Lokales Netz kommt nicht nach draussen - Routingproblem?

From: Weerts, Christian <Christian.Weerts@nlwkn-clp.niedersachsen.de>
Date: Tue Jan 25 2005 - 13:30:24 CET

Hallo,

habe hier einen Rechner der als Firewall funktionieren soll. Er wird direkt
vor einer Cisco aufgestellt. Bislang habe ich die FW nicht aktiviert.
Ersteinmal ist das Netz zu konfigurieren. Das lokale Netz liegt in
10.53.11.0/24 das DMZ in 10.53.191.0/24. Unsere Cisco hat die 10.53.191.1.

Folgendes sagt ifconfig:

Code:

eth0 Protokoll:Ethernet Hardware Adresse 00:04:75:8C:5E:56
          inet Adresse:10.53.191.2 Bcast:10.53.191.255 Maske:255.255.255.0
          UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
          RX packets:6758 errors:55 dropped:0 overruns:1 frame:95
          TX packets:6078 errors:0 dropped:0 overruns:0 carrier:12
          Kollisionen:7 Sendewarteschlangenlänge:1000
          RX bytes:8472858 (8.0 MiB) TX bytes:668140 (652.4 KiB)
          Interrupt:18 Basisadresse:0xdc00

eth1 Protokoll:Ethernet Hardware Adresse 00:04:75:8C:5E:57
          inet Adresse:10.53.11.1 Bcast:10.53.11.255 Maske:255.255.255.0
          UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
          RX packets:3016 errors:0 dropped:0 overruns:1 frame:0
          TX packets:1716 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000
          RX bytes:423635 (413.7 KiB) TX bytes:905871 (884.6 KiB)
          Interrupt:19 Basisadresse:0xd800

lo Protokoll:Lokale Schleife
          inet Adresse:127.0.0.1 Maske:255.0.0.0
          UP LOOPBACK RUNNING MTU:16436 Metric:1
          RX packets:149 errors:0 dropped:0 overruns:0 frame:0
          TX packets:149 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0
          RX bytes:16264 (15.8 KiB) TX bytes:16264 (15.8 KiB)

route gibt folgendes aus:

Code:
Kernel IP Routentabelle
Ziel Router Genmask Flags Metric Ref Use
Iface
10.53.11.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
10.53.191.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 10.53.191.1 0.0.0.0 UG 0 0 0 eth0

dann noch ein netstat -r:

Code:
Kernel IP Routentabelle
Ziel Router Genmask Flags MSS Fenster irtt
Iface
localnet * 255.255.255.0 U 0 0 0
eth1
10.53.191.0 * 255.255.255.0 U 0 0 0
eth0
default 10.53.191.1 0.0.0.0 UG 0 0 0
eth0

und schließlich die /etc/interfaces:
Code:
### etherconf DEBCONF AREA. DO NOT EDIT THIS AREA OR INSERT TEXT BEFORE IT.
auto lo eth0 eth1

iface lo inet loopback

iface eth0 inet static
        address 10.53.191.2
        netmask 255.255.255.0
        broadcast 10.53.191.255
        gateway 10.53.191.1

iface eth1 inet static
        address 10.53.11.1
        netmask 255.255.255.0
        broadcast 10.53.11.255

### END OF DEBCONF AREA. PLACE YOUR EDITS BELOW; THEY WILL BE PRESERVED.

Nach meinem Verständnis eigentlich soweit alles richtig. Nur wenn ich jetzt
von einem Client aus dem lokalen Netz ein ping auf die Cisco (10.53.191.1)
machen will, kommt er nicht über die Konfiguration hier rüber. Ein ping auf
die 10.53.191.2 (eth0 im neuen Rechner) geht. Auch die 10.53.11.1 (eth1 im
neuen Rechner) kann ich von einem Client aus dem 10.53.11.0/24er Netz
anpingen.

Vom neuen Rechner kann ich über die Cisco andere Rechner in unserem Intranet
anpingen (z.b. aus dem 10.17er Kreis).

Was mich wundert ist, das bei dem route Befehl das looback device gar nicht
aufgeführt ist, obwohl es in der /etc/interfaces konfiguriert ist. Fehlt
dort
noch ein Routingeintrag, oder wo liegt der Hund begraben?

Wie gesagt FW ist aus, und ip_forward ist auf 1.

Als Netzwerkkarten benutze ich 2 Stück 3Com PCI 3c905C (Tornado) die auch
lt.
dmesg richtig erkannt werden vom Treiber. Als Kernel benutze ich
2.4.27-1-686
(Debian Kernel-Image)

Gruss,
Christian

-- 
Christian Weerts
NLWK - Betriebsstelle Cloppenburg
Geschäftsbereich Planung und Bauleitung
Christian.Weerts@nlwk-clp.niedersachsen.de
Received on Tue, 25 Jan 2005 13:30:24 +0100

This archive was generated by hypermail 2.1.8 : Tue Jan 25 2005 - 13:31:37 CET