# [SOLVED]maskarada -nie zawsze dziala

## misterLu

Mam gentoo na serwerze. Do tego NEO+ (sagem shit 800 USB). Czasami z kompa wew. domowej sieci, za sprawa maskarady, nie moge wejsc na niektore serwery. Jesli sie ssh-uje na moja bramke, to za pomoca Linksa2 moge wejsc na te strony (polaczyć sie z tymi serwerami). 

Ktos mi to wyjasni?Last edited by misterLu on Sun Feb 22, 2004 5:58 pm; edited 1 time in total

----------

## czestmir

pierwsze co mi przychodzi do głowy to DNS czy są te same na serverze i kompach w sieci.

2) o ile dobrze zrozumiałem to dzieje się tak czasami może więc ustal

    - czy na wszystkich kompach

    - czy dokładnie w tym samym czasie niedziała na kompie w sieci

       co na serverze

3) przejrzyj logi może one coś wyjaśnią

to tyle co mi przychodzi do głowy

PS. Podobno TPSA przy nadawaniu IP z DHCP używa klas 83.x.x.x co równierz może być przyczyną

Pozdrawiam

czestmir

----------

## misterLu

 *czestmir wrote:*   

> pierwsze co mi przychodzi do głowy to DNS czy są te same na serverze i kompach w sieci.

 

są te same (tpsa-owe)

 *czestmir wrote:*   

> 
> 
> 2) o ile dobrze zrozumiałem to dzieje się tak czasami może więc ustal
> 
>     - czy na wszystkich kompach
> ...

 

na wszystkich  :Sad: 

 *czestmir wrote:*   

> 
> 
>     - czy dokładnie w tym samym czasie niedziała na kompie w sieci
> 
>        co na serverze
> ...

 

Jeszcze sie nie zdarzyło, zeby przy połączeniu z serwera nie zadziałało.

 *czestmir wrote:*   

> 
> 
> 3) przejrzyj logi może one coś wyjaśnią
> 
> 

 

nie bardzo mam pomysl gdzie zajrzec, Poprostu te kompy nie odpowiadają na 

żądanie wyslane z sieci wew. Jak wysylam żądanie z serwera, to wszystko jest OK

 *czestmir wrote:*   

> 
> 
> PS. Podobno TPSA przy nadawaniu IP z DHCP używa klas 83.x.x.x co równierz może być przyczyną
> 
> 

 

mam neo+ , jeszcze nie dostalem adresu innego niz z rodziny 80.50 lub 80.54. 

pozdrawiam, ludwik

----------

## czestmir

Witam

 Pozostają jeszcze logi na serwerze spróbuj zobaczyć co dzieje sie w czasie braku dostępu do netu (/var/log/messages - albo jakoś tak)

Pozdrawiam

czestmir

----------

## Starko

Jeżeli to jest to o czym myślę, to problem tkwi w różnych wartościach MTU dla interfejsu ppp i eth. MTU dla ppp = 1492, a dla eth domyslnie 1500. Najprosciej na kazdym z kompow w sieci zmienic MTU wlasnie na 1492 (chyba ifconfig eth0 mtu=1492). Dla windowsow sa do tego specjalne programy, pogoogluj. 

A ustawienia dla iptables na serwerze znajdziesz np tutaj:

http://neostrada.info/instalacja.php?instalacja=sagem_slackware

starko

----------

## Dagger

To kawalek z mojej starej konfiguracji firewalla. SPrawdz i zobacz czy wszystko Ci juz dziala:

#!/bin/bash

#

#	Masq script

#

# Starting Internet Connection sharing.

# PPP0 - Internet interface 

# ETH0 - Local interface

# Written for Gentoo Linux.

#

# Autor: Robert Piasek	dagger@vico.pl

USER=root

DATA=`date`

IPAD=`cat /etc/masq/ipsave.txt`

case "$1" in

  start)

#	echo -n 'Starting internet connection sharing.  '

	echo "1" > /proc/sys/net/ipv4/ip_forward

	# First of all we need to load some modules.

	/sbin/modprobe ip_tables

	/sbin/modprobe ip_conntrack

	/sbin/modprobe ip_conntrack_ftp

	/sbin/modprobe ip_conntrack_irc

	/sbin/modprobe iptable_nat

	/sbin/modprobe ip_nat_ftp

	# Its time to flush all tables.

	/sbin/iptables -F

	/sbin/iptables -F -t nat

	# By default we do not allow anything to pass.

	/sbin/iptables -P INPUT DROP

	/sbin/iptables -P OUTPUT DROP

	/sbin/iptables -P FORWARD DROP

	# We give lo special rights

	/sbin/iptables -A INPUT -i lo -j ACCEPT

	/sbin/iptables -A OUTPUT -o lo -j ACCEPT

	/sbin/iptables -A FORWARD -o lo -j ACCEPT

	# We allow transfer to local network

	/sbin/iptables -A INPUT -i eth0 -j ACCEPT

	/sbin/iptables -A OUTPUT -o eth0 -j ACCEPT

	# Now we need to block with ICMP Port Unreachable SOCKS and INETD requests

	/sbin/iptables -A INPUT -p tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable

	/sbin/iptables -A INPUT -p tcp --dport 1080 -j REJECT --reject-with icmp-port-unreachable

	# We accept all pings.

	/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

	/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT

	# Some services like www or DNS need to get throught

	TCP_SERVICES_ALLOWED=7,21,22,25,80,115,209,443,993,995,4001,4662,5901

	/sbin/iptables -A INPUT -p tcp -d 0/0 -m multiport --destination-port $TCP_SERVICES_ALLOWED -j ACCEPT

	#Special rights for ICMP protocol

	# We accept all connection witch was already established

	/sbin/iptables -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED

    	/sbin/iptables -A INPUT -p udp -j ACCEPT -m state --state ESTABLISHED

	/sbin/iptables -A INPUT -p icmp -j ACCEPT -m state --state ESTABLISHED,RELATED,NEW

	/sbin/iptables -A FORWARD -p tcp -j ACCEPT -m state --state ESTABLISHED,RELATED

	/sbin/iptables -A FORWARD -p udp -j ACCEPT -m state --state ESTABLISHED

	/sbin/iptables -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED,RELATED,NEW

	/sbin/iptables -A OUTPUT -p tcp -j ACCEPT -m state --state ESTABLISHED,RELATED

	/sbin/iptables -A OUTPUT -p udp -j ACCEPT -m state --state ESTABLISHED

	/sbin/iptables -A OUTPUT -p icmp -j ACCEPT -m state --state ESTABLISHED,RELATED,NEW

	# Its list of ports with we will accept

	# 4242,4662-eMule; 3770-PM Voice server; 4001-Q6 Voice server; 8245-noip client; 873-rsync; 4242-ProbenPricne mule server; 4661-Razorback mule server;

	TCP_OUT_ALLOWED=80,8080,21,22,995,25,53,23,119,6667,443,1863

	TCP_OUT_ALLOWED2=4001,8245,873,28070,4000,4242,4661,4662,7,3770,6073,2302

	UDP_OUT_ALLOWED=123,7,53,4001,3770,4662,2302

	/sbin/iptables -A OUTPUT -o ppp0 -p tcp -j ACCEPT -m state --state NEW -m multiport --destination-port $TCP_OUT_ALLOWED

	/sbin/iptables -A OUTPUT -o ppp0 -p tcp -j ACCEPT -m state --state NEW -m multiport --destination-port $TCP_OUT_ALLOWED2

	/sbin/iptables -A OUTPUT -o ppp0 -p udp -j ACCEPT -m state --state NEW -m multiport --destination-port $UDP_OUT_ALLOWED	

	#Lionheart local game ports

	/sbin/iptables -A FORWARD -i eth0 -p tcp -j ACCEPT -m multiport --destination-port 47624,26784,6073

	/sbin/iptables -A FORWARD -i eth0 -p udp -j ACCEPT -m multiport --destination-port 47624,26784,6073

	#Homeworld2 ports

	/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 2300:2400 -j ACCEPT

#	/sbin/iptables -t nat -A PREROUTING -p tcp -d 80.54.153.55/32 --dport 6073 -j DNAT --to-destination 192.168.1.254

	#JO and JA ports

	/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 28060:28080 -j ACCEPT

	/sbin/iptables -A FORWARD -i eth0 -p udp --dport 28060:28080 -j ACCEPT

	/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 29060:29080 -j ACCEPT

	/sbin/iptables -A FORWARD -i eth0 -p udp --dport 29060:29080 -j ACCEPT

	/sbin/iptables -I FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

	/sbin/iptables -A FORWARD -o ppp0 -p tcp -j ACCEPT -m state --state NEW -m multiport --destination-port $TCP_OUT_ALLOWED

	/sbin/iptables -A FORWARD -o ppp0 -p tcp -j ACCEPT -m state --state NEW -m multiport --destination-port $TCP_OUT_ALLOWED2

	/sbin/iptables -A FORWARD -o ppp0 -p udp -j ACCEPT -m state --state NEW -m multiport --destination-port $UDP_OUT_ALLOWED

	# Now its time to forward some ports.

	#/sbin/iptables -t nat -A PREROUTING -p tcp -d $IPAD --dport 412 -j DNAT --to-destination 192.168.1.254

	#/sbin/iptables -t nat -A PREROUTING -p tcp -d 0/0 --dport 412 -j DNAT --to-destination 192.168.1.254

	# Masquerade to local network

	/sbin/iptables -t nat -A POSTROUTING -p all -s 192.168.1.0/24 -j MASQUERADE

	# We need to logg all packetes with wasnt accepted by aby rule.

	/sbin/iptables -A INPUT -j LOG -m limit --limit 50/hour

	/sbin/iptables -A OUTPUT -j LOG -m limit --limit 50/hour

	/sbin/iptables -A FORWARD -j LOG -m limit --limit 50/hour

#	echo

	echo "$DATA - Setting up internet connection sharing." >> /var/log/masq.log

	;;

  stop)

#	echo -n 'Stopping internet connection sharing. '

	/sbin/iptables -P INPUT ACCEPT

	/sbin/iptables -F INPUT

	/sbin/iptables -P OUTPUT ACCEPT

	/sbin/iptables -F OUTPUT

	/sbin/iptables -P FORWARD DROP

	/sbin/iptables -F FORWARD

	/sbin/iptables -A FORWARD -i eth0 -o eth1 -j DROP

#	echo

	echo "$DATA - Stopping internet connection sharing." >> /var/log/masq.log

	;;

  *)

	echo "Usage: ./rc.masq {start|stop}"

	exit 1

esac

exit 0

----------

## Dagger

Przypuszczalnie chodzi o linijke:

/sbin/iptables -I FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

----------

## Starko

Hm, niby wszędzie piszą że to właśnie trzeba dopisać żeby neo działało w sieci lokalnej, ale niestety u mnie to nie pomogło. Dopiero zmiana wartości mtu na każdym kompie coś dała.

starko

----------

## misterLu

i u mnie ustawienie  mtu (Maximum transfer Unit) na 1492 na każdym kompie pomogło.

Jesli ktos chce wiedziec dlaczego, to tu jest wszystko klarownie wyjasnione:

http://www.spoko.neostrada.pl/DSL-HOWTO.html

dzieki za pomoc. Wszystko juz OK.

----------

