dhclient

_ash · Beitrag von **_ash** » 30.01.2012 23:05:19

Ich habe auf einem Server das Problem, dass ich permamente Einträge in den Logs finde, die mir sagen:

dhclient: send_packet: Operation not permitted

Die Firewall sollte den dhclient eigentlich zulassen. Eine Idee, woher das kommen könnte?

Cae · Beitrag von **Cae** » 30.01.2012 23:21:20

Vielleicht ist der Link einfach down (Kabel raus, etc.)? Poste doch mal die /etc/dhcp/dhclient.conf. Evtl. übersichtlich, ohne Kommentare und leere Zeilen:

Code: Alles auswählen

$ egrep -v '^(#|$)' /etc/dhcp/dhclient.conf

Bei einem Firewallproblem geht i.d.R. einfach irgendwas nicht, weil das Paket nicht durchkommt, aber es gibt kein not permittet etc..

Gruß Cae

_ash · Beitrag von **_ash** » 30.01.2012 23:36:43

Kabel raus ist unwahrscheinlich, da der Server an sich im Netz läuft.

Code: Alles auswählen

# egrep -v '^(#|$)' /etc/dhcp/dhclient.conf
option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;
request subnet-mask, broadcast-address, time-offset, routers,
	domain-name, domain-name-servers, domain-search, host-name,
	netbios-name-servers, netbios-scope, interface-mtu,
	rfc3442-classless-static-routes, ntp-servers;

hier noch ein Auszug aus der Firewall:

Code: Alles auswählen

# allow DHCP
    iptables -I INPUT -p udp --dport 67:68 --sport 67:68 -j ACCEPT

Wobei diesselbe Firewall auf 3 anderen Servern ohne Problem läuft.

debianator · Beitrag von **debianator** » 31.01.2012 01:00:23

Also ich bin mir ganz sicher das ich kürzlich ein not permittet gesehen habe als ich einen PC ich glaube tracerouten wollte, den ich mit iptables in der Output Chain mit TCP-Reset geblockt hatte.

Edit: Sorry, da hab ich mich total geirrt.

Für mich sieht die Zeile aus dem Logfile so aus als ob das dhcp packet nicht gesendet werden kann.

Poste doch mal die Output Chain von Iptables.

Und wenn es ausser iptables noch etwas gibt wo ausgehende Packete abfangen könnte ebenfalls.

Achja und falls du mit Conntrack arbeitest stelle sicher das die benötigten Module noch geladen sind.

_ash · Beitrag von **_ash** » 31.01.2012 09:27:13

Hier der Output von Iptables:

Code: Alles auswählen

Chain INPUT (policy DROP 636 packets, 35199 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 407K  508M fail2ban-apache  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 80,443 
  36M 6295M fail2ban-default  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           
18117 6201K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spts:67:68 dpts:67:68 
    0     0 DROP       all  --  *      *       222.186.24.99        0.0.0.0/0           
    0     0 DROP       icmp -f  *      *       0.0.0.0/0            0.0.0.0/0           
  285 11476 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID 
  204 11116 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 PORTSCAN   tcp  --  all    *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x29 recent: SET name: DEFAULT side: source 
    0     0 PORTSCAN   tcp  --  all    *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x06 recent: SET name: DEFAULT side: source 
    0     0 PORTSCAN   tcp  --  all    *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x03/0x03 recent: SET name: DEFAULT side: source 
    0     0 PORTSCAN   tcp  --  all    *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x01 recent: SET name: DEFAULT side: source 
    0     0 PORTSCAN   tcp  --  all    *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x3F recent: SET name: DEFAULT side: source 
    0     0 PORTSCAN   tcp  --  all    *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x00 recent: SET name: DEFAULT side: source 
    0     0 PORTSCAN   tcp  --  all    *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x3F recent: SET name: DEFAULT side: source 
    0     0 BAD_FLAGS  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp option=64 recent: SET name: DEFAULT side: source 
    0     0 BAD_FLAGS  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp option=128 recent: SET name: DEFAULT side: source 
    0     0 SMALL      udp  --  *      *       0.0.0.0/0            0.0.0.0/0           length 0:27 recent: SET name: DEFAULT side: source 
    0     0 SMALL      tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           length 0:39 recent: SET name: DEFAULT side: source 
    0     0 SMALL      30   --  *      *       0.0.0.0/0            0.0.0.0/0           length 0:31 recent: SET name: DEFAULT side: source 
    0     0 SMALL      47   --  *      *       0.0.0.0/0            0.0.0.0/0           length 0:39 recent: SET name: DEFAULT side: source 
    0     0 SMALL      esp  --  *      *       0.0.0.0/0            0.0.0.0/0           length 0:49 recent: SET name: DEFAULT side: source 
    0     0 SMALL      ah   --  *      *       0.0.0.0/0            0.0.0.0/0           length 0:35 recent: SET name: DEFAULT side: source 
    0     0 SMALL      all  --  *      *       0.0.0.0/0            0.0.0.0/0           length 0:19 recent: SET name: DEFAULT side: source 
    0     0 BOGUS      all  --  *      *       0.0.0.0/0            0.0.0.0/0           ctstate INVALID 
 1699 67960 syn-flood  tcp  --  eth+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x04 
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:!0x17/0x02 ctstate NEW 
    0     0 ODDPORTS   udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spts:2:21 recent: SET name: DEFAULT side: source 
    0     0 ODDPORTS   udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpts:2:21 recent: SET name: DEFAULT side: source 
    0     0 ODDPORTS   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:0 recent: SET name: DEFAULT side: source 
    0     0 ODDPORTS   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:0 recent: SET name: DEFAULT side: source 
    0     0 OFFENDER   all  --  *      *       0.0.0.0/0            0.0.0.0/0           recent: CHECK seconds: 300 name: DEFAULT side: source 
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x00 
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x03/0x03 
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x06 
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x05/0x05 
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x11/0x01 
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x18/0x08 
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x30/0x20 
    0     0 DROPLOG    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp flags:0x3F/0x3F 
    0     0 DROPLOG    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp flags:0x3F/0x00 
15382 2032K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
  36M 6294M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:53 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:53 
  871 45152 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80 
 7150  372K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:443 
    5   284 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:20200 

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       icmp -f  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 PORTSCAN   tcp  --  all    *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x29 recent: SET name: DEFAULT side: source 
    0     0 PORTSCAN   tcp  --  all    *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x06 recent: SET name: DEFAULT side: source 
    0     0 PORTSCAN   tcp  --  all    *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x03/0x03 recent: SET name: DEFAULT side: source 
    0     0 PORTSCAN   tcp  --  all    *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x01 recent: SET name: DEFAULT side: source 
    0     0 PORTSCAN   tcp  --  all    *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x3F recent: SET name: DEFAULT side: source 
    0     0 PORTSCAN   tcp  --  all    *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x00 recent: SET name: DEFAULT side: source 
    0     0 PORTSCAN   tcp  --  all    *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x3F recent: SET name: DEFAULT side: source 
    0     0 BOGUS      all  --  *      *       0.0.0.0/0            0.0.0.0/0           ctstate INVALID 
    0     0 syn-flood  tcp  --  eth+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x04 
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:!0x17/0x02 ctstate NEW 
    0     0 ODDPORTS   udp  --  eth+   *       0.0.0.0/0            0.0.0.0/0           udp dpts:2:21 recent: SET name: DEFAULT side: source 
    0     0 ODDPORTS   tcp  --  eth+   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:0 recent: SET name: DEFAULT side: source 
    0     0 ODDPORTS   tcp  --  eth+   *       0.0.0.0/0            0.0.0.0/0           tcp spt:0 recent: SET name: DEFAULT side: source 
    0     0 OFFENDER   all  --  *      *       0.0.0.0/0            0.0.0.0/0           recent: CHECK seconds: 300 name: DEFAULT side: source 

Chain OUTPUT (policy DROP 5373 packets, 1762K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       icmp -f  *      *       0.0.0.0/0            0.0.0.0/0           
    1    52 DROPLOG    all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID 
   13  1523 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 BOGUS      all  --  *      *       0.0.0.0/0            0.0.0.0/0           ctstate INVALID 
15382 2032K ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
  36M 3047M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
10461  677K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:53 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:53 
  446 26760 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80 
 1595 95700 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:443 
    1    60 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:21 
  160 12160 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:123 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:21 
   80  4800 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:25 
17115 1027K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:3306 

Chain BAD_FLAGS (2 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain BOGUS (3 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable 

Chain DROPLOG (7 references)
 pkts bytes target     prot opt in     out     source               destination         
    1    52 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/sec burst 8 LOG flags 7 level 7 prefix `DROP ' 
    1    52 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain ODDPORTS (7 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROPLOG    all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 1/sec burst 5 

Chain OFFENDER (2 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROPLOG    all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 1/sec burst 5 
    0     0 DROPLOG    all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain PORTSCAN (14 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROPLOG    all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 1/sec burst 5 

Chain SMALL (7 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain fail2ban-apache (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain fail2ban-default (1 references)
 pkts bytes target     prot opt in     out     source               destination         
  36M 6295M RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain fail2ban-ssh (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain syn-flood (2 references)
 pkts bytes target     prot opt in     out     source               destination         
 1699 67960 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 4/sec burst 16 
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 75/sec burst 100 
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 1/sec burst 5 LOG flags 7 level 4 prefix `SYN FLOOD ' 
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           
Tabelle nat
Chain PREROUTING (policy ACCEPT 10727 packets, 1158K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 30299 packets, 1867K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 35733 packets, 3633K bytes)
 pkts bytes target     prot opt in     out     source               destination         
Tabelle mangle
Chain PREROUTING (policy ACCEPT 36M packets, 6302M bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 36M packets, 6302M bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 36M packets, 3052M bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 36M packets, 3051M bytes)
 pkts bytes target     prot opt in     out     source               destination

debianator · Beitrag von **debianator** » 01.02.2012 10:52:09

Das sieht ok aus, kann höchstens sein das irgend welche Limits von -m recent oder fail2ban einrasten und den DHCP-Server blocken.

Oft ist sehr viel DHCP-Discovery, Multicast, Broadcast usw. im Netz dauernd am reinkommen.

Flushe doch mal testweise die Iptables und setze die Policie wieder auf ACCEPT, falls möglich.

Sonst ggf. mal die Limit-Counters testweise flushen und die Limits höher setzen.

Lustiger weise habe ich sowas ebenfalls zwischendurch mal in meinen Logs drinne stehen.
dhclient: send_packet: Operation not permitted
Aber gefolgt von:
dhclient: receive_packet failed on wlan0: Network is down

Ich würde jetzt folgendes tun:

iptables-save
sudo ifdown ethX oder sudo ifconfig ethX down
Netzwerkkabel abziehen
Wenn möglich DHCP-Server/Router neu booten
sudo ifup ethX oder sudo ifconfig ethX up
Netzkabel einstecken
sudo dhclient ethX

Oder vielleicht: sudo invoke sudo invoke-rc.d networking restart
Oder falls network-manager installiert ist: sudo service network-manager restart

Hoffen das das Problem erledigt ist.

Vielleicht hat ein Admin am DHCP-Server ja auch was verstellt oder neu aufgesetzt oder das Gerät ausgetauscht...?

Oder wurde vielleicht auf IPv6 umgestellt?

Vergleiche doch mal die /etc/dhcp/dhclient.conf mit der auf dem anderen Server und /etc/network/interfaces und ifconfig usw.

Sonst habe ich auch keine Idee mehr woran das liegen könnte.

Ist zwar keine echte Problemlösung aber wenn alle Stricke reisen könnte man ggf. den Server statisch über /etc/network/interfaces configurieren.

debianforum.de

dhclient

dhclient

Re: dhclient

Re: dhclient

Re: dhclient

Re: dhclient

Re: dhclient