апр-11, 17:59 
>> мак-адреса "протухают" гораздо быстрее, чем раз в час.
> Но обрыв происходит примерно раз в час. И в tcpdumpe на этом
> интерфейсе вылазит вот это:
>> 13:00:33.889739 arp who-has 192.168.2.11 tell 192.168.80.5
>> 13:00:33.889896 arp reply 192.168.2.11 is-at 00:1d:72:02:33:0f (oui Unknown)

а вы в тцпдамп не раз в час смотрите, а почаще. И побольше информации чтобы тцпдамп отображал, не только арп-запросы, но и всё остальное, может быть даже с ethernet-заголовками. Оно как бы полезно бывает.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Пропадает соедининение"  +/
Сообщение от PavelR (??) on 14-Апр-11, 17:58 
-
> Есть машина с Debian которая выполняет функции прокси(squid), и шлюза между подсетями
>  192.168.1.х и 192.168.2.х. 192.168.2.х - это "защищенная и секретная" подсесть
> в которой есть две машинки (192.168.2.10, 192.168.2.11 настройки сети для них
> выставлены ручками),

--
> которые скрыты от 192.168.1.х за натом.

феерично. "скрыты за натом".... мля. это ппц, слов других просто нет.

>Обе подсети подключены к одной сетевухе с vlanom, К ноутам из первой  подсети
> есть доступ только нескольким ресурсам: Серверу  Exchange(192.168.1.253), файловому серверу(192.168.1.6), и серверу с  интрасайтом(192.168.1.93).

Это как ? к ноутам из первой подсети (я так понимаю,  слово первая - это или цифра 1 в 192.168.1.0/24 или первая в вашем списке - опять же 192.168.1.0/24) доступ "только нескольким ресурсам" - опять же в сети 192.168.1.0/24 - так какое же оборудование этот доступ ограничивает ?  =) вы уж либо описывайте нормально, либо .... короче телепатов-угадывателей тут нету.

пунхт дфа: это как так - "у ресурсов есть доступ к ноутам" - бред. Обычно бывает наоборот, "у клиентов есть доступ к ресурсам"... Переделывайте.


> Проблема:
> При работе на ноутах в Outlook и acsses(база и PSTшник находиться на
> файловом сервере),
> примерно раз в час  "теряется соединение" с базой и pst файлом,

мои зачатки телепатии говорят, что ноуты и файловый сервер находятся в одном физическом сегменте, и "маршрутизатор" тут совсем не при чем. Если это не так, то потрудитесь подумать и внятно объяснять, что у вас где и как.


> соответсвено все это хозяйство вылетает с ошибкой, при этом в винде
> ошибок подключения нет,при повторном запуске програм все работает(без перезагрузки ноута),
> а на шлюзе debian в tcpdump появляется вот это:
> 13:00:33.889739 arp who-has 192.168.2.11 tell 192.168.80.5
> 13:00:33.889896 arp reply 192.168.2.11 is-at 00:1d:72:02:33:0f (oui Unknown)
> Подскажите как это победить.

Если вам надо победить ровно арп-запросы (я так трактую слово "это", как то "это", что появляется в tcpdump) - то пропишите хосты (мак-адреса в ARP-таблицы) статически, командой arp. Вообще говоря, полное прописывание мак-адресов имеет и негативные side-эффекты, проявляющиеся в том, что коммутаторы могут перестать находить эти мак-адреса на своих портах. Но вы же хотите лечить следствие, а не причину (если понимаете о чем я)....

> Правила iptabels:
> -A FORWARD -m state -d 192.168.80.0/24 -i eth1 --state ESTABLISHED -j ACCEPT
> -A FORWARD -s 192.168.2.0/24 -d 192.168.1.253/32 -j ACCEPT
> -A FORWARD -s 192.168.2.0/24 -d 192.168.1.6/32 -j ACCEPT
> -A FORWARD -s 192.168.2.0/24 -d 192.168.1.252/32 -j ACCEPT
> -A FORWARD -s 192.168.2.0/24 -d 192.168.1.93/32 -j ACCEPT

Приведенные выше размышления о том, что маршрутизатор не участвует в коммуникации между некими хостами "ноут" и "файловый сервер" подтверждаются вашими правилами файрволла.
Если вы хотите что-то от кого-то скрыть, выкладывая информацию на форум для обсуждения, то делать это надо также с умом. Приведенные правила файрволла не пропустят никакой трафик из сети 192.168.1.0/24 в сеть 192.168.2.0/24. Задумайтесь, как ходят по сети пакетики, в одну сторону или в две... Рекомендую переделать (вдумчиво, после чтения документации по сетям).


> -A POSTROUTING -o eth1 -j MASQUERADE

а если бы была приведена еще и конфигурация сетевых интерфейсов.... ээххх, мечты, мечты...
Спасибо что стараетесь развивать наши телепатические навыки.

Интересно, как это вообще совмещается с вашим описанием:

>Обе подсети подключены к одной сетевухе с vlanom,

Наверное вы таки не понимаете, что такое виланы. Рекомендую ознакомиться, и, конечно же, переделать настройки.


> sysctrl Прописал:
> net.ipv4.conf.all.proxy_arp=1
> net.ipv4.ip_dynaddr=1
> net.ipv4.conf.all.arp_filter=1
> net.ipv4.conf.all.rp_filter=1
> net.ipv4.ip_forward=1

Ой какие красивые ручки. Дайте подергать.
Подергали ? Жаль, стрелочек нету :-) Ничо не показывает. И "не едет".
Объясните, хотя бы для себя, чо уж там, нам на форум не надо, чего вы хотели добиться выставляя каждый конкретный параметр.


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Пропадает соедининение"  +/
Сообщение от BulBulDozeR (ok) on 14-Апр-11, 22:46 
to: PavelR

По поводу Nat:

На этих ноутах хранится очень важная информация, а в нашу сеть подключается много(192.168.1.0) левых тел(оутсорс всякий). По этому жители 192.168.1.0 не должны знать что в 192.168.2.0 вообще происходит, сколько машин там, и чем они там занимаются)
Я конечно понимаю что определение "у ресурсов есть доступ к ноутам" не хорошо звучит, но оно лучше всего отражает суть вопроса.
Схема такая:  
                                              
                                                                    
<Ресурсы>--192.168.1.0--(192.168.1.5 <Debian> Vlan 192.168.2.5)----- 192.168.2.0--<ноуты>
                                                                        
                                                                        

Правила iptabels)):
> -A FORWARD -m state -d 192.168.2.0/24 -i eth1 --state ESTABLISHED -j ACCEPT
> -A FORWARD -s 192.168.2.0/24 -d 192.168.1.253/32 -j ACCEPT
> -A FORWARD -s 192.168.2.0/24 -d 192.168.1.6/32 -j ACCEPT
> -A FORWARD -s 192.168.2.0/24 -d 192.168.1.252/32 -j ACCEPT
> -A FORWARD -s 192.168.2.0/24 -d 192.168.1.93/32 -j ACCEPT

Сетевые интерфейсы выложу завтра.

> sysctrl Прописал:
> net.ipv4.conf.all.proxy_arp=1
> net.ipv4.ip_dynaddr=1
> net.ipv4.conf.all.arp_filter=1
> net.ipv4.conf.all.rp_filter=1
> net.ipv4.ip_forward=1

Признаю, что здесь все кроме последнего пункта скопипастил) Нашел где-то в инете что должно помочь...

ЗЫ Я конечно понимаю, что писатель я не великий ровно как и debian"шик. Прошу проявить терпение к начинающим. Вы тоже, я полагаю не сразу таким умным родились...

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Пропадает соедининение"  +/
Сообщение от PavelR (??) on 14-Апр-11, 22:58 
> По поводу Nat:

Ну так нат это нат, а файрволл - это файрволл.

> Я конечно понимаю что определение "у ресурсов есть доступ к ноутам" не
> хорошо звучит, но оно лучше всего отражает суть вопроса.

В общем, если хотите чтобы вас поняли, старайтесь говорить на понятном языке.
Понятном теми, кому вы хотите информацию донести, а не так, как принято у вас "через переднюю пятку".

>  Схема такая:
> <Ресурсы>--192.168.1.0--(192.168.1.5 <Debian> Vlan 192.168.2.5)----- 192.168.2.0--<ноуты>

А "ресурсы" и "ноуты" используют "Debian" в качестве шлюза по умолчанию, или предлагаете потелепатировать на эту тему ?


>  Правила iptabels)):
>> -A FORWARD -m state -d 192.168.2.0/24 -i eth1 --state ESTABLISHED -j ACCEPT

Что еще вы выложили "видоизмененно" ? Предлагаете поугадывать ?


> Признаю, что здесь все кроме последнего пункта скопипастил) Нашел где-то в инете
> что должно помочь...

Что еще вы нашли и скопипастили ?

Я полагаю, что теперь систему надо переустанавливать и настраивать всё с нуля и заново, потому что искать черных блох на черной кошке в черной комнате - удел избранных.


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Пропадает соедининение"  +/
Сообщение от BulBulDozeR (ok) on 18-Апр-11, 10:46 
Настройки сети.
auto eth1
        iface eth1 inet static
        address 192.168.1.5
        netmask 255.255.255.0
        post-up iptables-restore < /etc/iptables.up.rules

auto vlan3
       iface vlan3 inet static
       address 192.168.2.5
       netmask 255.255.255.0
       hwaddress ether  00:d0:b7:13:14:00
       vlan_raw_device eth1

К Vlan3 подключены ноуты, к eth1 общая сеть.

>Ну так нат это нат, а файрволл - это файрволл.

Спасибо кэп!

Дефолт гетевай - у ноутов Debian. У ресурсов свой.  

>Что еще вы нашли и скопипастили ?

Больше ничего.

ЗЫ.Вы напишите сразу список вопросов которые вам нужны, чтобы помочь решить мою проблему.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Пропадает соедининение"  +/
Сообщение от Harry_nsk email on 21-Дек-13, 17:16 
Будет правильней написать так:
"какую информацию предоставить вам для того, чтобы решить мою проблему."
А то иначе получается что-то типа: "угадай какой я тебе вопрос задам."

Мимо проходил...

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру