On Mon, 18 Feb 2013 15:26:43 +0100 "Francisco J. Bejarano" <francisco.bejar...@openknowledgenetwork.com> wrote:
> Hola > > Tengo un problema extraño de red, o bueno, que no se muy bien a que se > debe. Tengo dos LAN que pasan a traves de un switch(1) y llega a un > firewall Linux (FW). Este firewall linux tiene una interfaz a la red > (IFLAN1) y otra a la IFLAN2 y otras interfaces. Una de ellas IFSDSL va a > otro switch(2) donde estan conectados 2 SDSLs (SDLS y SDSL2). > > TEngo una serie de reglas que marcan los paquetes que vienen de LAN1 y > LAN2 al puerto 22 con marca1 y marca2 respectivamente. Despues tengo las > siguientes reglas > > 30010: from all fwmark 0x2 lookup sdsl2 > 30020: from all fwmark 0x1 lookup sdsl > 30030: from LAN1 lookup adsl > 30040: from LAN2 lookup adsl > 32766: from all lookup main > 32767: from all lookup default > > La tabla de rutas main va, por defecto, a SDSL. Lo que se marca con 1 va > a sdsl y lo que se marca con 2 a sdsl2. El marcado funciona porque envia > a sdsl si viene de la LAN 1 y destino puerto 22 y a SDSL2 si viene de > LAN2 con destino puerto 22. Si no es el puerto 22 va la ADSL. Esto en la > tabla mangle en prerouting. > > Despues en la tabla filter dejo pasar todo para pruebas a una direccion > de la LAN2 (mi ordenador IPLAN2) para que no haya problemas con puertos. > > Y por ultimo, en la tabla NAT en postrouting tengo una regla de SNAT > para que traduzca lo que salga por la IFSDSL del firewall y le ponga esa IP. > > Pues bien, mi problema es el siguiente: > > Cuando conecto desde mi IP de la LAN2 (aunque pasa lo mismo con la LAN1) > con ssh a un servidor de internet mio me da timeout. Hago en firewall > una captura de todas las interfaces del puerto 22 y el servidor de > internet (INTSERV) y obtengo que hay un syn para la conexion y la vuelta > hay un syn,ack para la IFSDSL pero no hay un SYN,ACK para la IPLAN2. > > IPLAN2---> INTSERV SYN > IPSDSL---> INTSERV SYN > INTSERV--> IPSDSL SYN,ACK > Se repite lo mismo > > Esto me provoca un timeout en ssh, es decir, no puedo conectar. Sin > embargo, esto es lo raro. Si pongo la siguiente regla en ip rule, > quedando asi: > > 29999: from IPLAN2 lookup sdsl > 30010: from all fwmark 0x2 lookup sdsl2 > 30020: from all fwmark 0x1 lookup sdsl > 30030: from LAN1 lookup adsl > 30040: from LAN2 lookup adsl > 32766: from all lookup main > 32767: from all lookup default > > Vuelvo a conectar por ssh al mismo servidor y se produce lo siguente: > > IPLAN2---> INTSERV SYN > IPSDSL---> INTSERV SYN > INTSERV--> IPSDSL SYN,ACK > INTSERV--> IPLAN2 SYN,ACK > Y despues, todos los ACK y paquetes relacionados con ssh. > > Es decir hay un paquete más de vuelta a mi IP en la LAN2 y puedo > conectar por ssh. Lo mismo ocurre con la LAN1 y las IPs de la LAN1. > > Estoy usando las mismas reglas de firewall, las mismas rutas, los mismos > componentes de hardware, etc. Y estoy dejando pasar todo si el origen y > destino es mi IPLAN2 por cualquier protocolo y puerto. Entonces, por que > en un caso llega el segundo SYN, ACK mi IPLAN2 y se establece la > conexion y en el otro caso no llega produciendo un timeout si solo > cambia la regla de ip rule? > > Además tengo otras 2 lan conectadas al firewall pero que no hacen > marcado por el puerto 22. Estas 2 redes si que conectan por ssh sin > problemas a traves del firewall usando la regla de la tabla main que va > por SDSL... > > ¿Alguien sabe que puede estar pasando? Es muy raro ¿o se me escapa > alguna tonteria relacionada con ip rule que estoy haciendo mal? Lo que > no entiendo es porque solo pasa con dos LAN. Os pongo las reglas del mangle. > > target prot opt in out source destination > MARK tcp -- * * ! LAN2 0.0.0.0/0 > multiport dports 22,1723 MARK set 0x1 > MARK tcp -- * * LAN2 0.0.0.0/0 > tcp dpt:22 MARK set 0x2 > > Saludos Hacia adonde apuntan tus busquedas DNS? -- consultores <consulto...@lavabit.com> -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130218090946.b73ae5d8.consulto...@lavabit.com