Problemi con schede ethernet, samba ed IP_forwarding

[Herod2k]

Ragazzi ho bisogno di mano...magari in serata....

Ho quattro problemi:

1. Non riesco a pingarmi da solo, se do ping 127.0.0.1 questo è il risultato:

Codice:

root@scatola:/etc# ping 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes
ping: sendto: Network is unreachable
ping: wrote 127.0.0.1 64 chars, ret=-1

2. Samba non mi funziona, riesco a vedere il workgroup dalle macchine client ma non vedo la macchina server, secondo me è legato al problema n°1
3. SWAT non funziona...probabilmente sempre per lo stesso motivo, il problema n°1 non riesco a fare localhost:901
4. Ho attivato l'ip_forwarding da /etc/network/options, i computer clients navigano, ma non riesco a vedere le pagine https, ftp, e vi dicendo praticamente navigo solo in http:// dove trovo i paramentri per sblaccare/attivare gli altri servizi oltre all'80??

Per favore aiuto....

Dimenticavo che la distro in uso sul "server" è la Kanotix (debian).

[ilsensine]

Qualche informazione sul tuo firewall non guasterebbe, il problema probabilmente è lì...

[Herod2k]

che onore... il sensine ....

ho usato queste istruzioni per fare l'ip_routing

http://www.ubuntuitalia.it/index.php...d=55&Itemid=40

Però il problema che non mi pingava il 127.0.0.1 neanche prima di seguire il tutorial...



è possibile che kanotix abbia già regola di frewall preimpostata che io non ho toccato???

[ilsensine]

/sbin/iptables -L -n -v cosa riporta?

[Herod2k]

il comando /sbin/iptables -L -n -v da questo:

Codice:

root@scatola:/etc/init.d# /sbin/iptables -L -n -v
Chain INPUT (policy ACCEPT 43 packets, 5643 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 24 packets, 1741 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FROMINTERNET (0 references)
 pkts bytes target     prot opt in     out     source               destination

Chain FWDINTERNET (0 references)
 pkts bytes target     prot opt in     out     source               destination

Chain TOINTERNET (0 references)
 pkts bytes target     prot opt in     out     source               destination

Il punto 1 e 2 li ho risolti dando ifconfig lo 127.0.0.1 up
stranamente di default kanotix non avvia lo...

quindi ora mi pingo da solo, se do smbclient -L localhost vedo le mie cartelle condivise...

Continuo a non funzionarmi SWAT, localhost:901 e non da l'accesso ai client ai servizi tipo smtp, https, ftp etc etc....

[ilsensine]

Quote:

Originariamente inviato da Herod2k

il comando /sbin/iptables -L -n -v da questo:

Codice:

<...>

Ok tieni conto che attualmente il firewall in ingresso è disabilitato

Codice:

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

L'IP forwarding è completamente disabilitato (policy DROP e nessuna regola per ACCEPT). Non puoi usare questo computer come gateway per altri computer con questa configurazione.

Quote:

Il punto 1 e 2 li ho risolti dando ifconfig lo 127.0.0.1 up
stranamente di default kanotix non avvia lo...

Quote:

Continuo a non funzionarmi SWAT, localhost:901 e non da l'accesso ai client ai servizi tipo smtp, https, ftp etc etc....

netstat -avntp cosa riporta?

[Herod2k]

Quote:

Originariamente inviato da ilsensine

Ok tieni conto che attualmente il firewall in ingresso è disabilitato

Codice:

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

L'IP forwarding è completamente disabilitato (policy DROP e nessuna regola per ACCEPT). Non puoi usare questo computer come gateway per altri computer con questa configurazione.

infatti hai ragione era spento...ops ti ho mandato l'output sbagliato... , questo è quello giusto..

Codice:

root@scatola:/etc/init.d# /sbin/iptables -L -n -v
Chain INPUT (policy ACCEPT 3266 packets, 1620K bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 3228 packets, 534K bytes)
 pkts bytes target     prot opt in     out     source               destination

Quote:

vabbe dai mi era sfuggito...considerando che tutte le distro che ho mantato fino adesso accendono lo in automatico...sta sera mi frusto 10 volte

Quote:

netstat -avntp cosa riporta?

eccolo:

Codice:

root@scatola:/etc/init.d# netstat -avntp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State                       PID/Program name
tcp        0      0 0.0.0.0:6050            0.0.0.0:*               LISTEN     5                316/ibod
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN     7                983/smbd
tcp        0      0 0.0.0.0:631             0.0.0.0:*               LISTEN     3                238/cupsd
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN     7                983/smbd
tcp        0      0 151.24.157.51:37777     151.1.244.2:80          TIME_WAIT  -                
tcp        0      0 192.168.0.11:43893      192.168.0.2:139         ESTABLISHED7                855/konquerorlYuvI
tcp        0      0 192.168.0.11:43894      192.168.0.2:139         ESTABLISHED7                855/konquerorlYuvI
tcp        0      0 151.24.157.51:47761     212.243.221.199:80      ESTABLISHED4                549/firefox-bin
tcp        0      0 151.24.157.51:52746     212.243.221.215:80      TIME_WAIT  -

Grazie per l'aiuto...

[Herod2k]

Ho sistemato definitivamente il punto 2, ho dato:
dpkg-reconfigure samba

l'ho impostato come inetd, ed ho resettato e ora samba funziona perfettamente....

mi rimane da sistemare SWAT, ho fatto un po di prove la 631 è aperta quella di CUPS, infatti lo diceva anche qui:

Quote:

Originariamente inviato da Herod2k

tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN 3 238/cupsd

come faccio ad avviare la 901, io ho seguito le istruzioni di "man swat" che dice di modificare togliendo i commenti da /etc/inetd.conf alla riga di SWAT
ed aggiungere swat al file /etc/services, che in caso di Debian non c'è bisogno...infatti... non è la prima volta che lo faccio ed ha sempre funzionato...

come faccio avviare swat sulla 901 come cupsd sulla 631???

In ultimo non riesco ancora a risolvere i problemi di internet, i clients continuano a non aprire ftp, https e la cosa più importante, non riescono a scaricare la posta (qui nell'ufficio rischio il linciaggio fra poco...)

[ilsensine]

Quote:

Originariamente inviato da Herod2k

come faccio ad avviare la 901, io ho seguito le istruzioni di "man swat" che dice di modificare togliendo i commenti da /etc/inetd.conf alla riga di SWAT
ed aggiungere swat al file /etc/services, che in caso di Debian non c'è bisogno...infatti... non è la prima volta che lo faccio ed ha sempre funzionato...
come faccio avviare swat sulla 901 come cupsd sulla 631???

Non saprei, l'ho sempre configurato con xinetd mai con inetd...

Quote:

In ultimo non riesco ancora a risolvere i problemi di internet, i clients continuano a non aprire ftp, https e la cosa più importante, non riescono a scaricare la posta (qui nell'ufficio rischio il linciaggio fra poco...)

...usando il computer come gateway o come server per questi servizi?

[Herod2k]

Quote:

Originariamente inviato da ilsensine

..usando il computer come gateway o come server per questi servizi?

come gateway...

[ilsensine]

Quote:

Originariamente inviato da Herod2k

come gateway...

Hai inserito l'IP di un dns sui client?

Posso vedere iptables -t nat -L -n -v?

[Herod2k]

Quote:

Originariamente inviato da ilsensine

Hai inserito l'IP di un dns sui client?

Posso vedere iptables -t nat -L -n -v?

i clients li ho settati a mano senza dhcp, ho messo tutto a manina,

esempio di una macchina:
IP: 192.168.0.5
SUBNET: 255.255.255.0
Gateway: 192.168.0.11 (server)
DNS: 192.106.1.1 (DNS di libero.it)

il client naviga tranquillamente, solo che ha problemi con siti https (gmail.com) non scarica la posta, non fa niente che non passi per la porta 80, praticamente.

eccoti qua quello che mi hai chiesto:

Codice:

root@scatola:/etc/init.d#  iptables -t nat -L -n -v
Chain PREROUTING (policy ACCEPT 1947 packets, 136K bytes)
pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 597 packets, 43238 bytes)
pkts bytes target     prot opt in     out     source               destination
   11   691 MASQUERADE  all  --  *      *       192.168.0.0/24      !192.168.0.0/24

Chain OUTPUT (policy ACCEPT 597 packets, 43238 bytes)
pkts bytes target     prot opt in     out     source               destination

ora?

[ilsensine]

Quote:

Originariamente inviato da Herod2k

i clients li ho settati a mano senza dhcp, ho messo tutto a manina,

esempio di una macchina:
IP: 192.168.0.5
SUBNET: 255.255.255.0
Gateway: 192.168.0.11 (server)
DNS: 192.106.1.1 (DNS di libero.it)

il client naviga tranquillamente, solo che ha problemi con siti https (gmail.com) non scarica la posta, non fa niente che non passi per la porta 80, praticamente.

eccoti qua quello che mi hai chiesto:

Codice:

root@scatola:/etc/init.d#  iptables -t nat -L -n -v
Chain PREROUTING (policy ACCEPT 1947 packets, 136K bytes)
pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 597 packets, 43238 bytes)
pkts bytes target     prot opt in     out     source               destination
   11   691 MASQUERADE  all  --  *      *       192.168.0.0/24      !192.168.0.0/24

Chain OUTPUT (policy ACCEPT 597 packets, 43238 bytes)
pkts bytes target     prot opt in     out     source               destination

ora?

Quindi, ricapitolando (correggimi se sbaglio qualcosa):
- ip_forward abilitato in /proc
- Nessun filtro in input::FORWARD e nat::PREROUTING, e policy su ACCEPT
- MASQUERADE impostata in nat::POSTROUTING
- dal gateway riesci ad accedere correttamente ai servizi problematici (https, ecc.)

Se è così, non vedo alcun problema sul gateway. Come maschera l'http, maschera anche l'https.

[Herod2k]

Quote:

Originariamente inviato da ilsensine

Quindi, ricapitolando (correggimi se sbaglio qualcosa):
- ip_forward abilitato in /proc
- Nessun filtro in input::FORWARD e nat::PREROUTING, e policy su ACCEPT
- MASQUERADE impostata in nat::POSTROUTING
- dal gateway riesci ad accedere correttamente ai servizi problematici (https, ecc.)

Se è così, non vedo alcun problema sul gateway. Come maschera l'http, maschera anche l'https.

Il tuo ragionamento fila...in teoria dovrebbe funzionare tutto...però qui outlook dei clients mi dice che non riesce ad accedere alla posta tramite la porta 110

Proprio adesso, sto provando ad andare su gmail, e ora pare funzionare....e le e-mail le invia tramite smtp e funziona.

Attualmente non funziona ne FTP ne POP3....non so nenache io cosa sta succendendo...ho perso ogni controllo della rete, ha una sua inteliggenza artificiale, prima https non le apriva ora si, prima le e-mail non iviava ora si...se consideriamo che non ho toccato nulla....

chissà cosa succederà fra 10 minuti...

[ilsensine]

Quote:

Originariamente inviato da Herod2k

Il tuo ragionamento fila...in teoria dovrebbe funzionare tutto...però qui outlook dei clients mi dice che non riesce ad accedere alla posta tramite la porta 110

La porta 110 viene trattata come la porta 80 sul tuo gateway. Non è un problema del gateway; forse outlook è configurato per accedere tramite un proxy (non ho idea, controlla...)

Quote:

Proprio adesso, sto provando ad andare su gmail, e ora pare funzionare....e le e-mail le invia tramite smtp e funziona.


Attualmente non funziona ne FTP ne POP3....

Per il pop3 credo che devi fare qualche controllo sulle impostazioni di outlook per la ricezione.
Per far funzionare l'ftp devi caricare con modprobe il driver ip_conntrack_ftp (è un protocollo disgraziato e richiede cure particolari)

[Herod2k]

Quote:

Originariamente inviato da ilsensine

La porta 110 viene trattata come la porta 80 sul tuo gateway. Non è un problema del gateway; forse outlook è configurato per accedere tramite un proxy (non ho idea, controlla...)


Per il pop3 credo che devi fare qualche controllo sulle impostazioni di outlook per la ricezione.
Per far funzionare l'ftp devi caricare con modprobe il driver ip_conntrack_ftp (è un protocollo disgraziato e richiede cure particolari)

diciamo che l'FTP non è vitale... per la 110 non so che dire outlook è settato come fire e/o explorer nessun proxy solo gateway tramite il server....

Inizio a pensare che sia l'isp Aruba...

Ora installo thunderbird sul server e faccio una prova, speriamo che non funzioni neanche sul server se no non so dove sbatere la testa....

Ti faccio sapere....

[ilsensine]

Quote:

Originariamente inviato da Herod2k

diciamo che l'FTP non è vitale... per la 110 non so che dire outlook è settato come fire e/o explorer nessun proxy solo gateway tramite il server....

Inizio a pensare che sia l'isp Aruba...

Non vedo come sia possibile.

Inizia col prendere l'host pop3 settato in outlook (sarà qualcosa tipo mail.xyz.it), e controlla che sia raggiungibile con il ping. Quindi, metti una regola nella catena forward di questo tipo:
iptables -A FORWARD -p tcp -m multiport --ports 110 -j LOG
Questo ti notificherà nei log del kernel (che puoi vedere con il comando dmesg) quando transita qualche pacchetto con porta sorgente o destinazione 110. Può esserti utile per vedere se outlook almeno "ci prova nella maniera corretta".

[ilsensine]

Quote:

Originariamente inviato da ilsensine

Per far funzionare l'ftp devi caricare con modprobe il driver ip_conntrack_ftp

...ip_nat_ftp

[Herod2k]

Quote:

Originariamente inviato da ilsensine

Non vedo come sia possibile.

Inizia col prendere l'host pop3 settato in outlook (sarà qualcosa tipo mail.xyz.it), e controlla che sia raggiungibile con il ping. Quindi, metti una regola nella catena forward di questo tipo:
iptables -A FORWARD -p tcp -m multiport --ports 110 -j LOG
Questo ti notificherà nei log del kernel (che puoi vedere con il comando dmesg) quando transita qualche pacchetto con porta sorgente o destinazione 110. Può esserti utile per vedere se outlook almeno "ci prova nella maniera corretta".

L'ho fatto....ho aggiunto la rego di iptables

iptables -A FORWARD -p tcp -m multiport --ports 110 -j LOG

ho "provato" a scaricare la posta con un client

ho dato dsmesg

e questo è il risultato:

Codice:

ippp0: dialing 1 7027020000...
isdn_net: ippp0 connected
isdn_net: local hangup ippp0
ippp0: Chargesum is 0
ippp_ccp: freeing reset data structure c5dce000
ippp, open, slot: 0, minor: 0, state: 0000
ippp_ccp: allocated reset data structure c5dce000
OPEN: 151.24.156.204 -> 192.106.1.1 UDP, port: 1027 -> 53
ippp0: dialing 1 7027020000...
isdn_net: ippp0 connected

se provo a scaricare e riscaricare da outlook il dsmesg non cambia, quindi probabilmente outlook non fa niente...

Ho fatto un'altra prova ho messo anche questa regola
iptables -A FORWARD -p tcp -m multiport --ports 25 -j LOG

e se mando un email dal client il dsmesg mi aggiunge righe di log cosi:

Codice:

N=eth0 OUT=ippp0 SRC=192.168.0.1 DST=193.70.192.50 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=1306 DF PROTO=TCP SPT=1088 DPT=25 WINDOW=16384 RES=0x00 SYN URGP=0
IN=ippp0 OUT=eth0 SRC=193.70.192.50 DST=192.168.0.1 LEN=48 TOS=0x00 PREC=0x00 TTL=56 ID=15901 DF PROTO=TCP SPT=25 DPT=1088 WINDOW=24840 RES=0x00 ACK SYN URGP=0
IN=eth0 OUT=ippp0 SRC=192.168.0.1 DST=193.70.192.50 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=1307 DF PROTO=TCP SPT=1088 DPT=25 WINDOW=16560 RES=0x00 ACK URGP=0
IN=ippp0 OUT=eth0 SRC=193.70.192.50 DST=192.168.0.1 LEN=96 TOS=0x00 PREC=0x00 TTL=56 ID=15902 DF PROTO=TCP SPT=25 DPT=1088 WINDOW=24840 RES=0x00 ACK PSH URGP=0
IN=eth0 OUT=ippp0 SRC=192.168.0.1 DST=193.70.192.50 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=1308 DF PROTO=TCP SPT=1088 DPT=25 WINDOW=16504 RES=0x00 ACK PSH URGP=0
IN=ippp0 OUT=eth0 SRC=193.70.192.50 DST=192.168.0.1 LEN=40 TOS=0x00 PREC=0x00 TTL=56 ID=15903 DF PROTO=TCP SPT=25 DPT=1088 WINDOW=24840 RES=0x00 ACK URGP=0
IN=ippp0 OUT=eth0 SRC=193.70.192.50 DST=192.168.0.1 LEN=61 TOS=0x00 PREC=0x00 TTL=56 ID=15904 DF PROTO=TCP SPT=25 DPT=1088 WINDOW=24840 RES=0x00 ACK PSH URGP=0
IN=eth0 OUT=ippp0 SRC=192.168.0.1 DST=193.70.192.50 LEN=73 TOS=0x00 PREC=0x00 TTL=127 ID=1309 DF PROTO=TCP SPT=1088 DPT=25 WINDOW=16483 RES=0x00 ACK PSH URGP=0
IN=ippp0 OUT=eth0 SRC=193.70.192.50 DST=192.168.0.1 LEN=79 TOS=0x00 PREC=0x00 TTL=56 ID=15905 DF PROTO=TCP SPT=25 DPT=1088 WINDOW=24840 RES=0x00 ACK PSH URGP=0
IN=eth0 OUT=ippp0 SRC=192.168.0.1 DST=193.70.192.50 LEN=71 TOS=0x00 PREC=0x00 TTL=127 ID=1310 DF PROTO=TCP SPT=1088 DPT=25 WINDOW=16444 RES=0x00 ACK PSH URGP=0
IN=ippp0 OUT=eth0 SRC=193.70.192.50 DST=192.168.0.1 LEN=77 TOS=0x00 PREC=0x00 TTL=56 ID=15906 DF PROTO=TCP SPT=25 DPT=1088 WINDOW=24840 RES=0x00 ACK PSH URGP=0
IN=eth0 OUT=ippp0 SRC=192.168.0.1 DST=193.70.192.50 LEN=46 TOS=0x00 PREC=0x00 TTL=127 ID=1311 DF PROTO=TCP SPT=1088 DPT=25 WINDOW=16407 RES=0x00 ACK PSH URGP=0
IN=ippp0 OUT=eth0 SRC=193.70.192.50 DST=192.168.0.1 LEN=86 TOS=0x00 PREC=0x00 TTL=56 ID=15907 DF PROTO=TCP SPT=25 DPT=1088 WINDOW=24840 RES=0x00 ACK PSH URGP=0
IN=eth0 OUT=ippp0 SRC=192.168.0.1 DST=193.70.192.50 LEN=1169 TOS=0x00 PREC=0x00 TTL=127 ID=1312 DF PROTO=TCP SPT=1088 DPT=25 WINDOW=16361 RES=0x00 ACK PSH URGP=0
IN=ippp0 OUT=eth0 SRC=193.70.192.50 DST=192.168.0.1 LEN=40 TOS=0x00 PREC=0x00 TTL=56 ID=15908 DF PROTO=TCP SPT=25 DPT=1088 WINDOW=24840 RES=0x00 ACK URGP=0
IN=eth0 OUT=ippp0 SRC=192.168.0.1 DST=193.70.192.50 LEN=45 TOS=0x00 PREC=0x00 TTL=127 ID=1313 DF PROTO=TCP SPT=1088 DPT=25 WINDOW=16361 RES=0x00 ACK PSH URGP=0
IN=ippp0 OUT=eth0 SRC=193.70.192.50 DST=192.168.0.1 LEN=78 TOS=0x00 PREC=0x00 TTL=56 ID=15909 DF PROTO=TCP SPT=25 DPT=1088 WINDOW=24840 RES=0x00 ACK PSH URGP=0
IN=eth0 OUT=ippp0 SRC=192.168.0.1 DST=193.70.192.50 LEN=46 TOS=0x00 PREC=0x00 TTL=127 ID=1314 DF PROTO=TCP SPT=1088 DPT=25 WINDOW=16323 RES=0x00 ACK PSH URGP=0
IN=ippp0 OUT=eth0 SRC=193.70.192.50 DST=192.168.0.1 LEN=66 TOS=0x00 PREC=0x00 TTL=56 ID=15910 DF PROTO=TCP SPT=25 DPT=1088 WINDOW=24840 RES=0x00 ACK PSH URGP=0
IN=eth0 OUT=ippp0 SRC=192.168.0.1 DST=193.70.192.50 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=1315 DF PROTO=TCP SPT=1088 DPT=25 WINDOW=16297 RES=0x00 ACK FIN URGP=0
IN=ippp0 OUT=eth0 SRC=193.70.192.50 DST=192.168.0.1 LEN=40 TOS=0x00 PREC=0x00 TTL=56 ID=15911 DF PROTO=TCP SPT=25 DPT=1088 WINDOW=24840 RES=0x00 ACK FIN URGP=0
IN=eth0 OUT=ippp0 SRC=192.168.0.1 DST=193.70.192.50 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=1316 DF PROTO=TCP SPT=1088 DPT=25 WINDOW=16297 RES=0x00 ACK URGP=0
IN=ippp0 OUT=eth0 SRC=193.70.192.50 DST=192.168.0.1 LEN=40 TOS=0x00 PREC=0x00 TTL=56 ID=15912 DF PROTO=TCP SPT=25 DPT=1088 WINDOW=24840 RES=0x00 ACK URGP=0

come volevasi dimostrare...l'smtp funziona.

Ho fatto anche un'ultima prova.
Ho installato thunderbird sul server l'ho settato e scarica la posta senza problemi....

Dov'è secondo voi il problema?? Outlook di Windows??

I clients sono Windows XP SP2 ( ) sp2 blocca qualche cosa??? che faccio??

Proposte? idee?

Cercate di capire che non vorrei fare nottata in ufficio...ogni aiuto è bene accetto...

[Herod2k]

Dopo ulteriori prove...

posso dire che neanche Outlook su Windows 2000 SP4 funziona (quindi non posso dare la colpa a XP )

e siti come gmail.com non funzionano sempre, anzi, bisogna fare tra i 10 e i 15 refresh di pagina per poter aprire il sito...sia con explorer che con FireFox

Le pagine di alcuni siti le apre in modo arbitrario, a volte si a volte no se insisto con il refresh dopo un po me le apre, ma non sempre....

La situazione sta diventando imbarazzante, mai avuto un problema del genere e non so come risolverlo...