Hola Tengo un problema, como no iba a ser de otra forma. La situación es la siguiente: - servidor con ipmasquerading habilitado en el kernel y el paquete ipmasq - el servidor es potato 2.2r0 actualizado con apt a lo ultimo con nucleo 2.2.17 recompilado para la situacion - el cliente tambien es potato con 2.2r0 sin actualizar mas allá - diald e ipmasq en el servidor - cambios en ipmasq para lanzarlo con S21 en rc2.d en vez de en rcS.d (si no, de poco sirve lanzarlo antes de que diald cree el interface sl0. - lanzo los ip-up de ppp desde el ip-up de diald, en vez de desde el propio pppd, ya que diald establece rutas y borra interface sl0 despues de que pppd le devuelve el control, así, al lanzar ipmasq, la situación es estable si lo lanzo desde el ip-up de diald en vez del de pppd. - no tengo dns en el servidor, uso el servidor dns del isp tanto desde el servidor como desde el cliente. Un supuesto que funciona bien: - conecto desde el servidor mediante diald en cuanto hago un ping www.noseque.com - se establece la conexion, transmito, etc. todo bien - se corta la conexion cuando se acaba el tiempo adecuado indicado en diald. El supuesto erroneo: - hago el mismo ping www.noseque.com desde el cliente - se establece la conexion, los ipmasq se hacen de la misma forma (me los estoy enviando por correo sus resultados con "ipchains -L -n | mail root") y todo va bien DESDE el SERVIDOR, pero los paquetes del cliente al servidor de nombres son rechazados (DENY) en el servidor. Veo el DENY en el syslog del servidor, e indica como IP de origen 10.0.0.1 (la del interface sl0 de diald como local, en vez de la real 62.x.x.x que me haya asignado el isp, pero realmente ipchains -L -n devuelve la correcta, e ifconfig también. - cuando se pasa el tiempo de la "cache o lo que sea" que aparece en ipchains -M -L de ese puerto 53 para la consulta de nombres, al volverlo a hacer desde el cliente, YA FUNCIONA BIEN, y no aparece la direccion 10.0.0.1 como origen del paquete "enmascarado" en el servidor. Nunca antes había provado esto sin servidor de nombres DNS en el servidor, por lo que la petición DNS la hacía el servidor, como en el primer caso, pero ahora que lo pruebo, veo que el enmascaramiento de la ip guarda esa cache de la ip usada para la petición más allá del tiempo que tarda en establecerse la conexión, es decir, cuando ya no existe esa ip, sigue usándola. ¿BUG? ¿FALLO en mi configuración? ¿obligacion de usar dns en el servidor? Siento haber sido tan largo, pero me he quedado un poco pillado y necesito ayuda. Gracias. -- Andres Seco Hernandez, MCP ID 445900 AndresSH@ctv.es - http://www.ctv.es/USERS/andressh GnuPG public information: pub 1024D/3A48C934 E61C 08A9 EBC8 12E4 F363 E359 EDAC BE0B 3A48 C934 -------------------------------------------------- Alamin GSM SMS Gateway - http://alamin.sourceforge.net Debian GNU/Linux - http://www.debian.org
Attachment:
pgp78TopDk6Sk.pgp
Description: PGP signature