ipfire 2.17 und DMZ aber???

30/12/2015 - 02:44 von Kay Martinen | Report spam
Hallo

Ich habe hier die aktuelle IPFire am Laufen, mit 4 eingerichteten
Interfaces (grün, Blau, Orange und Rot). Zwei waren bisher unbenutzt.

Nun wollte ich einen Server in der DMZ platzieren kann diesen aber nicht
erreichen und weiß grad nicht wieso.

Konkret ist es so das der Default der Forward-Chain auf Accept steht.
Dann zeigt ipfire unter den Regeln ein paar Farbblöcke an die
suggerieren das der Zugriff von Grün&Blau nach Orange, und von Orange
nach Rot zugelassen ist. Da für Grün, Blau und Orange NAT in den
Optionen aktiv ist, verstehe ich das mal so das neue Verbindungen von
Grün/Blau nach Orange durch gehen und dazugehörige antworten auch wieder
retour. Ebenso von Orange nach Rot und retour.

Genau das funktioniert nicht. Ich kann von Grün das Orange-Interface an
pingen, aber nicht den Host in der DMZ (Orange). Der Host in der DMZ
kann keine Adresse auflösen und erreicht ebenfalls keinen Host.

Zumindest beim Letzten Punkt bin ich doch irritiert als ich per
suchmaschine raus fand das man zwar das DMZ-if als Gateway nehmen muss,
der IPFire aber offenbar keinerlei DNS-auflösung für Orange vornimmt. So
das die Hosts dort sogar eigene dns-server im internet abfragen müssen -
statt die bei der DSL-einwahl zugeteilten nutzen zu können.

Ist das normal? Macht das jede DMZ-Lösung so? Bei kurzem Nachdenken kann
das nur den Sinn haben die internen host-ip zuordnungen nicht aus der
DMZ abfragbar zu machen. Aber das könnte man wohl auch anders
(DNS-views?) hin kriegen, denke ich.

Jetzt habe ich eben festgestellt das ich auf dem orangen interface sehr
viele Fehler finde...


# ifconfig orange0
orange0 Link encap:Ethernet
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:42917 errors:3614 dropped:0 overruns:0 frame:3614
TX packets:25268 errors:2 dropped:0 overruns:0 carrier:2
collisions:0 txqueuelen:1000
RX bytes:48968771 (46.7 Mb) TX bytes:3650221 (3.4 Mb)



Das ist eine Hàlfte einer Compac Dual Fastethernet-Karte. Die andere
Hàlfte ist das Rote Interface und da gibt es NULL Fehler.

Da frage ich mich jetzt, kann die Karte defekt sein, oder kann es auch
an was anderem Liegen. Nur an was?

Ich habe einen Alten Speedport mit passender IP und LAN-Seite in die DMZ
gestöpselt und bekomme das hier wenn ich ihn vom IPfire aus anspreche:


[root@gate ~]# ping speedport.ip
PING speedport.ip (192.168.3.2) 56(84) bytes of data.
64 bytes from speedport.ip (192.168.3.2): icmp_seq=1 ttld time!66 ms
64 bytes from speedport.ip (192.168.3.2): icmp_seq=2 ttld time66 ms
64 bytes from speedport.ip (192.168.3.2): icmp_seq=4 ttld timee.4 ms
64 bytes from speedport.ip (192.168.3.2): icmp_seq=5 ttld timec.4 ms
64 bytes from speedport.ip (192.168.3.2): icmp_seq=7 ttld timeS.2 ms
64 bytes from speedport.ip (192.168.3.2): icmp_seq ttld timeC.3 ms
^C
speedport.ip ping statistics
11 packets transmitted, 6 received, 45% packet loss, time 10024ms
rtt min/avg/max/mdev = 43.309/593.092/2166.326/812.090 ms, pipe 3



Aus dem Grünen netz geht gar nichts durch und erst nachdem ich explizit
das Forwarding von ALL-ICMP in beide Richtungen (grün<->Orange) erlaubte
kamen zumindest ein paar vereinzelte antworten in Grün an.

Lt. einem Tip sollte man mit 'ip neigh flush all' den cache löschen,
doch das hat auch nichts geàndert.

Was kann da los sein?

Kay
https://www.linuxcounter.net/cert/224140.png
 

Lesen sie die antworten

#1 Juergen P. Meier
30/12/2015 - 08:52 | Warnen spam
Kay Martinen :
[bunte Farben]
Jetzt habe ich eben festgestellt das ich auf dem orangen interface sehr
viele Fehler finde...



10% ist extrem viel.

# ifconfig orange0
orange0 Link encap:Ethernet
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:42917 errors:3614 dropped:0 overruns:0 frame:3614
TX packets:25268 errors:2 dropped:0 overruns:0 carrier:2
collisions:0 txqueuelen:1000
RX bytes:48968771 (46.7 Mb) TX bytes:3650221 (3.4 Mb)





Frame-Errors bei Receive. Die zwei Carrier-fehler beim senden kann man
Umstecken-mitten-im-senden zuschieben, das sind zu wenige.

Frame-Errors bedeuten, dass die Frames nicht komplett decodiert werden
konnten, was auf Wackelkontakt bzw. sehr schlechte Kabel hindeutet.

-> Kabel tauschen.

Diese Fehler findet man u.A. auch bei schlecht oder garnicht
verdrillten Kaeln.

Da frage ich mich jetzt, kann die Karte defekt sein, oder kann es auch
an was anderem Liegen. Nur an was?



Kabel.

Ich habe einen Alten Speedport mit passender IP und LAN-Seite in die DMZ
gestöpselt und bekomme das hier wenn ich ihn vom IPfire aus anspreche:

speedport.ip ping statistics
11 packets transmitted, 6 received, 45% packet loss, time 10024ms
rtt min/avg/max/mdev = 43.309/593.092/2166.326/812.090 ms, pipe 3





Packetloss passt zum Fehlerbild.

Lt. einem Tip sollte man mit 'ip neigh flush all' den cache löschen,
doch das hat auch nichts geàndert.



klar, das hat mit dem Problem ja auch garnichts zu tun.

Was kann da los sein?



HW defekt. (Kabel, Switchport oder Port auf der NIC. In der
Reihenfolge)

Juergen
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

Ähnliche fragen