On 12/13/2016 13:29, Fodor Zsolt wrote:
On Tue, 06 Dec 2016 13:31:48 +0000, k...@mayten.sch.bme.hu wrote
On 2016-12-06 13:17, Fodor Zsolt wrote:
Most jutottam vissza a problémához, szerencsére a kolléga azóta távol van.
a beidezett tartalombol ez az en kerdeseimre valasz. bar mar fogalmam
sincs, mi volt az eredeti problema, ha ennyi ideig nem volt fontos a
hiba, akkor en is elvesztettem az erdeklodesem :)
de azert par dolog:
Most úgy látom, hogy válasz nem megy... de ha a többi gépnek igen, ennek miért
nem?
hirtelenjeben ket dolog jut eszembe.
1) iptables vagy valami mas szuri a visszairanyu forgalmat. elemezzuk
ezt az elmeletet ki.
- akkor a ping miert megy?
- mert a legtobb rendszergazda ugy kezdi az iptables konfigokat, hogy
iptables -A <INPUT|OUTPUT> -p icmp -j ACCEPT, de meg az is aki tisztaban
van a path mtu discoveryvel, az is engedi a pingeket az icmp-type -ot
hasznalva
- miert szurne a visszafele dns forgalmat egy dns szerveren az iptables?
- rosszul bekonfiguralt fail2ban, vagy egy korabbi kosza hadmuveletbol
szarmazo iptables -A OUTPUT -d $ip -j DROP van, esetleg, INPUT iranyban
van ugyanez, ergo nem (csak) kifele szursz, hanem befele is.
loggoltathatnad azt a dnsmasqot, hogy lassuk mit kezd a csomagokkal,
illetve adhatnal egy masik ip cimet a hibas gepnek, lassuk akkor mi
tortenik. sot, akar meg is cserelhetned a ket szerver ip cimet, lassuk,
a problema is megfordul-e.
felvehetnel egy szabalyt a szerveren, iptables -I OUTPUT 1 -d <ip> -j
ACCEPT, esetleg tobbet, protokollonkent. aztan nezd meg a szamlalot,
novekszik-e ahogy a kifele iranyulo csomag kimegy
2) egyeb L2 szintu problema van, a ping meg megy, de esetleg kiurul az
arp cache es utana mar nem tud valaszt kuldeni. esetleg utkozo ip / mac
cim van a halozaton es csak bizonyos konstellacioban nem mukodik a dns /
masnak megy a valasz.
Megváltoztattam a dns szerver címét egy másik létezőre, az eredmény
változatlan....
ebbol a mondatbol nem derul ki, hogy mit csinaltal.
- megvaltoztattad a dnsmasq szervered ip cimet?
- vagy beallitottal egy masik ip cimet dns szervernek? az is dnsmasq?
azt is te konfigoltad? ha kiderul, hogy az elso szerveren a dnsmasq
hibas, akkor a masodik mitol lenne jobb?
En legalabbis a teszteket igyekszem olyan dolgon csinalni amit nem en
konfiguraltam, hiszen ha egyet elrontottam akkor valoszinuleg kettot is,
ergo a tesztem nem lesz fuggetlen...
--
udv
Adam
_______________________________________________
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/