Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

iptables problem bei ubuntu server mit 2 NIC

Frage Linux Ubuntu

Mitglied: michi1983

michi1983 (Level 3) - Jetzt verbinden

22.01.2008, aktualisiert 15:15 Uhr, 9063 Aufrufe, 29 Kommentare

ich bin mit meinem Latein endgültig am Ende

Hallo Leute,

ich brauch dringend eure Hilfe!

Ich weiß, dass das Thema wurde "grundsätzlich" schon x-mal behandelt, doch eben nicht für meinen speziellen fall wie ich meine.

folgendes szenario...

ich habe einen Server mit Ubuntu dapper aufgesetzt in dem 2 Nic eingebaut sind. eth0 und eth1
an der eth1 hängt ein gb-switch und auf eth1 läuft auch ein dhcp server der die ip-adressen für das interne lan vergibt. funktioniert alles einwandfrei soweit. netz: 192.168.2.0/24

die eth0 ist direkt mit dem zyxel modem vom provider verbunden und hat eine fixe, öffentliche ip adresse. wir haben 8 öffentliche, fixe IP-Adressen zur Verfügung.

ich verwende iptables auf dem server.

das problem nun...

der Server gelangt ins internet. ich kann mir updates saugen mittels apt-get saugen usw.. (bin mit ssh auf dem server verbunden) und die clients die dranhängen beziehen schön ihre ip adressen von eth1 (dhcp server). was allerdings nicht geht... die clients kommen nicht ins internet.
und ich versteh um gottes willen nicht warum das so ist.

ich würd euch gerne die ganzen configs hier posten, weiß aber nicht ob ich das einfach so in den beitrag kann/darf (forenregeln) oder wie ich es sonst machen soll.

kann mir jemand von euch sagen ob es an der iptables firewall liegt oder ob ihr ne andere ahnung habts was ich vergessen bzw. falsch gemacht habe ??

lg und danke im voraus
29 Antworten
Mitglied: 39916
22.01.2008 um 12:04 Uhr
Hi michi1983,

was sagt denn ein traceroute auf den Clients? Bleibst Du auf der ersten NIC hängen? Dann fehlt Dir hier evtl. die entsprechende Route!

Gruß,

Martin
Bitte warten ..
Mitglied: michi1983
22.01.2008 um 12:19 Uhr
Hi Martin,

danke für die flotte Antwort.

ein PRINT ROUTE auf meiner xp kiste (client) gibt folgendes aus:

aktive routen:
netzwerkziel netzwerkmaske Gateway Schnitstelle anzahl
0.0.0.0 0.0.0.0 92.168.2.1 192.168.2.16 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
169.254.0.0 255.255.0.0 192.168.2.16 192.168.2.16 30
192.168.2.0 255.255.255.0 192.168.2.16 192.168.2.16 10
192.168.2.16 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.2.255 255.255.255.255 192.168.2.16 192.168.2.16 10
224.0.0.0 240.0.0.0 192.168.2.16 192.168.2.16 10
255.255.255.255 255.255.255.255 192.168.2.16 192.168.2.16 1
Standardgateway: 192.168.2.1

Ständige Routen:
keine

was heißt das jetzt für mich ?

kann ich das eigentlich anders eingeben als von hand is ziemlich zach sonst

lg schon mal.

lg, michael
Bitte warten ..
Mitglied: 39916
22.01.2008 um 12:28 Uhr
Mach mal einen tracert web.de und poste das Ergebnis.

Gruß,

Martin
Bitte warten ..
Mitglied: michi1983
22.01.2008 um 12:33 Uhr
hi Martin,

vom Client aus:

Zielname Web.de konnte nicht aufgelöst werden

irgendwie klar, da ich ja keine internetverbindung hab oder ?

lg
Bitte warten ..
Mitglied: 39916
22.01.2008 um 12:46 Uhr
Nö, Dein DNS passt nicht. Was gibt dir ipconfig /all aus? Was ist Dein DNS-Server?
Bitte warten ..
Mitglied: michi1983
22.01.2008 um 12:53 Uhr
ethernetadaper lan:

verbindungsspezifische dns-suffix: "hostname des servers"
beschreibung: broadcom netxtreme bla bla bla
physikalische adresse: bla bla bla
dhcp aktiviert: ja
autokonfiguration aktiviert: ja
ip-adresse: 192.168.2.16
subnetzmaske: 255.255.255.0
standardgateway: 192.168.2.1
dhcp-server: 192.168.2.2
dns-server: 195.34.133.21 und .22 am schluss (dns adressen von chello,Österreich)
lease erhalten: bla bla bla
lease läuft ab: bla bla bla
Bitte warten ..
Mitglied: 39916
22.01.2008 um 12:57 Uhr
Auf Deinen DNS hast Du keine Route. Kannst Du auf die Seite 217.72.195.42? Was sagt route -n am Server?
Bitte warten ..
Mitglied: michi1983
22.01.2008 um 13:13 Uhr
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
"gateway des providers" 0.0.0.0 255.255.255.248 U 0 0 0 eth0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 192.168.2.1 0.0.0.0 UG 0 0 0 eth1
0.0.0.0 "gateway des provider modems" 0.0.0.0 UG 0 0 0 eth0
Bitte warten ..
Mitglied: michi1983
22.01.2008 um 13:14 Uhr
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
"1. von unseren 8 ip adressen" 0.0.0.0 255.255.255.248 U 0 0 0 eth0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 192.168.2.1 0.0.0.0 UG 0 0 0 eth1
0.0.0.0 "2. von den 8 adressen" 0.0.0.0 UG 0 0 0 eth0


kanns sein dass ich eine linux bridge machen muss um das zu realisieren was ich gern hätte und gerade am kompletten holzweg bin ?
Bitte warten ..
Mitglied: 39916
22.01.2008 um 13:15 Uhr
Kommst Du vom Client auf die IP-Adresse?

EDIT.

Und was sagt cat /proc/sys/net/ipv4/ip_forward ?
Bitte warten ..
Mitglied: michi1983
22.01.2008 um 13:19 Uhr
nein auf die adresse komme ich nicht.
ich kann nur den server selbst anpingen, sonst nichts.

soll ich mal mein iptables script irgendwo posten ?
Bitte warten ..
Mitglied: 39916
22.01.2008 um 13:31 Uhr
Was sagt cat /proc/sys/net/ipv4/ip_forward ?
Bitte warten ..
Mitglied: michi1983
22.01.2008 um 13:38 Uhr
ist in meinem firewall mit echo 1 gesetzt, das müsste also passen

ich vermute dass es irgendein eintrag im forward bezüglich NAT ist, der nicht passen könnte.

eine generelle frage, wenn die iptables fw richtig konfiguriert ist, müsste diese von mir beschriebene konstellation funktionieren oder was ist mit dieser linux/ethernet bridge von der ich gerade gelesen habe ?

kann dir auch das fw script posten wenn du magst.

und vielen dank für die ganzen antworten und deine mühe.

lg, michael
Bitte warten ..
Mitglied: 39916
22.01.2008 um 13:43 Uhr
Wollte ich zwar vermeiden (weils so aufwädnig zu lesen ist) , aber dann - her damit. Dauert allerdings ne Weile - die Kunden rufen gerade.
Bitte warten ..
Mitglied: michi1983
22.01.2008 um 13:47 Uhr
oh gott, ich bin dir dankbar !! lass dir zeit

kommentare bezüglich design des scriptes usw. lassen wir jetzt mal weg mir gehts darum ob du erkennen kannst, warum das nicht so funktioniert wie ich mir das wünsche.

#!/bin/sh

  1. vers. 01
  2. 16-01-2008

#Devices
EXT_DEV=eth0
INT_DEV=eth1

#Das interne Netzwerk allgemein
INT_NET=192.168.2.0/24

#Der Pfad zur iptables
IPTABLES=/sbin/iptables

#Variablen
NAT_FORWARDING_TCP_PORT="25,80,110,443"
INPUT_INTERNET_TCP_PORT="443,22"

case $1 in
start)
$0 stop

#Deny everything except what we want
$IPTABLES -t filter -P INPUT DROP
$IPTABLES -t filter -P OUTPUT DROP
$IPTABLES -t filter -P FORWARD DROP

#Wenn wir NAT forwarding machen wollen, muessen wir es hier aktivieren
echo 1 > /proc/sys/net/ipv4/ip_forward

#TCP-FIN-Timeout zum Schutz vor DoS-Attacken setzen
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout


Defines the INPUT rules


#Accept each lo connection
$IPTABLES -t filter -A INPUT -i lo -j ACCEPT

#Internes LAN (ip-range) zulassen
$IPTABLES -I INPUT -m iprange --src-range 192.168.2.10-192.168.2.16 -j ACCEPT

#icmp
$IPTABLES -t filter -A INPUT -p icmp -j ACCEPT

$IPTABLES -t filter -A INPUT -s 0.0.0.0/0 -p tcp -m multiport --dport $INPUT_INTERNET_TCP_PORT -j ACCEPT

$IPTABLES -t filter -A INPUT -p tcp ! --syn -j ACCEPT

#Internet
$IPTABLES -t filter -A INPUT -i $EXT_DEV -s 195.34.133.21 -p udp -j ACCEPT #Nameserver
$IPTABLES -t filter -A INPUT -i $EXT_DEV -s 195.34.133.22 -p udp -j ACCEPT #Nameserver
$IPTABLES -t filter -A INPUT -i $EXT_DEV -p udp --dport 53 -j ACCEPT



Defines the OUTPUT ules


$IPTABLES -t filter -A OUTPUT -o $EXT_DEV -j ACCEPT

#icmp
$IPTABLES -t filter -A OUTPUT -p icmp -j ACCEPT

#Accept each lo connection
$IPTABLES -t filter -A OUTPUT -o lo -j ACCEPT

#internet
$IPTABLES -t filter -A OUTPUT -o $EXT_DEV -d 0.0.0.0/0 -p tcp -m multiport --dport $NAT_FORWARDING_TCP_PORT -j ACCEPT

$IPTABLES -t filter -A OUTPUT -p tcp ! --syn -j ACCEPT #syn packages



Defines the NAT rules


#icmp
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state NEW -p icmp -j ACCEPT

$IPTABLES -t nat -A POSTROUTING -p tcp -o $EXT_DEV -s $INT_NET -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -p udp -o $EXT_DEV -s $INT_NET -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -p icmp -o $EXT_DEV -s $INT_NET -j MASQUERADE

$IPTABLES -A FORWARD -p tcp ! --syn -j ACCEPT

echo "Firewall & Routing activated"

;;

stop)
$IPTABLES -t filter -F INPUT
$IPTABLES -t filter -F OUTPUT
$IPTABLES -t filter -F FORWARD
$IPTABLES -t nat -F POSTROUTING
;;

restart)
$0 start
;;

*)
echo "Usage: $0 {start|stop|restart}"
;;

esac
Bitte warten ..
Mitglied: 39916
22.01.2008 um 13:49 Uhr
Fällt mir gerade noch ein - was passiert, wenn Du iptables anhälst? Geht's dann?
Bitte warten ..
Mitglied: michi1983
22.01.2008 um 13:57 Uhr
d'oh !!!

nein

oh gott, warum das nicht
Bitte warten ..
Mitglied: 39916
22.01.2008 um 14:07 Uhr
Deine Routen stimmen nicht! Gib mal einen tracert 217.72.195.42 von Client.
Bitte warten ..
Mitglied: michi1983
22.01.2008 um 14:15 Uhr
und wie kann ich das beheben ??

beim tracert deiner ip kam raus:

Routenverfolgung zu 217.72.195.42 über maximal 30 Abschnitte

1 * * * Zeitüberschreitung der Anforderung
2 * * * Zeitüberschreitung der Anforderung
3 * * * Zeitüberschreitung der Anforderung usw..
Bitte warten ..
Mitglied: 39916
22.01.2008 um 14:23 Uhr
Der kommt nichtmal zum Gateway. Ist das bei route PRINT in der ersten Zeile ein Druckfehler (92.168...)? Oder hast Du irgendwo in der Config einen Tippfehler? Außerdem ist seltsam, dass die 169.xxx route eingetragen ist...
Bitte warten ..
Mitglied: michi1983
22.01.2008 um 14:29 Uhr
das ist ein schreibfehler gewesen sorry.

das mit der 169. versteh ich auch nicht wirklich.

also ... wie weiß ich welche routen ich setzen muss ?
2. wie kann ich in xp die routen neu setzen ??
heißt das ich muss das bei allen clients machen ??? oder liegt das an der config vom ubuntu server ???

lg
Bitte warten ..
Mitglied: 39916
22.01.2008 um 14:33 Uhr
Zeig mal Deine dhcpd.conf. Ich denke, die ist schuld.
Bitte warten ..
Mitglied: michi1983
22.01.2008 um 14:40 Uhr
#Sample configuration file for ISC dhcpd for Debian
#$Id: dhcpd.conf,v 1.1.1.1 2002/05/21 00:07:44 peloy Exp $
subnet 192.168.2.0 netmask 255.255.255.0 {
option routers 192.168.2.1;
option subnet-mask 255.255.255.0;
option domain-name "server.cd.local"; # same as /etc/resolv.conf search value
option domain-name-servers 195.34.133.21, 195.34.133.22; # /etc/resolv.conf nameserver value
range dynamic-bootp 192.168.2.10 192.168.2.16;
default-lease-time 21600;
max-lease-time 43200;
}
#The ddns-updates-style parameter controls whether or not the server will
#attempt to do a DNS update when a lease is confirmed. We default to the
#behavior of the version 2 packages ('none', since DHCP v2 didn't
#have support for DDNS.)
ddns-update-style none;

#option definitions common to all supported networks...
#option domain-name "example.org";
#option domain-name-servers ns1.example.org, ns2.example.org;

#default-lease-time 600;
#max-lease-time 7200;
#if this DHCP server is the official DHCP server for the local
#network, the authoritative directive should be uncommented.
authoritative;

#Use this to send dhcp log messages to a different log file (you also
#have to hack syslog.conf to complete the redirection).
log-facility local7;

//EDIT:

hier noch die dhclient.conf die auch im Ordner /etc/dhcp3/ liegt (genau wie dhcpd.conf)

#Configuration file for /sbin/dhclient, which is included in Debian's
#dhcp3-client package.
#This is a sample configuration file for dhclient. See dhclient.conf's
#man page for more information about the syntax of this file
#and a more comprehensive list of the parameters understood by
#dhclient.
#Normally, if the DHCP server provides reasonable information and does
#not leave anything out (like the domain name, for example), then
#few changes must be made to this file, if any.

#send host-name "andare.fugue.com";
#send dhcp-client-identifier 1:0:a0:24:ab:fb:9c;
#send dhcp-lease-time 3600;
#supersede domain-name "fugue.com home.vix.com";
#prepend domain-name-servers 127.0.0.1;
request subnet-mask, broadcast-address, time-offset, routers,
domain-name, domain-name-servers, host-name,
netbios-name-servers, netbios-scope;
#require subnet-mask, domain-name-servers;
#timeout 60;
#retry 60;
#reboot 10;
#select-timeout 5;
#initial-interval 2;
#script "/etc/dhcp3/dhclient-script";
#media "-link0 -link1 -link2", "link0 link1";
#reject 192.33.137.209;

#alias {
#interface "eth0";
#fixed-address 192.5.5.213;
#option subnet-mask 255.255.255.255;
#}

#lease {
#interface "eth0";
#fixed-address 192.33.137.200;
#medium "link0 link1";
#option host-name "andare.swiftmedia.com";
#option subnet-mask 255.255.255.0;
#option broadcast-address 192.33.137.255;
#option routers 192.33.137.250;
#option domain-name-servers 127.0.0.1;
#renew 2 2000/1/12 00:00:01;
#rebind 2 2000/1/12 00:00:01;
#expire 2 2000/1/12 00:00:01;
#}
Bitte warten ..
Mitglied: 39916
22.01.2008 um 14:51 Uhr
..."range dynamic-bootp 192.168.2.10 192.168.2.16;"

Entferne mal die Worte "dynamic-bootp", starte den DHCP-Server neu und lass dem Windows-Client eine neue IP geben (ipconfig /release; ipconfig /renew).

Mal schauen, was dann passiert.

Oder willst Du bootp einsetzen?
Bitte warten ..
Mitglied: michi1983
22.01.2008 um 14:58 Uhr
jetzt weist er mir gar keine ip mehr zu

//EDIT:

sorry, mein fehler, hab was zuviel gelöscht.

hat nix geändert. komm immer noch nicht raus
Bitte warten ..
Mitglied: 39916
22.01.2008 um 15:03 Uhr
BIst Du sicher, dass Dein DHCP läuft?

ps aux | grep dhcp*
Bitte warten ..
Mitglied: michi1983
22.01.2008 um 15:05 Uhr
dhcpd 4515 0.0 0.0 2784 1232 ? Ss 15:00 0:00 /usr/sbin/dhcpd3 -q eth1 -pf /var/run/dhcp3-server/dhcpd.pid -cf /etc/dhcp3/dhcpd.conf
Bitte warten ..
Mitglied: 39916
22.01.2008 um 15:10 Uhr
So viel zum Thema:"Ich helfe mal ganz schnell eben....."

Ein Blick ins syslog bitte. Was sagt denn das beim DHCP?
Werden leases angefordert?
Bitte warten ..
Mitglied: michi1983
22.01.2008 um 15:15 Uhr
sodala, das Problem wurde gelöst.

und zwar lag der fehler in der /etc/network/interfaces konfiguration.

ich habe ja 2 NIC

die 1. Nic die die verbindung ins internet herstellt (eth0) ist mit einer statischen, öffentlichen IP versehen.

die 2. Nic ist der dhcp-server. das problem war der Gateway der 2. Nic (eth1)
dieser muss der selbe sein wie der, der 1. Nic.

jetzt funktionierts.

lg allen und danke an bubbafish
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows Server
Sharepoint Shell Konsole Problem mit "Server-Name" (1)

Frage von tantaliden83 zum Thema Windows Server ...

Ubuntu
gelöst Ubuntu Server 16.04 - smb.conf (4)

Frage von AndyAh zum Thema Ubuntu ...

Apache Server
gelöst Ubuntu Server - PHP lädt keine mysql extension (6)

Frage von harald.schmidt zum Thema Apache Server ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

DSL, VDSL
DSL-Signal bewerten (10)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (8)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...