Impossivel Pingar Estações da SubNet

1. Impossivel Pingar Estações da SubNet

roberto_rs
(usa Fedora)

Enviado em 09/03/2010 - 20:37h

Ola a todos.

Pessoal "ja não tenho dedos pra contar" quantos sites eu entrei procurando uma solução para meu problema:

Tenho um server de internet rodando Ubuntu 9.10 (Karmic Koala)
Com 2 placas de rede físicas sendo:
eth1: IP FIXO 192.168.1.254 Mask 255.255.255.0 (LIGADA NA INTERNET)
eth0: IP FIXO 192.168.2.254 Mask 255.255.255.0 (LIGADA NA REDE LOCAL 01)

E mais uma placa virtual
eth0:1 IP 172.16.1.254 Mask 255.255.255.0 (LIGADA NA REDE LOCAL 02)

Cenário:
Meu cliente tem uma LAN HOUSE, com 07 maquinas na própria LAN HOUSE e ainda fornece internet (via cabo de rede) para 05 CASAS que estão ao redor da sua LANHOUSE.

Faixa 192.168.2.1~192.168.2.7 (amarrado por mac+dhcp3) para as máquinas da Lan
Faixa 172.16.1.1~172.16.1.7 (amarrado por mac+dhcp3) para as CASAS

Situação do servidor:
Conexão compartilhada: NAT iptables, dhcp3-server rodando, squid+sarg+htb, tudo funcionando legal ATÉ AQUI!!!

Problema:
Nas estações da faixa (192.168.2.x) não consigo pingar pra ninguem (nem entre elas nem pro server), mas http://192.168.2.254 (apache) abre normalmente no browser

No servidor não consigo pingar para nenhuma estação da faixa (192.168.2.x)
Consigo pingar apenas para a faixa (172.16.1.x)

Todas as máquinas estão pegando IP automático e navegando normalmente, apenas não consigo pingar entre elas na faixa (192.168.2.x)

O interessante é que os usuários da LANHOUSE dele estão conseguindo jogar CS normalmente em rede, outra coisa... até eu terminar de implantar o sistema de gerenciamento de lanhouse via linux que estou desenvolvendo ele esta usando o Timer Café (na rede local da lan) e tb funciona normalmente.

Então! Como pode isso?
O CS e Timer Cafe conseguem se comunicar via rede interna TCP/IP, mas eu não consigo nem pingar....

Segue abaixo os arquivos de conf que estou usando:

Arquivo de regras_iptables (simples pra TENTAR eliminar as minhas dúvidas)

iptables -F
iptables -X
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
ifconfig eth0:1 172.16.1.254 netmask 255.255.255.0 up

dhcpd.conf

# dhcpd.conf
#
# Configuração redes DHCP
#

option domain-name "lanhouse.org";
#option domain-name-servers 192.168.2.254, 208.67.220.220;
option domain-name-servers 192.168.2.254, 8.8.8.8;
default-lease-time 600;
max-lease-time 7200;
ddns-update-style none;
authoritative;
log-facility local7;

shared-network explore {

#REDE LOCAL LANHOUSE
subnet 192.168.2.0 netmask 255.255.255.0 {
range 192.168.2.1 192.168.2.7;
option subnet-mask 255.255.255.0;
option routers 192.168.2.254;
option broadcast-address 192.168.2.255;

host notebook {
hardware ethernet 00:1e:ec:43:29:1c;
fixed-address 192.168.2.1;
}

host pc01 {
hardware ethernet 00:1e:90:8e:79:d0;
fixed-address 192.168.2.2;
}

host pc02 {
hardware ethernet 00:e0:4e:0e:34:8d;
fixed-address 192.168.2.3;
}

host pc03 {
hardware ethernet 00:18:37:04:b2:1e;
fixed-address 192.168.2.4;
}

host pc04 {
hardware ethernet 00:1d:60:80:c1:37;
fixed-address 192.168.2.5;
}

host pc05 {
hardware ethernet 00:1d:60:80:c1:2e;
fixed-address 192.168.2.6;
}

host pc06 {
hardware ethernet 00:1d:60:35:c3:30;
fixed-address 192.168.2.7;
}
}

#REDE LOCAL RESIDENCIAL
subnet 172.16.1.0 netmask 255.255.255.0 {
range 172.16.1.1 172.16.1.5;
option subnet-mask 255.255.255.0;
option routers 172.16.1.254;
option broadcast-address 172.16.1.255;

host casa01 {
hardware ethernet 00:21:97:80:2d:f9;
fixed-address 172.16.1.1;
}

host casa02 {
hardware ethernet 00:03:0d:d0:ff:23;
fixed-address 172.16.1.2;
}

host casa03 {
hardware ethernet 00:11:2f:b0:34:33;
fixed-address 172.16.1.3;
}

host casa04 {
hardware ethernet 00:25:11:ea:49:dc;
fixed-address 172.16.1.4;
}

host casa05 {
hardware ethernet 00:1e:8c:8e:3e:0d;
fixed-address 172.16.1.5;
}

}

}

/etc/network/interfaces

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.2.254
netmask 255.255.255.0
gateway 192.168.2.254
nameserver 192.168.2.254

auto eth1
iface eth1 inet static
address 192.168.1.254
netmask 255.255.255.0
gateway 192.168.1.1
nameserver 192.168.1.1

/etc/resolv.conf

# Generated by NetworkManager
search serverlan.local
nameserver 127.0.0.1
nameserver 192.168.2.254
nameserver 192.168.1.254
#nameserver 192.168.2.254
#nameserver 192.168.1.254

route -n esta retornando isso:

Tabela de Roteamento IP do Kernel
Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
172.16.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 eth0
0.0.0.0 192.168.1.1 0.0.0.0 UG 100 0 0 eth1
0.0.0.0 192.168.2.254 0.0.0.0 UG 100 0 0 eth0

"Onde foi que eu errei..."

Pessoal desde ja agradeço toda e qualquer ajuda...

Saude e Pazzz

Abrazzz

0 0

Quote

2. Re: Impossivel Pingar Estações da SubNet

renato_pacheco
(usa Debian)

Enviado em 09/03/2010 - 21:01h

Olha, o q eu entendo sobre isso é q nem sempre quando se pinga, não quer dizer q eles não se comuniquem, por causa q ICMP (ping) e TCP/IP são protocolos diferentes. O q pode estar acontecendo é algum tipo d rejeição na rede d pacotes ICMP (não por firewall, mas por sysctl). Digite esse comando no seu servidor:

# cat /proc/sys/net/ipv4/icmp_echo_ignore_all

Se der 1, mude-o para 0. Se tiver 0, pode haver o bloqueio em outro lugar.

0 0

Quote

3. Deu ZERO na cabeça...

roberto_rs
(usa Fedora)

Enviado em 09/03/2010 - 21:23h

root@serverlan:~# cat /proc/sys/net/ipv4/icmp_echo_ignore_all
0

onde mais poderia ser esse block, eis a questão..

Obrigado

0 0

Quote

4. Re: Impossivel Pingar Estações da SubNet

leonardodsl
(usa Debian)

Enviado em 09/03/2010 - 21:27h

Amigo vé se resolve o seu problema.
1º - Nas maquinas clientes desative o firewall e teste o ping.

2º - Vé se na regra do iptables não tem o seguinte
#iptables -A INPUT DROP
#iptables -A OUTPUT DROP
#iptables -A FORWARD DROP
Ser estiver adicione o seguinte
#iptables -P INPUT -p icmp -j ACCEPT
#iptables -P OUTPUT -p icmp -j ACCEPT
#iptables -P FORWARD -p icmp -j ACCEPT

Se não funcionar assim remova o DROP assim e teste em seguida.
#iptables -A INPUT ACCEPT
#iptables -A OUTPUT ACCEPT
#iptables -A FORWARD ACCEPT

DROP = Bloquear a regra.
ACCEPT = Aceitar a regra.
#iptables -F = Remove todas as regras do INPUT, OUTPUT e FORWARD.
#iptables -L = Motras as regras adicionas.

0 0

Quote

5. Não foi desta vez...

roberto_rs
(usa Fedora)

Enviado em 09/03/2010 - 21:44h

amigo, tentei mas não deu...
meu firewall ta muuuiito aberto mesmo... veja conforme postei acima
esse é o meu arquivo que carrega as regras

iptables -F
iptables -X
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Ou seja
LIMPA TUDO
LIMPA TUDO MESMO
habilita ip_forward
NAT
Redireciona 80 para 3128 do Squid

Mais limpo impossivel, até mesmo pq esse servidor ta isolado

Mesmo assim valeu... sigo na batalha..

Obrigado

0 0

Quote