[zorp-hu] NAT

Balazs Scheidler bazsi at balabit.hu
2007. Feb. 28., Sze, 10:15:20 CET


On Fri, 2007-02-23 at 21:19 +0100, Qcsera wrote:
> Üdv Mindenkinek!
> 
> Egy számomra érdekes, és kicsit érthetelen problémával kerültem szembe.
> Magár a problémát elhárítottuk, de hogy miért úgy működött ahogy, azt nem tudom.
> Ebben várnék némi segítséget. (Igazán nem tudom megmagyarázni a jelenséget)
> 
> Felállás:
> 
> szerver ]----[(eth1) tűzfal (iptables) (ppp0-adsl)]--[Internet]-- Zorp -- kliens
> 
> Jelenség:
> ZORP mögötti kliensről:
> -a kliensről a szerverre jól lehetet másolni (pl. scp), upload működött.
> -a szerverről a kliensre viszont nem
> -ha bessháztunk és egy "hosszabb" listát kértünk (pl. ls -al / ) akkor egyszerűen fel akadt az ssh kliens
> -a kliens semmilyen nagyobb csomagokat (pl. http) nem tudodd letölteni a szerverről
> -ugyan ez volt a jelenség minden olyan gépről, aki nem volt nat-olás mögött
> -mtu/mss jól volt beállítva

hmm.. ez pedig tipikusan valamilyen mss/mtu problema. Esetleg az ICMP
fragmentation needed csomagok nincsenek szurve?

> 
> BÁRMILYEN NAT-olós tűzfal (pl. LinkSys) mögül tökéletesen működött (legalábbis látszólag)
> Ezért -majdenm- mindenki a Zorp-ban kereste a híbát. :(
> 
> A hiba (persze nem a Zorpban :)) az volt hogy a tűzfalon az iptablesben a postrouting így nézet ki:
> -A POSTROUTING -j MASQUERADE
> 
> Szóval minden interfacere volt masquerade. Kijavítottuk, hogy csak kifele legyen SNAT. Így minde O.K.

Sajnos ez igy nem eleg informacio. Kellene egy pontosabb leiras a
felallasrol. Ha jol ertem, valahogy igy nez ki:

kliens -- NAT-olo router -- Zorp -- internet

Elkepzelheto, hogy az ICMP frag needed csomagot a fenti MASQ rule
elnatolta, mikozben nem kellett neki vagy vmi hasonlo.

-- 
Bazsi



További információk a(z) zorp-hu levelezőlistáról