Что за неведомая сила блокирует трафик на дефолтный гейтвей?

Question

[mrpsycho]

Вопрос:

Почему не идет трафик по маршруту по умолчанию?




Есть:


На рабочей машине:

~# ifconfig<br/>
eth0 Link encap:Ethernet HWaddr 00:16:3e:bc:74:fe<br/>
 inet addr:192.168.10.4 Bcast:192.168.10.255 Mask:255.255.255.0<br/>
 inet6 addr: fe80::216:3eff:febc:74fe/64 Scope:Link<br/>
 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1<br/>
 RX packets:67409 errors:0 dropped:0 overruns:0 frame:0<br/>
 TX packets:69686 errors:0 dropped:0 overruns:0 carrier:0<br/>
 collisions:0 txqueuelen:1000<br/>
 RX bytes:3068856 (3.0 MB) TX bytes:4130553 (4.1 MB)<br/>
 Interrupt:18<br/>
<br/>
~# route -n<br/>
Kernel IP routing table<br/>
Destination Gateway Genmask Flags Metric Ref Use Iface<br/>
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0<br/>
0.0.0.0 192.168.10.1 0.0.0.0 UG 100 0 0 eth0<br/>
<br/>
~# ping 192.168.10.1 -c 2<br/>
PING 192.168.10.1 (192.168.10.1) 56(84) bytes of data.<br/>
64 bytes from 192.168.10.1: icmp_seq=1 ttl=64 time=0.164 ms<br/>
64 bytes from 192.168.10.1: icmp_seq=2 ttl=64 time=0.144 ms<br/>
<br/>
--- 192.168.10.1 ping statistics ---<br/>
2 packets transmitted, 2 received, 0% packet loss, time 999ms<br/>
rtt min/avg/max/mdev = 0.144/0.154/0.164/0.010 ms<br/>
<br/>
~# traceroute -I 8.8.8.8<br/>
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets<br/>
 1 * * *<br/>
 2 * * *<br/>
 3 * * *<br/>
...<br/>
29 * * *<br/>
30 * * *<br/>
<br/>

На сервере:

# ifconfig<br/>
eth0 Link encap:Ethernet HWaddr 00:16:3e:7d:a7:4b<br/>
 inet addr:30.36.41.20 Bcast:38.96.191.63 Mask:255.255.255.240<br/>
 inet6 addr: fe80::216:3eff:fe7d:a74b/64 Scope:Link<br/>
 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1<br/>
 RX packets:12899 errors:0 dropped:0 overruns:0 frame:0<br/>
 TX packets:7841 errors:0 dropped:0 overruns:0 carrier:0<br/>
 collisions:0 txqueuelen:1000<br/>
 RX bytes:1323465 (1.3 MB) TX bytes:1600079 (1.6 MB)<br/>
 Interrupt:12<br/>
<br/>
eth1 Link encap:Ethernet HWaddr 00:16:3e:e8:40:e9<br/>
 inet addr:192.168.10.1 Bcast:192.168.10.255 Mask:255.255.255.0<br/>
 inet6 addr: fe80::216:3eff:fee8:40e9/64 Scope:Link<br/>
 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1<br/>
 RX packets:199620 errors:0 dropped:0 overruns:0 frame:0<br/>
 TX packets:200418 errors:0 dropped:0 overruns:0 carrier:0<br/>
 collisions:0 txqueuelen:1000<br/>
 RX bytes:8248368 (8.2 MB) TX bytes:11792868 (11.7 MB)<br/>
 Interrupt:13<br/>
<br/>
вот таблица маршрутизации на сервере:<br/>
# route -n<br/>
Kernel IP routing table<br/>
Destination Gateway Genmask Flags Metric Ref Use Iface<br/>
30.36.41.18 0.0.0.0 255.255.255.240 U 0 0 0 eth0<br/>
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1<br/>
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1<br/>
0.0.0.0 30.36.41.19 0.0.0.0 UG 100 0 0 eth0<br/>
<br/>

tcpdump показывает что никаких пакетов нет.

ну, кроме ICMP и SSH


Очень хочется знать, куда бы копнуть.


Косвенная информация:

это две виртуалки на Xen. и сервер прекрасно выходит в инет, а вот с клиентской машиной как то не понятно (

Comments

[DmZ]

Неведомая сила обычно называется firewall. Если можно еще правила iptables из всех таблиц приведите (на клиенте и сервере)

[mrpsycho]

вот таблица маршрутизации на сервере:
# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
30.36.41.18 0.0.0.0 255.255.255.240 U 0 0 0 eth0
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 30.36.41.19 0.0.0.0 UG 100 0 0 eth0

зы. заметил тут свою ошибку, когда писал «левые ip» для внешнего ip. но заверю, что с маской и адресацией во внешнюю сеть все ок.

[PooFF]

Так а обратно на сеть 192.168.10.0/24 есть маршрут из вне? Возможно нужно эту сеть натить.

[Сергей Федотов]

Поддержу предыдущее дополнение.
Сеть, подключенная на eth0 на сервере — это сеть провайдера? Если это сеть провайдера, то он однозначно будет блокировать трафик с локальными адресам. На сервере нужно настроить NAT.
Если это просто другая сеть, смотрите таблицу маршрутизации на хосте с той стороны, возможно там просто ваши сети не прописаны.

Answer 1

[smartlight]

я думаю надо FORWARD в iptablese включить
покажите вывод iptables -nL

Comments

[mrpsycho]

# iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
ufw-before-logging-input all -- 0.0.0.0/0 0.0.0.0/0
ufw-before-input all -- 0.0.0.0/0 0.0.0.0/0
ufw-after-input all -- 0.0.0.0/0 0.0.0.0/0
ufw-after-logging-input all -- 0.0.0.0/0 0.0.0.0/0
ufw-reject-input all -- 0.0.0.0/0 0.0.0.0/0
ufw-track-input all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ufw-before-logging-forward all -- 0.0.0.0/0 0.0.0.0/0
ufw-before-forward all -- 0.0.0.0/0 0.0.0.0/0
ufw-after-forward all -- 0.0.0.0/0 0.0.0.0/0
ufw-after-logging-forward all -- 0.0.0.0/0 0.0.0.0/0
ufw-reject-forward all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ufw-before-logging-output all -- 0.0.0.0/0 0.0.0.0/0
ufw-before-output all -- 0.0.0.0/0 0.0.0.0/0
ufw-after-output all -- 0.0.0.0/0 0.0.0.0/0
ufw-after-logging-output all -- 0.0.0.0/0 0.0.0.0/0
ufw-reject-output all -- 0.0.0.0/0 0.0.0.0/0
ufw-track-output all -- 0.0.0.0/0 0.0.0.0/0

Chain ufw-after-forward (1 references)
target prot opt source destination

Chain ufw-after-input (1 references)
target prot opt source destination

Chain ufw-after-logging-forward (1 references)
target prot opt source destination

Chain ufw-after-logging-input (1 references)
target prot opt source destination

Chain ufw-after-logging-output (1 references)
target prot opt source destination

Chain ufw-after-output (1 references)
target prot opt source destination

Chain ufw-before-forward (1 references)
target prot opt source destination

Chain ufw-before-input (1 references)
target prot opt source destination

Chain ufw-before-logging-forward (1 references)
target prot opt source destination

Chain ufw-before-logging-input (1 references)
target prot opt source destination

Chain ufw-before-logging-output (1 references)
target prot opt source destination

Chain ufw-before-output (1 references)
target prot opt source destination

Chain ufw-reject-forward (1 references)
target prot opt source destination

Chain ufw-reject-input (1 references)
target prot opt source destination

Chain ufw-reject-output (1 references)
target prot opt source destination

Chain ufw-track-input (1 references)
target prot opt source destination

Chain ufw-track-output (1 references)
target prot opt source destination


[smartlight]

понятно.
может всё делов в этом
echo «1» > /proc/sys/net/ipv4/ip_forward

Answer 2

[PooFF]

Для полноты картины хотелось бы увидеть таблицу маршрутизации на сервере. Трафик-то может по дефолтному маршруту и уходит, а вот как назад вернуться не знает. Проверьте обратный маршрут.

Comments

[mrpsycho]

дополнил.

Answer 3

[mrpsycho]

@PooFF, так проблема в том, что оно вообще не попадает на гейтвей.
если запустить одновременно tcpdump и traceroute на станции, то получим:

~# traceroute -I 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 * * *
2 * * *
...
30 * * *

15:22:20.310861 IP 192.168.10.4 > 8.8.8.8: ICMP echo request, id 2196, seq 75, length 40
15:22:20.310872 IP 192.168.10.4 > 8.8.8.8: ICMP echo request, id 2196, seq 76, length 40
15:22:20.310887 IP 192.168.10.4 > 8.8.8.8: ICMP echo request, id 2196, seq 77, length 40
15:22:20.310900 IP 192.168.10.4 > 8.8.8.8: ICMP echo request, id 2196, seq 78, length 40
...
15:22:25.315521 IP 192.168.10.4 > 8.8.8.8: ICMP echo request, id 2196, seq 89, length 40
15:22:25.315530 IP 192.168.10.4 > 8.8.8.8: ICMP echo request, id 2196, seq 90, length 40

и если я правильно понимаю, то ключ -I как раз должен показывать любой хост на пути.
те, 192.168.10.1 должен быть в первой строке вывода traceroute.

другой вопрос, что он не дойдет до конечной цели, но до второго роутера (30.36.41.19) дойти точно должен

Comments

[PooFF]

А покажите arp с рабочей машины и канальные заголовки в tcpdump с нее же. И желательно tcpdump на сервере в это же время.

[PooFF]

Ключ -I всего лишь говорит об использовании icmp

[mrpsycho]

станция:
~# arp -a
? (192.168.10.1) at 00:16:3e:e8:40:e9 [ether] on eth0
~# tcpdump -xx not port 22
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
17:14:22.522479 IP GozMongo02.50312 > 8.8.8.8.domain: 33558+ PTR? 1.10.168.192.in-addr.arpa. (43)
0x0000: 0016 3ee8 40e9 0016 3ebc 74fe 0800 4500
0x0010: 0047 84ae 4000 4011 db3b c0a8 0a04 0808
0x0020: 0808 c488 0035 0033 db00 8316 0100 0001
0x0030: 0000 0000 0000 0131 0231 3003 3136 3803
0x0040: 3139 3207 696e 2d61 6464 7204 6172 7061
0x0050: 0000 0c00 01
17:14:22.523236 IP GozMongo02.36426 > 8.8.8.8.domain: 26430+ PTR? 8.8.8.8.in-addr.arpa. (38)
0x0000: 0016 3ee8 40e9 0016 3ebc 74fe 0800 4500
0x0010: 0042 84ae 4000 4011 db40 c0a8 0a04 0808
0x0020: 0808 8e4a 0035 002e dafb 673e 0100 0001
0x0030: 0000 0000 0000 0138 0138 0138 0138 0769
0x0040: 6e2d 6164 6472 0461 7270 6100 000c 0001
17:14:27.527549 IP GozMongo02.50312 > 8.8.8.8.domain: 33558+ PTR? 1.10.168.192.in-addr.arpa. (43)
0x0000: 0016 3ee8 40e9 0016 3ebc 74fe 0800 4500
0x0010: 0047 84af 4000 4011 db3a c0a8 0a04 0808
0x0020: 0808 c488 0035 0033 db00 8316 0100 0001
0x0030: 0000 0000 0000 0131 0231 3003 3136 3803
0x0040: 3139 3207 696e 2d61 6464 7204 6172 7061
0x0050: 0000 0c00 01
17:14:27.528286 IP GozMongo02.36426 > 8.8.8.8.domain: 26430+ PTR? 8.8.8.8.in-addr.arpa. (38)
0x0000: 0016 3ee8 40e9 0016 3ebc 74fe 0800 4500
0x0010: 0042 84af 4000 4011 db3f c0a8 0a04 0808
0x0020: 0808 8e4a 0035 002e dafb 673e 0100 0001
0x0030: 0000 0000 0000 0138 0138 0138 0138 0769
0x0040: 6e2d 6164 6472 0461 7270 6100 000c 0001
17:19:49.358647 IP GozMongo02.39526 > 8.8.8.8.domain: 63728+ PTR? 1.10.168.192.in-addr.arpa. (43)
0x0000: 0016 3ee8 40e9 0016 3ebc 74fe 0800 4500
0x0010: 0047 045a 4000 4011 5b90 c0a8 0a04 0808
0x0020: 0808 9a66 0035 0033 db00 f8f0 0100 0001
0x0030: 0000 0000 0000 0131 0231 3003 3136 3803
0x0040: 3139 3207 696e 2d61 6464 7204 6172 7061
0x0050: 0000 0c00 01


Сервер:
~# tcpdump -xx not port 22
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
17:20:22.046713 ARP, Request who-has GozLB01 tell 38.96.191.49, length 42
0x0000: ffff ffff ffff 0001 3010 ebc0 0806 0001
0x0010: 0800 0604 0001 0001 3010 ebc0 2660 bf31
0x0020: 0000 0000 0000 2660 bf32 0000 0000 0000
0x0030: 0000 0000 0000 0000
17:20:22.046738 ARP, Reply GozLB01 is-at 00:16:3e:7d:a7:4b (oui Unknown), length 28
0x0000: 0001 3010 ebc0 0016 3e7d a74b 0806 0001
0x0010: 0800 0604 0002 0016 3e7d a74b 2660 bf32
0x0020: 0001 3010 ebc0 2660 bf31
17:20:22.059367 IP GozLB01.45117 > google-public-dns-a.google.com.domain: 42656+ PTR? 49.191.96.38.in-addr.arpa. (43)
0x0000: 0001 3010 ebc0 0016 3e7d a74b 0800 4500
0x0010: 0047 9b54 4000 4011 a9af 2660 bf32 0808
0x0020: 0808 b03d 0035 0033 f5e6 a6a0 0100 0001
0x0030: 0000 0000 0000 0234 3903 3139 3102 3936
0x0040: 0233 3807 696e 2d61 6464 7204 6172 7061
0x0050: 0000 0c00 01
17:20:22.120426 IP google-public-dns-a.google.com.domain > GozLB01.45117: 42656 NXDomain 0/1/0 (95)
0x0000: 0016 3e7d a74b 0001 3010 ebc0 0800 4500
0x0010: 007b 99ff 0000 3411 f6d0 0808 0808 2660
0x0020: bf32 0035 b03d 0067 b48d a6a0 8183 0001
0x0030: 0000 0001 0000 0234 3903 3139 3102 3936
0x0040: 0233 3807 696e 2d61 6464 7204 6172 7061
0x0050: 0000 0c00 01c0 0f00 0600
17:20:22.120772 IP GozLB01.51555 > google-public-dns-a.google.com.domain: 49751+ PTR? 8.8.8.8.in-addr.arpa. (38)
0x0000: 0001 3010 ebc0 0016 3e7d a74b 0800 4500
0x0010: 0042 9b5a 4000 4011 a9ae 2660 bf32 0808
0x0020: 0808 c963 0035 002e f5e1 c257 0100 0001
0x0030: 0000 0000 0000 0138 0138 0138 0138 0769
0x0040: 6e2d 6164 6472 0461 7270 6100 000c 0001
17:20:22.150181 IP google-public-dns-a.google.com.domain > GozLB01.51555: 49751 1/0/0 (82)
0x0000: 0016 3e7d a74b 0001 3010 ebc0 0800 4500
0x0010: 006e 625b 0000 3411 2e82 0808 0808 2660
0x0020: bf32 0035 c963 005a 6a99 c257 8180 0001
0x0030: 0001 0000 0000 0138 0138 0138 0138 0769
0x0040: 6e2d 6164 6472 0461 7270 6100 000c 0001
0x0050: c00c 000c 0001 0001 5180


22 порт я скрыл, как видите.

[PooFF]

немного не то. Если можно на клиенте
tcpdump -i eth0 -e not port 22
на сервере
tcpdump -i eth1 -e not port 22

[mrpsycho]

запустил tcpdump и на клиенте начал пинговать 8.8.8.8
клиент:
18:37:21.455258 00:16:3e:bc:74:fe (oui Unknown) > 00:16:3e:e8:40:e9 (oui Unknown), ethertype IPv4 (0x0800), length 98: GozMongo02 > 8.8.8.8: ICMP echo request, id 56584, seq 32, length 64
18:37:22.455265 00:16:3e:bc:74:fe (oui Unknown) > 00:16:3e:e8:40:e9 (oui Unknown), ethertype IPv4 (0x0800), length 98: GozMongo02 > 8.8.8.8: ICMP echo request, id 56584, seq 33, length 64
18:37:23.455255 00:16:3e:bc:74:fe (oui Unknown) > 00:16:3e:e8:40:e9 (oui Unknown), ethertype IPv4 (0x0800), length 98: GozMongo02 > 8.8.8.8: ICMP echo request, id 56584, seq 34, length 64
18:37:24.455258 00:16:3e:bc:74:fe (oui Unknown) > 00:16:3e:e8:40:e9 (oui Unknown), ethertype IPv4 (0x0800), length 98: GozMongo02 > 8.8.8.8: ICMP echo request, id 56584, seq 35, length 64
18:37:24.466806 00:16:3e:e8:40:e9 (oui Unknown) > 00:16:3e:bc:74:fe (oui Unknown), ethertype ARP (0x0806), length 56: Request who-has GozMongo02 tell 192.168.10.1, length 42
18:37:24.466817 00:16:3e:bc:74:fe (oui Unknown) > 00:16:3e:e8:40:e9 (oui Unknown), ethertype ARP (0x0806), length 42: Reply GozMongo02 is-at 00:16:3e:bc:74:fe (oui Unknown), length 28


сервер:
~# tcpdump -i eth1 -e not port 22
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
18:35:22.522943 00:16:3e:e8:40:e9 (oui Unknown) > 00:16:3e:bc:74:fe (oui Unknown), ethertype ARP (0x0806), length 42: Request who-has 192.168.10.4 tell 192.168.10.1, length 28
18:35:22.523070 00:16:3e:bc:74:fe (oui Unknown) > 00:16:3e:e8:40:e9 (oui Unknown), ethertype ARP (0x0806), length 56: Reply 192.168.10.4 is-at 00:16:3e:bc:74:fe (oui Unknown), length 42
18:35:56.522941 00:16:3e:e8:40:e9 (oui Unknown) > 00:16:3e:bc:74:fe (oui Unknown), ethertype ARP (0x0806), length 42: Request who-has 192.168.10.4 tell 192.168.10.1, length 28
18:35:56.523064 00:16:3e:bc:74:fe (oui Unknown) > 00:16:3e:e8:40:e9 (oui Unknown), ethertype ARP (0x0806), length 56: Reply 192.168.10.4 is-at 00:16:3e:bc:74:fe (oui Unknown), length 42
18:36:33.522944 00:16:3e:e8:40:e9 (oui Unknown) > 00:16:3e:bc:74:fe (oui Unknown), ethertype ARP (0x0806), length 42: Request who-has 192.168.10.4 tell 192.168.10.1, length 28
18:36:33.523064 00:16:3e:bc:74:fe (oui Unknown) > 00:16:3e:e8:40:e9 (oui Unknown), ethertype ARP (0x0806), length 56: Reply 192.168.10.4 is-at 00:16:3e:bc:74:fe (oui Unknown), length 42


и больше ничего

[PooFF]

А форвардинг трафика между интерфейсами включен?

[mrpsycho]

да.
нат был сооружен с помощью этого мана: help.ubuntu.ru/wiki/sharing_internet

[PooFF]

Как отписали ниже это сетевая подсистема xena либо все-таки не включенный форвардинг. Хотя если бы форвардинг не был включен на серваке были-бы входящие пакеты, потому что tcpdump переводит интерфейс в promiscuous mode. Но то что пакеты с клиента уходят в парвильном направлении — это факт, и то что не доходят до сервака тоже.

Answer 4

[mrpsycho]

@DmZ,

# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 192.168.10.0/24 anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination


на станции нет фаервола.

да и не очень понимаю при чем тут фаервол, если ssh и icmp проходит между сервером и станцией в обе стороны.
те, я могу понять причем, если опять же дальше сервера трафик не уходит.
но проблема в том, что трафик не уходит со станции…

Answer 5

[fkvf]

А я думаю, что надо глянуть настройку сетевой подсистемы xen.

Comments

[fkvf]

У меня были похожие проблемы, решились именно конфигурированием xen, но хоть убейте не вспомню где(