Re: Problema extraño de red
El Tue, 19 Feb 2013 12:15:40 +0100, Francisco J. Bejarano escribió: (...) ¿Nadie sabe que puede estar pasando? (...) Ni idea... te recomendaría que pasaras por la lista inglesa, suele haber más administradores de red con configuraciones similares a la tuya. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/kg2mn2$akd$3...@ger.gmane.org
Re: Problema extraño de red
On 02/19/2013 11:35 PM, Francisco J. Bejarano wrote: El 20/02/13 03:53, consultores escribió: On 02/18/2013 06:26 AM, Francisco J. Bejarano wrote: Hola Tengo un problema extraño de red, o bueno, que no se muy bien a que se debe. Tengo dos LAN que pasan a traves de un switch(1) y llega a un firewall Linux (FW). Este firewall linux tiene una interfaz a la red (IFLAN1) y otra a la IFLAN2 y otras interfaces. Una de ellas IFSDSL va a otro switch(2) donde estan conectados 2 SDSLs (SDLS y SDSL2). Bueno, decidi releer: Mi interpretacion de lo de arriba: Internet ? -- Linux (fw) --- Switch 1 -- lan ? -- lan? --- Switch 2 -- iflan1 -- iflan2 --- ifsdl -- Switch (otro swuitch 2) -- sdls+sdsl2 Como podes ver, si esto fuera correcto; tenes un enredo! Solo quedaria depurar por rutas y protocolos con tcpdump. Hola en realidad, para clarificarlo, es internet - SDSL - SW2 - IFSDSL - FW - SDSL2 - Sigo - IFLAN1 - SW1 - IPSLAN1 FW - IFLAN2 - SW3 - IPSLAN2 Hay mas LANS al FW por otras interfaces que funcionan con ssh. Yo creía también desde el principio que era por el firewall pero si fuera asi, al abrir totalmente mi IPLAN2 a todos los puertos, interfaces, direcciones, etc y ponerlo en la regla 1 del forward tendría que acceder y no es asi. El ping no lo reconfiguro puesto que considero un error desactivarlo ya que muchas herramientas de diagnostico y de red usan el protocolo icmp para funcionar de forma correcta. En cuanto a tcpdump, uso tcpdump y tethereal. Lo que he puesto en el mensaje era para simplificar las salidas. Lo que no se es porque cuando pongo el IP rule con mi ip todo funciona y si la quito no funciona. Saludos Segun mi opinion, esto podria ser problema de dns, no resuelve y se queda tonteando; pero podes seguirle la pista a los paquetes para ver adonde se atora.. Si mal no recuerdo, mencionaste 1 hack extraviado; identifica el punto exacto y verifica el dns. Tambien revisa las rutas por defecto, podria haber alguna que falte. Segun entiendo, solo te falla en ese punto, no? -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5124fb80.5080...@lavabit.com
Re: Problema extraño de red
El 19/02/13 08:23, Francisco J. Bejarano escribió: El 18/02/13 18:09, consultores escribió: On Mon, 18 Feb 2013 15:26:43 +0100 Francisco J. Bejarano francisco.bejar...@openknowledgenetwork.com wrote: Hola Tengo un problema extraño de red, o bueno, que no se muy bien a que se debe. Tengo dos LAN que pasan a traves de un switch(1) y llega a un firewall Linux (FW). Este firewall linux tiene una interfaz a la red (IFLAN1) y otra a la IFLAN2 y otras interfaces. Una de ellas IFSDSL va a otro switch(2) donde estan conectados 2 SDSLs (SDLS y SDSL2). TEngo una serie de reglas que marcan los paquetes que vienen de LAN1 y LAN2 al puerto 22 con marca1 y marca2 respectivamente. Despues tengo las siguientes reglas 30010: from all fwmark 0x2 lookup sdsl2 30020: from all fwmark 0x1 lookup sdsl 30030: from LAN1 lookup adsl 30040: from LAN2 lookup adsl 32766: from all lookup main 32767: from all lookup default La tabla de rutas main va, por defecto, a SDSL. Lo que se marca con 1 va a sdsl y lo que se marca con 2 a sdsl2. El marcado funciona porque envia a sdsl si viene de la LAN 1 y destino puerto 22 y a SDSL2 si viene de LAN2 con destino puerto 22. Si no es el puerto 22 va la ADSL. Esto en la tabla mangle en prerouting. Despues en la tabla filter dejo pasar todo para pruebas a una direccion de la LAN2 (mi ordenador IPLAN2) para que no haya problemas con puertos. Y por ultimo, en la tabla NAT en postrouting tengo una regla de SNAT para que traduzca lo que salga por la IFSDSL del firewall y le ponga esa IP. Pues bien, mi problema es el siguiente: Cuando conecto desde mi IP de la LAN2 (aunque pasa lo mismo con la LAN1) con ssh a un servidor de internet mio me da timeout. Hago en firewall una captura de todas las interfaces del puerto 22 y el servidor de internet (INTSERV) y obtengo que hay un syn para la conexion y la vuelta hay un syn,ack para la IFSDSL pero no hay un SYN,ACK para la IPLAN2. IPLAN2--- INTSERV SYN IPSDSL--- INTSERV SYN INTSERV-- IPSDSL SYN,ACK Se repite lo mismo Esto me provoca un timeout en ssh, es decir, no puedo conectar. Sin embargo, esto es lo raro. Si pongo la siguiente regla en ip rule, quedando asi: 2: from IPLAN2 lookup sdsl 30010: from all fwmark 0x2 lookup sdsl2 30020: from all fwmark 0x1 lookup sdsl 30030: from LAN1 lookup adsl 30040: from LAN2 lookup adsl 32766: from all lookup main 32767: from all lookup default Vuelvo a conectar por ssh al mismo servidor y se produce lo siguente: IPLAN2--- INTSERV SYN IPSDSL--- INTSERV SYN INTSERV-- IPSDSL SYN,ACK INTSERV-- IPLAN2 SYN,ACK Y despues, todos los ACK y paquetes relacionados con ssh. Es decir hay un paquete más de vuelta a mi IP en la LAN2 y puedo conectar por ssh. Lo mismo ocurre con la LAN1 y las IPs de la LAN1. Estoy usando las mismas reglas de firewall, las mismas rutas, los mismos componentes de hardware, etc. Y estoy dejando pasar todo si el origen y destino es mi IPLAN2 por cualquier protocolo y puerto. Entonces, por que en un caso llega el segundo SYN, ACK mi IPLAN2 y se establece la conexion y en el otro caso no llega produciendo un timeout si solo cambia la regla de ip rule? Además tengo otras 2 lan conectadas al firewall pero que no hacen marcado por el puerto 22. Estas 2 redes si que conectan por ssh sin problemas a traves del firewall usando la regla de la tabla main que va por SDSL... ¿Alguien sabe que puede estar pasando? Es muy raro ¿o se me escapa alguna tonteria relacionada con ip rule que estoy haciendo mal? Lo que no entiendo es porque solo pasa con dos LAN. Os pongo las reglas del mangle. target prot opt in out source destination MARK tcp -- * * ! LAN2 0.0.0.0/0 multiport dports 22,1723 MARK set 0x1 MARK tcp -- * *LAN2 0.0.0.0/0 tcp dpt:22 MARK set 0x2 Saludos Hacia adonde apuntan tus busquedas DNS? Hola Apuntan hacia un DNS interno que esta en otra LAN conectada al firewall. El DNS si lo resuelve, por? 2 puntualizaciones que he puesto mal. El trafico de las otras lan que probe con ssh sale por sdsl como he puesto pero si que estan marcadas con 1. He puesto que salían por main, pero son otros puertos no el 22. Por el 22 conectan correctamente las otras LAN (no la LAN1, marcada tambien con 1 ni la LAN2 marcada con 2). Hola ¿Nadie sabe que puede estar pasando? Añado un par de cosas Si hago un tcptraceroute -s IFLAN2 INETSERVER 80 traceroute to INETSERVER (74.125.230.215), 30 hops max, 60 byte packets 1 ADSL 0.081 ms 0.061 ms 0.055 ms 2 10.15.3.6 (10.15.3.6) 0.661 ms 1.377 ms 1.846 ms 3 1.16.218.87.dynamic.jazztel.es (87.218.16.1) 29.813 ms 32.820 ms 34.803 ms 4 10.255.2.254 (10.255.2.254) 37.538 ms 38.500 ms 38.984 ms 5 106.217.106.212.static.jazztel.es (212.106.217.106) 39.222 ms 114.217.106.212.static.jazztel.es
Re: Problema extraño de red
El 19/02/13 12:15, Francisco J. Bejarano escribió: El 19/02/13 08:23, Francisco J. Bejarano escribió: El 18/02/13 18:09, consultores escribió: On Mon, 18 Feb 2013 15:26:43 +0100 Francisco J. Bejarano francisco.bejar...@openknowledgenetwork.com wrote: Hola Tengo un problema extraño de red, o bueno, que no se muy bien a que se debe. Tengo dos LAN que pasan a traves de un switch(1) y llega a un firewall Linux (FW). Este firewall linux tiene una interfaz a la red (IFLAN1) y otra a la IFLAN2 y otras interfaces. Una de ellas IFSDSL va a otro switch(2) donde estan conectados 2 SDSLs (SDLS y SDSL2). TEngo una serie de reglas que marcan los paquetes que vienen de LAN1 y LAN2 al puerto 22 con marca1 y marca2 respectivamente. Despues tengo las siguientes reglas 30010: from all fwmark 0x2 lookup sdsl2 30020: from all fwmark 0x1 lookup sdsl 30030: from LAN1 lookup adsl 30040: from LAN2 lookup adsl 32766: from all lookup main 32767: from all lookup default La tabla de rutas main va, por defecto, a SDSL. Lo que se marca con 1 va a sdsl y lo que se marca con 2 a sdsl2. El marcado funciona porque envia a sdsl si viene de la LAN 1 y destino puerto 22 y a SDSL2 si viene de LAN2 con destino puerto 22. Si no es el puerto 22 va la ADSL. Esto en la tabla mangle en prerouting. Despues en la tabla filter dejo pasar todo para pruebas a una direccion de la LAN2 (mi ordenador IPLAN2) para que no haya problemas con puertos. Y por ultimo, en la tabla NAT en postrouting tengo una regla de SNAT para que traduzca lo que salga por la IFSDSL del firewall y le ponga esa IP. Pues bien, mi problema es el siguiente: Cuando conecto desde mi IP de la LAN2 (aunque pasa lo mismo con la LAN1) con ssh a un servidor de internet mio me da timeout. Hago en firewall una captura de todas las interfaces del puerto 22 y el servidor de internet (INTSERV) y obtengo que hay un syn para la conexion y la vuelta hay un syn,ack para la IFSDSL pero no hay un SYN,ACK para la IPLAN2. IPLAN2--- INTSERV SYN IPSDSL--- INTSERV SYN INTSERV-- IPSDSL SYN,ACK Se repite lo mismo Esto me provoca un timeout en ssh, es decir, no puedo conectar. Sin embargo, esto es lo raro. Si pongo la siguiente regla en ip rule, quedando asi: 2: from IPLAN2 lookup sdsl 30010: from all fwmark 0x2 lookup sdsl2 30020: from all fwmark 0x1 lookup sdsl 30030: from LAN1 lookup adsl 30040: from LAN2 lookup adsl 32766: from all lookup main 32767: from all lookup default Vuelvo a conectar por ssh al mismo servidor y se produce lo siguente: IPLAN2--- INTSERV SYN IPSDSL--- INTSERV SYN INTSERV-- IPSDSL SYN,ACK INTSERV-- IPLAN2 SYN,ACK Y despues, todos los ACK y paquetes relacionados con ssh. Es decir hay un paquete más de vuelta a mi IP en la LAN2 y puedo conectar por ssh. Lo mismo ocurre con la LAN1 y las IPs de la LAN1. Estoy usando las mismas reglas de firewall, las mismas rutas, los mismos componentes de hardware, etc. Y estoy dejando pasar todo si el origen y destino es mi IPLAN2 por cualquier protocolo y puerto. Entonces, por que en un caso llega el segundo SYN, ACK mi IPLAN2 y se establece la conexion y en el otro caso no llega produciendo un timeout si solo cambia la regla de ip rule? Además tengo otras 2 lan conectadas al firewall pero que no hacen marcado por el puerto 22. Estas 2 redes si que conectan por ssh sin problemas a traves del firewall usando la regla de la tabla main que va por SDSL... ¿Alguien sabe que puede estar pasando? Es muy raro ¿o se me escapa alguna tonteria relacionada con ip rule que estoy haciendo mal? Lo que no entiendo es porque solo pasa con dos LAN. Os pongo las reglas del mangle. target prot opt in out source destination MARK tcp -- * * ! LAN2 0.0.0.0/0 multiport dports 22,1723 MARK set 0x1 MARK tcp -- * *LAN2 0.0.0.0/0 tcp dpt:22 MARK set 0x2 Saludos Hacia adonde apuntan tus busquedas DNS? Hola Apuntan hacia un DNS interno que esta en otra LAN conectada al firewall. El DNS si lo resuelve, por? 2 puntualizaciones que he puesto mal. El trafico de las otras lan que probe con ssh sale por sdsl como he puesto pero si que estan marcadas con 1. He puesto que salían por main, pero son otros puertos no el 22. Por el 22 conectan correctamente las otras LAN (no la LAN1, marcada tambien con 1 ni la LAN2 marcada con 2). Hola ¿Nadie sabe que puede estar pasando? Añado un par de cosas Si hago un tcptraceroute -s IFLAN2 INETSERVER 80 traceroute to INETSERVER (74.125.230.215), 30 hops max, 60 byte packets 1 ADSL 0.081 ms 0.061 ms 0.055 ms 2 10.15.3.6 (10.15.3.6) 0.661 ms 1.377 ms 1.846 ms 3 1.16.218.87.dynamic.jazztel.es (87.218.16.1) 29.813 ms 32.820 ms 34.803 ms 4 10.255.2.254 (10.255.2.254) 37.538 ms 38.500 ms 38.984 ms 5 106.217.106.212
Re: Problema extraño de red
On 02/19/2013 04:12 AM, Francisco J. Bejarano wrote: El 19/02/13 12:15, Francisco J. Bejarano escribió: El 19/02/13 08:23, Francisco J. Bejarano escribió: El 18/02/13 18:09, consultores escribió: On Mon, 18 Feb 2013 15:26:43 +0100 Francisco J. Bejarano francisco.bejar...@openknowledgenetwork.com wrote: Hola Tengo un problema extraño de red, o bueno, que no se muy bien a que se debe. Tengo dos LAN que pasan a traves de un switch(1) y llega a un firewall Linux (FW). Este firewall linux tiene una interfaz a la red (IFLAN1) y otra a la IFLAN2 y otras interfaces. Una de ellas IFSDSL va a otro switch(2) donde estan conectados 2 SDSLs (SDLS y SDSL2). TEngo una serie de reglas que marcan los paquetes que vienen de LAN1 y LAN2 al puerto 22 con marca1 y marca2 respectivamente. Despues tengo las siguientes reglas 30010: from all fwmark 0x2 lookup sdsl2 30020: from all fwmark 0x1 lookup sdsl 30030: from LAN1 lookup adsl 30040: from LAN2 lookup adsl 32766: from all lookup main 32767: from all lookup default La tabla de rutas main va, por defecto, a SDSL. Lo que se marca con 1 va a sdsl y lo que se marca con 2 a sdsl2. El marcado funciona porque envia a sdsl si viene de la LAN 1 y destino puerto 22 y a SDSL2 si viene de LAN2 con destino puerto 22. Si no es el puerto 22 va la ADSL. Esto en la tabla mangle en prerouting. Despues en la tabla filter dejo pasar todo para pruebas a una direccion de la LAN2 (mi ordenador IPLAN2) para que no haya problemas con puertos. Y por ultimo, en la tabla NAT en postrouting tengo una regla de SNAT para que traduzca lo que salga por la IFSDSL del firewall y le ponga esa IP. Pues bien, mi problema es el siguiente: Cuando conecto desde mi IP de la LAN2 (aunque pasa lo mismo con la LAN1) con ssh a un servidor de internet mio me da timeout. Hago en firewall una captura de todas las interfaces del puerto 22 y el servidor de internet (INTSERV) y obtengo que hay un syn para la conexion y la vuelta hay un syn,ack para la IFSDSL pero no hay un SYN,ACK para la IPLAN2. IPLAN2--- INTSERV SYN IPSDSL--- INTSERV SYN INTSERV-- IPSDSL SYN,ACK Se repite lo mismo Esto me provoca un timeout en ssh, es decir, no puedo conectar. Sin embargo, esto es lo raro. Si pongo la siguiente regla en ip rule, quedando asi: 2: from IPLAN2 lookup sdsl 30010: from all fwmark 0x2 lookup sdsl2 30020: from all fwmark 0x1 lookup sdsl 30030: from LAN1 lookup adsl 30040: from LAN2 lookup adsl 32766: from all lookup main 32767: from all lookup default Vuelvo a conectar por ssh al mismo servidor y se produce lo siguente: IPLAN2--- INTSERV SYN IPSDSL--- INTSERV SYN INTSERV-- IPSDSL SYN,ACK INTSERV-- IPLAN2 SYN,ACK Y despues, todos los ACK y paquetes relacionados con ssh. Es decir hay un paquete más de vuelta a mi IP en la LAN2 y puedo conectar por ssh. Lo mismo ocurre con la LAN1 y las IPs de la LAN1. Estoy usando las mismas reglas de firewall, las mismas rutas, los mismos componentes de hardware, etc. Y estoy dejando pasar todo si el origen y destino es mi IPLAN2 por cualquier protocolo y puerto. Entonces, por que en un caso llega el segundo SYN, ACK mi IPLAN2 y se establece la conexion y en el otro caso no llega produciendo un timeout si solo cambia la regla de ip rule? Además tengo otras 2 lan conectadas al firewall pero que no hacen marcado por el puerto 22. Estas 2 redes si que conectan por ssh sin problemas a traves del firewall usando la regla de la tabla main que va por SDSL... ¿Alguien sabe que puede estar pasando? Es muy raro ¿o se me escapa alguna tonteria relacionada con ip rule que estoy haciendo mal? Lo que no entiendo es porque solo pasa con dos LAN. Os pongo las reglas del mangle. target prot opt in out source destination MARK tcp -- * * ! LAN2 0.0.0.0/0 multiport dports 22,1723 MARK set 0x1 MARK tcp -- * *LAN2 0.0.0.0/0 tcp dpt:22 MARK set 0x2 Saludos Hacia adonde apuntan tus busquedas DNS? Hola Apuntan hacia un DNS interno que esta en otra LAN conectada al firewall. El DNS si lo resuelve, por? 2 puntualizaciones que he puesto mal. El trafico de las otras lan que probe con ssh sale por sdsl como he puesto pero si que estan marcadas con 1. He puesto que salían por main, pero son otros puertos no el 22. Por el 22 conectan correctamente las otras LAN (no la LAN1, marcada tambien con 1 ni la LAN2 marcada con 2). Hola ¿Nadie sabe que puede estar pasando? Añado un par de cosas Si hago un tcptraceroute -s IFLAN2 INETSERVER 80 traceroute to INETSERVER (74.125.230.215), 30 hops max, 60 byte packets 1 ADSL 0.081 ms 0.061 ms 0.055 ms 2 10.15.3.6 (10.15.3.6) 0.661 ms 1.377 ms 1.846 ms 3 1.16.218.87.dynamic.jazztel.es (87.218.16.1) 29.813 ms 32.820 ms 34.803 ms 4 10.255.2.254 (10.255.2.254) 37.538 ms 38.500 ms 38.984 ms 5 106.217.106.212.static.jazztel.es (212.106.217.106) 39.222 ms 114.217.106.212
Re: Problema extraño de red
On 02/18/2013 06:26 AM, Francisco J. Bejarano wrote: Hola Tengo un problema extraño de red, o bueno, que no se muy bien a que se debe. Tengo dos LAN que pasan a traves de un switch(1) y llega a un firewall Linux (FW). Este firewall linux tiene una interfaz a la red (IFLAN1) y otra a la IFLAN2 y otras interfaces. Una de ellas IFSDSL va a otro switch(2) donde estan conectados 2 SDSLs (SDLS y SDSL2). Bueno, decidi releer: Mi interpretacion de lo de arriba: Internet ? -- Linux (fw) --- Switch 1 -- lan ? -- lan? --- Switch 2 -- iflan1 -- iflan2 --- ifsdl -- Switch (otro swuitch 2) -- sdls+sdsl2 Como podes ver, si esto fuera correcto; tenes un enredo! Solo quedaria depurar por rutas y protocolos con tcpdump. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51243ac5.3000...@lavabit.com
Re: Problema extraño de red
El 20/02/13 03:53, consultores escribió: On 02/18/2013 06:26 AM, Francisco J. Bejarano wrote: Hola Tengo un problema extraño de red, o bueno, que no se muy bien a que se debe. Tengo dos LAN que pasan a traves de un switch(1) y llega a un firewall Linux (FW). Este firewall linux tiene una interfaz a la red (IFLAN1) y otra a la IFLAN2 y otras interfaces. Una de ellas IFSDSL va a otro switch(2) donde estan conectados 2 SDSLs (SDLS y SDSL2). Bueno, decidi releer: Mi interpretacion de lo de arriba: Internet ? -- Linux (fw) --- Switch 1 -- lan ? -- lan? --- Switch 2 -- iflan1 -- iflan2 --- ifsdl -- Switch (otro swuitch 2) -- sdls+sdsl2 Como podes ver, si esto fuera correcto; tenes un enredo! Solo quedaria depurar por rutas y protocolos con tcpdump. Hola en realidad, para clarificarlo, es internet - SDSL - SW2 - IFSDSL - FW - SDSL2 - Sigo - IFLAN1 - SW1 - IPSLAN1 FW - IFLAN2 - SW3 - IPSLAN2 Hay mas LANS al FW por otras interfaces que funcionan con ssh. Yo creía también desde el principio que era por el firewall pero si fuera asi, al abrir totalmente mi IPLAN2 a todos los puertos, interfaces, direcciones, etc y ponerlo en la regla 1 del forward tendría que acceder y no es asi. El ping no lo reconfiguro puesto que considero un error desactivarlo ya que muchas herramientas de diagnostico y de red usan el protocolo icmp para funcionar de forma correcta. En cuanto a tcpdump, uso tcpdump y tethereal. Lo que he puesto en el mensaje era para simplificar las salidas. Lo que no se es porque cuando pongo el IP rule con mi ip todo funciona y si la quito no funciona. Saludos -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51247cc2.3030...@openknowledgenetwork.com
Problema extraño de red
Hola Tengo un problema extraño de red, o bueno, que no se muy bien a que se debe. Tengo dos LAN que pasan a traves de un switch(1) y llega a un firewall Linux (FW). Este firewall linux tiene una interfaz a la red (IFLAN1) y otra a la IFLAN2 y otras interfaces. Una de ellas IFSDSL va a otro switch(2) donde estan conectados 2 SDSLs (SDLS y SDSL2). TEngo una serie de reglas que marcan los paquetes que vienen de LAN1 y LAN2 al puerto 22 con marca1 y marca2 respectivamente. Despues tengo las siguientes reglas 30010: from all fwmark 0x2 lookup sdsl2 30020: from all fwmark 0x1 lookup sdsl 30030: from LAN1 lookup adsl 30040: from LAN2 lookup adsl 32766: from all lookup main 32767: from all lookup default La tabla de rutas main va, por defecto, a SDSL. Lo que se marca con 1 va a sdsl y lo que se marca con 2 a sdsl2. El marcado funciona porque envia a sdsl si viene de la LAN 1 y destino puerto 22 y a SDSL2 si viene de LAN2 con destino puerto 22. Si no es el puerto 22 va la ADSL. Esto en la tabla mangle en prerouting. Despues en la tabla filter dejo pasar todo para pruebas a una direccion de la LAN2 (mi ordenador IPLAN2) para que no haya problemas con puertos. Y por ultimo, en la tabla NAT en postrouting tengo una regla de SNAT para que traduzca lo que salga por la IFSDSL del firewall y le ponga esa IP. Pues bien, mi problema es el siguiente: Cuando conecto desde mi IP de la LAN2 (aunque pasa lo mismo con la LAN1) con ssh a un servidor de internet mio me da timeout. Hago en firewall una captura de todas las interfaces del puerto 22 y el servidor de internet (INTSERV) y obtengo que hay un syn para la conexion y la vuelta hay un syn,ack para la IFSDSL pero no hay un SYN,ACK para la IPLAN2. IPLAN2--- INTSERV SYN IPSDSL--- INTSERV SYN INTSERV-- IPSDSL SYN,ACK Se repite lo mismo Esto me provoca un timeout en ssh, es decir, no puedo conectar. Sin embargo, esto es lo raro. Si pongo la siguiente regla en ip rule, quedando asi: 2: from IPLAN2 lookup sdsl 30010: from all fwmark 0x2 lookup sdsl2 30020: from all fwmark 0x1 lookup sdsl 30030: from LAN1 lookup adsl 30040: from LAN2 lookup adsl 32766: from all lookup main 32767: from all lookup default Vuelvo a conectar por ssh al mismo servidor y se produce lo siguente: IPLAN2--- INTSERV SYN IPSDSL--- INTSERV SYN INTSERV-- IPSDSL SYN,ACK INTSERV-- IPLAN2 SYN,ACK Y despues, todos los ACK y paquetes relacionados con ssh. Es decir hay un paquete más de vuelta a mi IP en la LAN2 y puedo conectar por ssh. Lo mismo ocurre con la LAN1 y las IPs de la LAN1. Estoy usando las mismas reglas de firewall, las mismas rutas, los mismos componentes de hardware, etc. Y estoy dejando pasar todo si el origen y destino es mi IPLAN2 por cualquier protocolo y puerto. Entonces, por que en un caso llega el segundo SYN, ACK mi IPLAN2 y se establece la conexion y en el otro caso no llega produciendo un timeout si solo cambia la regla de ip rule? Además tengo otras 2 lan conectadas al firewall pero que no hacen marcado por el puerto 22. Estas 2 redes si que conectan por ssh sin problemas a traves del firewall usando la regla de la tabla main que va por SDSL... ¿Alguien sabe que puede estar pasando? Es muy raro ¿o se me escapa alguna tonteria relacionada con ip rule que estoy haciendo mal? Lo que no entiendo es porque solo pasa con dos LAN. Os pongo las reglas del mangle. target prot opt in out source destination MARK tcp -- * * ! LAN2 0.0.0.0/0 multiport dports 22,1723 MARK set 0x1 MARK tcp -- * *LAN2 0.0.0.0/0 tcp dpt:22 MARK set 0x2 Saludos -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51223a23.9070...@openknowledgenetwork.com
Re: Problema extraño de red
On Mon, 18 Feb 2013 15:26:43 +0100 Francisco J. Bejarano francisco.bejar...@openknowledgenetwork.com wrote: Hola Tengo un problema extraño de red, o bueno, que no se muy bien a que se debe. Tengo dos LAN que pasan a traves de un switch(1) y llega a un firewall Linux (FW). Este firewall linux tiene una interfaz a la red (IFLAN1) y otra a la IFLAN2 y otras interfaces. Una de ellas IFSDSL va a otro switch(2) donde estan conectados 2 SDSLs (SDLS y SDSL2). TEngo una serie de reglas que marcan los paquetes que vienen de LAN1 y LAN2 al puerto 22 con marca1 y marca2 respectivamente. Despues tengo las siguientes reglas 30010: from all fwmark 0x2 lookup sdsl2 30020: from all fwmark 0x1 lookup sdsl 30030: from LAN1 lookup adsl 30040: from LAN2 lookup adsl 32766: from all lookup main 32767: from all lookup default La tabla de rutas main va, por defecto, a SDSL. Lo que se marca con 1 va a sdsl y lo que se marca con 2 a sdsl2. El marcado funciona porque envia a sdsl si viene de la LAN 1 y destino puerto 22 y a SDSL2 si viene de LAN2 con destino puerto 22. Si no es el puerto 22 va la ADSL. Esto en la tabla mangle en prerouting. Despues en la tabla filter dejo pasar todo para pruebas a una direccion de la LAN2 (mi ordenador IPLAN2) para que no haya problemas con puertos. Y por ultimo, en la tabla NAT en postrouting tengo una regla de SNAT para que traduzca lo que salga por la IFSDSL del firewall y le ponga esa IP. Pues bien, mi problema es el siguiente: Cuando conecto desde mi IP de la LAN2 (aunque pasa lo mismo con la LAN1) con ssh a un servidor de internet mio me da timeout. Hago en firewall una captura de todas las interfaces del puerto 22 y el servidor de internet (INTSERV) y obtengo que hay un syn para la conexion y la vuelta hay un syn,ack para la IFSDSL pero no hay un SYN,ACK para la IPLAN2. IPLAN2--- INTSERV SYN IPSDSL--- INTSERV SYN INTSERV-- IPSDSL SYN,ACK Se repite lo mismo Esto me provoca un timeout en ssh, es decir, no puedo conectar. Sin embargo, esto es lo raro. Si pongo la siguiente regla en ip rule, quedando asi: 2: from IPLAN2 lookup sdsl 30010: from all fwmark 0x2 lookup sdsl2 30020: from all fwmark 0x1 lookup sdsl 30030: from LAN1 lookup adsl 30040: from LAN2 lookup adsl 32766: from all lookup main 32767: from all lookup default Vuelvo a conectar por ssh al mismo servidor y se produce lo siguente: IPLAN2--- INTSERV SYN IPSDSL--- INTSERV SYN INTSERV-- IPSDSL SYN,ACK INTSERV-- IPLAN2 SYN,ACK Y despues, todos los ACK y paquetes relacionados con ssh. Es decir hay un paquete más de vuelta a mi IP en la LAN2 y puedo conectar por ssh. Lo mismo ocurre con la LAN1 y las IPs de la LAN1. Estoy usando las mismas reglas de firewall, las mismas rutas, los mismos componentes de hardware, etc. Y estoy dejando pasar todo si el origen y destino es mi IPLAN2 por cualquier protocolo y puerto. Entonces, por que en un caso llega el segundo SYN, ACK mi IPLAN2 y se establece la conexion y en el otro caso no llega produciendo un timeout si solo cambia la regla de ip rule? Además tengo otras 2 lan conectadas al firewall pero que no hacen marcado por el puerto 22. Estas 2 redes si que conectan por ssh sin problemas a traves del firewall usando la regla de la tabla main que va por SDSL... ¿Alguien sabe que puede estar pasando? Es muy raro ¿o se me escapa alguna tonteria relacionada con ip rule que estoy haciendo mal? Lo que no entiendo es porque solo pasa con dos LAN. Os pongo las reglas del mangle. target prot opt in out source destination MARK tcp -- * * ! LAN2 0.0.0.0/0 multiport dports 22,1723 MARK set 0x1 MARK tcp -- * *LAN2 0.0.0.0/0 tcp dpt:22 MARK set 0x2 Saludos Hacia adonde apuntan tus busquedas DNS? -- consultores consulto...@lavabit.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130218090946.b73ae5d8.consulto...@lavabit.com
Re: Problema extraño de red
El 18/02/13 18:09, consultores escribió: On Mon, 18 Feb 2013 15:26:43 +0100 Francisco J. Bejarano francisco.bejar...@openknowledgenetwork.com wrote: Hola Tengo un problema extraño de red, o bueno, que no se muy bien a que se debe. Tengo dos LAN que pasan a traves de un switch(1) y llega a un firewall Linux (FW). Este firewall linux tiene una interfaz a la red (IFLAN1) y otra a la IFLAN2 y otras interfaces. Una de ellas IFSDSL va a otro switch(2) donde estan conectados 2 SDSLs (SDLS y SDSL2). TEngo una serie de reglas que marcan los paquetes que vienen de LAN1 y LAN2 al puerto 22 con marca1 y marca2 respectivamente. Despues tengo las siguientes reglas 30010: from all fwmark 0x2 lookup sdsl2 30020: from all fwmark 0x1 lookup sdsl 30030: from LAN1 lookup adsl 30040: from LAN2 lookup adsl 32766: from all lookup main 32767: from all lookup default La tabla de rutas main va, por defecto, a SDSL. Lo que se marca con 1 va a sdsl y lo que se marca con 2 a sdsl2. El marcado funciona porque envia a sdsl si viene de la LAN 1 y destino puerto 22 y a SDSL2 si viene de LAN2 con destino puerto 22. Si no es el puerto 22 va la ADSL. Esto en la tabla mangle en prerouting. Despues en la tabla filter dejo pasar todo para pruebas a una direccion de la LAN2 (mi ordenador IPLAN2) para que no haya problemas con puertos. Y por ultimo, en la tabla NAT en postrouting tengo una regla de SNAT para que traduzca lo que salga por la IFSDSL del firewall y le ponga esa IP. Pues bien, mi problema es el siguiente: Cuando conecto desde mi IP de la LAN2 (aunque pasa lo mismo con la LAN1) con ssh a un servidor de internet mio me da timeout. Hago en firewall una captura de todas las interfaces del puerto 22 y el servidor de internet (INTSERV) y obtengo que hay un syn para la conexion y la vuelta hay un syn,ack para la IFSDSL pero no hay un SYN,ACK para la IPLAN2. IPLAN2--- INTSERV SYN IPSDSL--- INTSERV SYN INTSERV-- IPSDSL SYN,ACK Se repite lo mismo Esto me provoca un timeout en ssh, es decir, no puedo conectar. Sin embargo, esto es lo raro. Si pongo la siguiente regla en ip rule, quedando asi: 2: from IPLAN2 lookup sdsl 30010: from all fwmark 0x2 lookup sdsl2 30020: from all fwmark 0x1 lookup sdsl 30030: from LAN1 lookup adsl 30040: from LAN2 lookup adsl 32766: from all lookup main 32767: from all lookup default Vuelvo a conectar por ssh al mismo servidor y se produce lo siguente: IPLAN2--- INTSERV SYN IPSDSL--- INTSERV SYN INTSERV-- IPSDSL SYN,ACK INTSERV-- IPLAN2 SYN,ACK Y despues, todos los ACK y paquetes relacionados con ssh. Es decir hay un paquete más de vuelta a mi IP en la LAN2 y puedo conectar por ssh. Lo mismo ocurre con la LAN1 y las IPs de la LAN1. Estoy usando las mismas reglas de firewall, las mismas rutas, los mismos componentes de hardware, etc. Y estoy dejando pasar todo si el origen y destino es mi IPLAN2 por cualquier protocolo y puerto. Entonces, por que en un caso llega el segundo SYN, ACK mi IPLAN2 y se establece la conexion y en el otro caso no llega produciendo un timeout si solo cambia la regla de ip rule? Además tengo otras 2 lan conectadas al firewall pero que no hacen marcado por el puerto 22. Estas 2 redes si que conectan por ssh sin problemas a traves del firewall usando la regla de la tabla main que va por SDSL... ¿Alguien sabe que puede estar pasando? Es muy raro ¿o se me escapa alguna tonteria relacionada con ip rule que estoy haciendo mal? Lo que no entiendo es porque solo pasa con dos LAN. Os pongo las reglas del mangle. target prot opt in out source destination MARK tcp -- * * ! LAN2 0.0.0.0/0 multiport dports 22,1723 MARK set 0x1 MARK tcp -- * *LAN2 0.0.0.0/0 tcp dpt:22 MARK set 0x2 Saludos Hacia adonde apuntan tus busquedas DNS? Hola Apuntan hacia un DNS interno que esta en otra LAN conectada al firewall. El DNS si lo resuelve, por? 2 puntualizaciones que he puesto mal. El trafico de las otras lan que probe con ssh sale por sdsl como he puesto pero si que estan marcadas con 1. He puesto que salían por main, pero son otros puertos no el 22. Por el 22 conectan correctamente las otras LAN (no la LAN1, marcada tambien con 1 ni la LAN2 marcada con 2). -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5123287a.8000...@openknowledgenetwork.com
