Gateway Probleme

Liebe Community,

ich habe folgendes Problem:
Es existieren zwei Subnetze innerhalb des Netzwerks: 192.168.80.x und
192.168.90.x mit jeweils Linux- als auch Windows-Clients. Den Rechner,
den ich als Gateway benutzen möchte läuft unter SUSE 8.1 Professional
und hat zwei Interfaces mit folgenden IP-Adressen: eth0 -> 192.168.80.1
bzw. eth1 -> 192.168.90.1

Vom Gateway auch kann ich Clients aus beiden Subnetzen anpingen. Auch
kann ich auch beiden Subnetzen beide Interfaces des Gateways anpingen.
Ich kann jedoch nicht aus dem einen Subnetz Client im anderen anpingen.
Habe schon viel im Internet gesucht und probiert, aber bisher hat
nichts geklappt.

Über eine Antwort würde ich mich sehr freuen, da die Zeit drängt.

Mit freundlichen Grüßen,
Gabriel Plitzko

Liebe Community,

ich habe folgendes Problem:
Es existieren zwei Subnetze innerhalb des Netzwerks:
192.168.80.x und
192.168.90.x mit jeweils Linux- als auch Windows-Clients. Den
Rechner,
den ich als Gateway benutzen möchte läuft unter SUSE 8.1
Professional
und hat zwei Interfaces mit folgenden IP-Adressen: eth0 ->
192.168.80.1
bzw. eth1 -> 192.168.90.1

Tippe mal „route -n“ ein und poste die Ausgabe. Evtl. stimmen die Routing Einträge nicht.

Oder ip forwarding ist aus. „echo /proc/sys/net/ipv4/ip_forward“ sollte eine 1 ergeben, wenn nicht, reinschreiben und testen:
echo 1 >/proc/sys/net/ipv4/ip_forward

Oder irgendeine Firewall ist aktiviert und verbietet das, (SuSE installiert so was glaub ich Standardmäßig), was kommt bei „iptables -L -n“ ?

Alexander

Über eine Antwort würde ich mich sehr freuen, da die Zeit
drängt.

hast du daran gedacht, allen Maschinen dein Gateway als Default-Gateway anzugeben?

Stefan

Hier die Ausgaben zu den von dir genannten Befehlen:

linux:~ # route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.80.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.90.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1

linux:~ # cat /proc/sys/net/ipv4/ip_forward
0

linux:~ # iptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT udp – 0.0.0.0/0 255.255.255.255 udp spt:67 dpt:68
ACCEPT icmp – 0.0.0.0/0 0.0.0.0/0 icmp type 8
ACCEPT all – 0.0.0.0/0 0.0.0.0/0
reject_func all – 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain reject_func (1 references)
target prot opt source destination
REJECT tcp – 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset
REJECT udp – 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all – 0.0.0.0/0 0.0.0.0/0 reject-with icmp-proto-unreachable

Schon mal vielen Dank!

MFG,
Gabriel

Über eine Antwort würde ich mich sehr freuen, da die Zeit
drängt.

hast du daran gedacht, allen Maschinen dein Gateway als
Default-Gateway anzugeben?

Ja, das Gateway ist überall eingetragen.

MFG,
Gabriel

linux:~ # cat /proc/sys/net/ipv4/ip_forward
0

hast du den Artikel von Alexander wohl nicht genau gelesen…:

„echo /proc/sys/net/ipv4/ip_forward“ sollte eine 1 ergeben,
wenn nicht, reinschreiben und testen
echo 1 >/proc/sys/net/ipv4/ip_forward

Gruss
Timo

Habe ich gemacht, zeigt jetzt eine 1 an. Funktioniert aber immer noch nicht!

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hier die Ausgaben zu den von dir genannten Befehlen:

linux:~ # route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric
Ref Use Iface
192.168.80.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.90.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1

---

linux:~ # cat /proc/sys/net/ipv4/ip_forward
0

Ja, aber er hat doch ’ echo /proc/sys…’ gesagt. Nur Spass. Mitgedacht. Okay, da steht ja mittlerweile auch die 1 drin!?

---

linux:~ # iptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT udp – 0.0.0.0/0 255.255.255.255 udp spt:67 dpt:68
ACCEPT icmp – 0.0.0.0/0 0.0.0.0/0 icmp type 8
ACCEPT all – 0.0.0.0/0 0.0.0.0/0
reject_func all – 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP)
target prot opt source destination

Hm, das Konzept hinter dem Paketfilter hinterfrage ich mal besser nicht. Aber wenn Du mal ein

iptables -nvL FORWARD

gemacht haettest, waere da oben neben der policy DROP bestimmt eine Zahl erschienen, die zufaellig genau der Anzahl der Pakete entspricht, die ueber die Kiste wollten. Mach entweder

iptables -P FORWARD ACCEPT

(wobei das aber *baeh* waere) oder trage vernuenftige Regeln fuer das, was Du durchlassen willst, ein. Ein ganz guter Anfang waere z. B. sowas wie (aus der Kalten)

iptables -A FORWARD -j ACCEPT -i eth0 -o eth1 -p tcp -s 192.168.80.1 -d 192.168.90.33 --sport 1024:65535 --dport 80 -m tcp -m state --state NEW
iptables -A FORWARD -j ACCEPT -i eth1 -o eth0 -s 192.168.90.33 -d 192.168.80.1 -m state --state RELATED,ESTABLISHED

Damit darf .80.1 auf den auf .90.33 laufenden HTTP-Server zugreifen. Naja, und so weiter.

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain reject_func (1 references)
target prot opt source destination
REJECT tcp – 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset
REJECT udp – 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all – 0.0.0.0/0 0.0.0.0/0 reject-with icmp-proto-unreachable

---

Schon mal vielen Dank!

MFG,
Gabriel

HTH,
Gruss vom Zentrum.

Vielen Dank für deine Antwort, Zentrum!

Zu den Filter-Regeln kann ich nur sagen: Hab ich nichts dran geändert.

Wie sähen denn die Regel(n) dafür aus, dass alle Clients aus dem einen Subnetz in das andere geroutet werden, also gegenseitig aufeinander zugreifen können?

MFG,
Gabriel

Vielen Dank für deine Antwort, Zentrum!

Du bist im Thread verrutscht. Egal.

Zu den Filter-Regeln kann ich nur sagen: Hab ich nichts dran
geändert.

„Ich hab nichts getan.“ (Bart Simpson) Der Kernel initialisiert die Regeln nicht so. Wenn Du es nicht warst, ist vielleicht so ein … SuSE-Firewall-Dingens an und hat die Regeln geschrieben. Ich kenn SuSE nicht, aber ich kann mich entsinnen, dass ein Stapel totes Holz mit in der Kiste liegt.

Wie sähen denn die Regel(n) dafür aus, dass alle Clients aus
dem einen Subnetz in das andere geroutet werden, also
gegenseitig aufeinander zugreifen können?

Hm, willst Du nicht mal doch wirklich ins Handbuch gucken? Die Antwort stand schon da, sie nicht zu erkennen sagt mir, dass Du dringend [1] oder [2] besuchen willst.

MFG,
Gabriel

Schoenes Wochenende,
Gruss vom Zentrum.

[1] http://www.netfilter.org/
[2] http://iptables-tutorial.frozentux.net/

Vielen Dank für deine Tipps und URLs!
Werde mich dort mal umschauen.
Das mit der Firewall kann gut sein, da ich glaube, dass SuSE diese automatisch mitinstalliert.

Ebenfalls ein schönes Wochenende und nochmal vielen Dank!

Gruss,
Gabriel

Hier die Ausgaben zu den von dir genannten Befehlen:

linux:~ # route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric
Ref Use Iface
192.168.80.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.90.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1

Das sieht ok aus.

---

linux:~ # cat /proc/sys/net/ipv4/ip_forward
0

Ja, aber er hat doch ’ echo /proc/sys…’ gesagt. Nur

Oh, Schande über mich, da habe ich mich vertippt. cat ist natürlich richtig…

Spass. Mitgedacht. Okay, da steht ja mittlerweile auch die 1
drin!?

Da muss die 1 drin stehen, sonst ist nichts mit Routing.

---

linux:~ # iptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT udp – 0.0.0.0/0 255.255.255.255 udp spt:67 dpt:68
ACCEPT icmp – 0.0.0.0/0 0.0.0.0/0 icmp type 8
ACCEPT all – 0.0.0.0/0 0.0.0.0/0
reject_func all – 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP)
target prot opt source destination

Da hast du irgendeine Suse-Firewall installiert. Die kann man auch irgendwo im Yast abschalten oder richtig konfigurieren (wobei ich nicht weiss, ob die SuSe-Firewall mittlerweile mit 2 Interfaces klar kommt).
Wie das geht, hat Zentrum ja schon geschrieben.

Alexander