Problem med IPtables baserad brandvägg.
Hej !
Jag har råkat för ett i mina ögon lite skumt problem,
jag har installerat en brandvägg som kör iptables med en del mycket enkla
regler.
Maskinen är kopplad mot Globecoms nät(Glocalnet) och har ett internt nät
(192.168.169.0) samt får den yttre adressen tilldelad via DHCP.
Problemen som uppstår är att maskinen verkar fungera bra en stund och
sedan (jag antar att detta blir när leasetiden för ipadressen går ut) så
kan jag inte längre nå vissa nät.
Vissa nät routas helt enkelt inte vidare från min
default gw längre.
Maskinen körde först med 2 st 3Com 3c59x kort och
Potato. Sedan uppgraderade jag till Woody för att se om det löste
problemen. Efter detta så jag jag dessutom testat olika kernels (2.4.8 -
2.4.11). Nu slutligen fick jag för mig att det yttre 3Com kortet inte kom
överens med med switchen/routern i andra änden och bytte detta till ett
Intel Etherexpress kort.
ECN är INTE pålsaget i kernel.
Nu ringde min kund igen och sa att han återigen har problem med att nå
vissa sajter.
Tilläggas skall följande, jag körde först med Pump och sedan med DHclient.
Jag har en labb maskin som kör Redhat 6.2 (egentligen Sycld B2) som innan
hade ovannämda Intel kort på sitt yttre interface.
Denna maskinen fungerar klanderfritt (och gjorde i över en vecka) !
Detta trots samma Iptables script och samma kernel.
Jag har även när problemen uppstått testat att stänga ner IPtables och
köra utan brandväggs funktionalitet och får då samma problem.
Dock verkar det som om jag numera efter bytet till Intel kortet
(igår) kommer längre in i Globecoms nät än vad jag gjorde innan.
En annan skillnad är att när jag kör Ping/Trace i Redhat så ser jag att
min tilldelade default gateway gör en REDIRECT till en annan maskin i
samma nät innan paketen skickas vidare. Debian maskinen tar naturligtvis
samma väg men skriver inte ut REDIRECT (växel för det kanske ?).
Jag har precis börjat gå över till Debian efter snart 5 år med Redhat och
Slackware, har debian någon annorlunda default inställning på sin ip
trafik som kan orsaka ovannämda fel ?
Spoofskydd ?
TIlläggas skall att probelmen är lika både från insidan av nätet samt från
brandväggen själv. Jag var säker på att det var ett fel hos leverantören
men eftersom Redhat burken fungerar utan problem och jag nu har flyttat
Nätverkskortet till Debian maskinen så är jag inte så säker längre.
En annan sak som gjorde att jag ansåg att det var leverantörens
utrustning som spökade var att jag plockade hem brandväggen och körde den
hemma i en vecka(annan leverantör) och har skyfflat ca 20-30GB igenom den
samt testat lite allt möjligt UTAN några problem.
Så, någon som har några ideer är jag väldigt tacksam för att få höra
dessa för mina börjar ta slut.
Mvh
Daniel Persson
--
Daniel Persson
Westbo Linux User Group ---> http://wlug.westbo.se
A swedish site about Gnome ---> http://wlug.westbo.se/gnome
My personal pages ---> http://wlug.westbo.se/~myrridin
Dagens kommentar :
Wait! You have not been prepared!
-- Mr. Atoz, "Tomorrow is Yesterday", stardate 3113.2
Reply to: