/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Min GRE tunnel driller
Fra : Morten Guldager


Dato : 12-11-06 08:17

Hejsa,

Jeg forsøger at få en GRE-tunnel ind til min linux-baserede
firewall/router kasse (FWR). FWR skal så rute pakkerne videre
ud på et lokalt ethernet interface.

Tunnelen er sat op med:

ip tunnel add grete mode gre remote 1.2.3.4
ip link set grete up

1.2.3.4 er adressen på den router der sender GRE pakker til mig.

Pakkerne kommer ind til mit tunnel interface, det kan jeg se
med både tcpdump og ifconfig.

Men jeg kan ikke få FWR til at sende dem videre ud på
destinationsnettet (DN)

Jeg kan godt pinge direkte fra FWR til en maskine på DN,
så ruteningen må være sat rigtigt op på FWR.

Af en eller anden grund opstår tunnelen grete ikke i

/proc/sys/net/ipv4/conf

Så jeg kan ikke se om der faktisk står 1 i

/proc/sys/net/ipv4/conf/grete/forwarding

Nå ja, det kan naturligvis også være iptables der driller.
Jeg har netop forsøgsvis fjernet alle regler i FORWARD
kæden og sat policy til ACCEPT, men det hjalp beklageligvis ikke.

Forslag til hvordan jeg fortsætter med min fejlsøgning?


/Morten

 
 
Morten Guldager (12-11-2006)
Kommentar
Fra : Morten Guldager


Dato : 12-11-06 22:10

2006-11-12 Morten Guldager wrote
>
> Jeg forsøger at få en GRE-tunnel ind til min linux-baserede
> firewall/router kasse (FWR).
> ...
> Forslag til hvordan jeg fortsætter med min fejlsøgning?

Det fandt jeg så selv.

Jeg skruede min syslog-debug op på max. Det gøres
i /etc/sysconfig/syslog på en suse-kasse.
KERNEL_LOGLEVEL=1 -> KERNEL_LOGLEVEL=7

Så kunne jeg se "kernel: martian source" beskeder i
min /var/log/messages.

Herefter var det bare at skrue lidt på ruteningen
og så spiller det

Det ser ud som om den prøver at beskytte mig i mod
spoofede pakker.
Normalt er det jo fint nok, men her har jeg en kasse
med 2 uplinks, og så er det jo lidt svært at vide hvorfra
en tilfældig ip-pakke kommer.

Jeg må kunne slå det der anti-spoof gejl fra...


/Morten

Morten Guldager (12-11-2006)
Kommentar
Fra : Morten Guldager


Dato : 12-11-06 22:17

2006-11-12 Morten Guldager wrote
> 2006-11-12 Morten Guldager wrote
>>
>> Jeg forsøger at få en GRE-tunnel ind til min linux-baserede
>> firewall/router kasse (FWR).
>> ...
>> Forslag til hvordan jeg fortsætter med min fejlsøgning?
>
> Det fandt jeg så selv.
>
> Jeg skruede min syslog-debug op på max. Det gøres
> i /etc/sysconfig/syslog på en suse-kasse.
> KERNEL_LOGLEVEL=1 -> KERNEL_LOGLEVEL=7
>
> Så kunne jeg se "kernel: martian source" beskeder i
> min /var/log/messages.
>
> Herefter var det bare at skrue lidt på ruteningen
> og så spiller det
>
> Det ser ud som om den prøver at beskytte mig i mod
> spoofede pakker.
> Normalt er det jo fint nok, men her har jeg en kasse
> med 2 uplinks, og så er det jo lidt svært at vide hvorfra
> en tilfældig ip-pakke kommer.
>
> Jeg må kunne slå det der anti-spoof gejl fra...

Klart nok:

echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter



/Morten

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408926
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste