Merkwürdiges Routing-Verhalten

[mrserious]

Hallo zusammen,

habe einen Server mit 2 verschiedenen Netzwerkkarten:

- eth0: 10.0.0.1/24
- eth1: 10.1.1.1/24

an beiden Karten hängt jeweils ein Switch und an diesem dann die Rechner des jeweiligen Pools, der Server vergibt per DHCP IPs aus den beiden Netzen an die jeweiligen Clients.
Warum kann ich von einem Client im Netz an eth0 einen erfolgreichen Ping an eth1 ausführen?
Der Client hat also z.B. die IP 10.0.0.25.
Forwarding ist per iptables explizit deaktiviert, bzw. ich habe sogar Regeln drin, die jegliche Verbindung von eth0 zu eth1 und andersherum verbieten.

[Cae]

Das ist ein "Feature", der Kernel sieht, dass irgendeine von seinen IPs angepingt wird und antwortet gemaess der Routing-Tabelle (also in das "falsche" Netz zurueck). Du musst da per iptables Teile vom ICM-Protokoll begrenzen, a la

Code: Alles auswählen

-A OUTPUT -p icmp -o eth0 ! -s 10.0.0.1 -j DROP

oder aehnlich. Vielleicht gibt's auch in /proc/ entsprechende Flags, um das "verdrehte" Pingen zu verhindern.

Gruss Cae

[mrserious]

*puh* bin ich ja beruhigt
Hatte schon befürchtet, irgendwo doch eine ungewollte Brücke zwischen den Netzen geschaffen zu haben.

Moment...
da fällt mir noch ein anderer Test ein, den ich durchgeführt habe:
Auf beiden Interfaces läuft derselbe Samba-Server und auch diesen konnte ich über die "falsche" Netzwerkkarte erreichen... wie erklärt sich das?

[wanne]

Auf beiden Interfaces läuft derselbe Samba-Server und auch diesen konnte ich über die "falsche" Netzwerkkarte erreichen... wie erklärt sich das?

Vielleicht doch ne Brücke?
Irgend wo ein Kabel zwischen den switches?
ggf. Ist

Code: Alles auswählen

ip route list

Auf dem Client hilfreich?
Und dann würde ich einfach mal traceroute laufen lassen (Das kann sogar tcp um das möglichst realitätsgetreu nachzubilden.) und auf jedem dem Zwischenpunkt wo eigentlichs schluss sein sollte nochmal die iptables Regeln überprüfen. (ggf. hier zusammen mit ip addr list und ip route list posten.)
ggf. ist da vielleicht ein böses MASQRADE oder so?

[mod3]

Morgen

Also ein Kabel kann ich definitiv ausschließen.
Der Server hat 3 Netzwerkkarten, eine geht zum DSL-Router und zwei jeweils zu einem eigenen Switch.
Beide Subnetze können so also ins Internet und auf die Server-Dienste zugreifen (das ist eig nur Samba).
Auf den Clients läuft übrigens Win7. Ein Traceroute habe ich schon probiert, ich komme immer nur einen Knoten weit und das ist bis zum Server.

Ein Masquerading läuft tatsächlich, das ist aber nur für Pakete gedacht, die ins Internet wollen, vllt. habe ich es fehlkonfiguriert?

Code: Alles auswählen

iptables -A POSTROUTING -t nat -o $internet -j MASQUERADE

[Cae]

Ein Masquerading läuft tatsächlich, das ist aber nur für Pakete gedacht, die ins Internet wollen, vllt. habe ich es fehlkonfiguriert?

Code: Alles auswählen

iptables -A POSTROUTING -t nat -o $internet -j MASQUERADE

Sollte imho nur auf Pakete matchen, die tatsaechlich ueber diese Netzwerkkarte nach draussen gehen.

Das mit der Schleife koenntest du uebrigens einfach widerlegen, mal vorausgesetzt, das ist keine kritische 24/7-Umgebung: Zieh' einfach auf einer Seite das Kabel zum Switch ab und pinge von einem Client im anderen Netz die IP von diesem Interface. Sofern das Interface nicht wegen ifup/ifdown-foo die IP vergisst, solltest du nach wie vor pingen koennen, wenn meine Theorie stimmt. Falls tatsaechlich eine Schleife verbaut sein sollte, geht's natuerlich nicht mehr (aber warum sollte der Client den Ping an ein fremdes Netz nicht an den Standardgateway schicken? Er muesste ja eine IP im anderen Netz haben...).

Gruss Cae

[mod3]

Nabend,

heißt also, meine Masquerading-Regel kann ich so stehen lassen, sie dürfte in dem Fall nicht dazwischenfunken?

Bin mir sehr sicher, dass keine Schleife drin ist, habe das ganze erst vor kurzem neu verkabelt, schaue es mir aber morgen gern mal an.
Vllt läuft das Forwarding über das Loopbackinterface, da es ja der selbe Server ist?
Das ist in der Firewall nämlich zugelassen...

[wanne]

Wenn an dem -o Tatsächlcih direkt Internet ist. Prinzipiell könnte das aber auch so laufen: Hinter $internet liegt ein weiterer nicht Internet router und der routet dann zurück. Ich würde da vorsichtshabler mal sowas dranhängen:

Code: Alles auswählen

iptables -A INPUT -i $internet -d 10.0.0.0/23 -j DROP

BTW: Was soll das bedeuten?

Auf beiden Interfaces läuft derselbe Samba-Server und auch diesen konnte ich über die "falsche" Netzwerkkarte erreichen... wie erklärt sich das?

Ich habe schon wieder das Gefühl als ob du schon wieder wie in Routing auf Gatewayserver schlicht falsche Angaben machst. Für mich klingt das schon wieder so als ob es sich wieder nicht um einen Rechner mit 3 Netzwerkkarten (eth1 eth0 und $internet) handelt.
bitte poste mal die vollständige Ausgabe davon

Code: Alles auswählen

ip addr list 
iptables -S

Und vor allem schreibe mal wie du feststellst, dass du erreichbar bist.

[mod3]

Ne, hinter $internet hängt dann wirklich nur noch ein DSL-Router
Entsprechende Regeln, die soetwas unterbinden habe ich auch bereits im Skript drin
Sieht dann z.B. so aus:

Code: Alles auswählen

iptables -A FORWARD -i $internet -o $lan -j DROP

[wanne]

Die würde dir in dem von mir genannten Fall nichts nützen. Was auf masqrade geNATed wurde, läuft soweit ich weiß auf dem Rückweg nicht durch FORWARD, da NAT kein routing ist, sondern eine Anwendung auf em Router.

PS. Könntest du vollständige Angaben machen das würde deine ganzem mehrseitigen Threads auf eine Antwort reduzieren.

Edit: Schreibweise für geNATed lesbarer gemacht.

[mod3]

Welche Info's brauchst du denn konkret?

Oder meinst du, ich solle die Dinge einfach von Anfang an vollständig posten?
Habe die Erfahrung gemacht, dass das Thema dann schnell zu Randetails abdriftet und man in seitenlangen config-Dateien rasch die Übersicht verliert.

[wanne]

Oder meinst du, ich solle die Dinge einfach von Anfang an vollständig posten?

Darumgiengs mir hauptsächlich. Insbesondere im Ersten Thread habe ich halt geerkt, dass di ersten Eineinhalb seite mehr oder weniger verschwendet wahren weil alle von falschen Vorraussezungen ausgiengen.
aber die 3 beiden Befehle währe immer noch von interesse.

Habe die Erfahrung gemacht, dass das Thema dann schnell zu Randetails abdriftet und man in seitenlangen config-Dateien rasch die Übersicht verliert.

Nein, so trifftet das alles in die Flasche Richtung ab: Wenn es dir genehm gewesen währe vollständige routing Tabellen zu posten währe das Thema in maximal 3 beiträgen erledigt gewesen. So eiern wir hier rum und raten was du wohl für ne Konfiguration hast:
Deine beschreibungen sind nämlich rtegelmäßig falsch:

habe einen Server mit 2 verschiedenen Netzwerkkarten:

eth0: 10.0.0.1/24
eth1: 10.1.1.1/24

Dann fällt dir auf oh da ist aber nochmal ne Internet schnittstelle. (Das war zwar irrelevant aber das festzustellen hat erstmal 3 Beiträge gekostet)
Dann sagst du du hast forwardingdeaktiviert, danach fällt dir aber ein öh aber doch nur manchmal.
Im allgemeinen fühle ich mich langsam einfach ein bischen verarscht.

[mod3]

Guten Morgen,

oh neinnein, nimm's bitte nicht persönlich
Es hat damit nichts zu tun, ich hielt es für sinnvoller, die Diskussion von vorn herein auf das Wesentliche zu leiten, aber du hast natürlich recht wenn du sagst, das mir das nicht gelungen ist.