[zorp-hu] NAT
Balazs Scheidler
bazsi at balabit.hu
2007. Feb. 28., Sze, 10:15:20 CET
On Fri, 2007-02-23 at 21:19 +0100, Qcsera wrote:
> Üdv Mindenkinek!
>
> Egy számomra érdekes, és kicsit érthetelen problémával kerültem szembe.
> Magár a problémát elhárítottuk, de hogy miért úgy működött ahogy, azt nem tudom.
> Ebben várnék némi segítséget. (Igazán nem tudom megmagyarázni a jelenséget)
>
> Felállás:
>
> szerver ]----[(eth1) tűzfal (iptables) (ppp0-adsl)]--[Internet]-- Zorp -- kliens
>
> Jelenség:
> ZORP mögötti kliensről:
> -a kliensről a szerverre jól lehetet másolni (pl. scp), upload működött.
> -a szerverről a kliensre viszont nem
> -ha bessháztunk és egy "hosszabb" listát kértünk (pl. ls -al / ) akkor egyszerűen fel akadt az ssh kliens
> -a kliens semmilyen nagyobb csomagokat (pl. http) nem tudodd letölteni a szerverről
> -ugyan ez volt a jelenség minden olyan gépről, aki nem volt nat-olás mögött
> -mtu/mss jól volt beállítva
hmm.. ez pedig tipikusan valamilyen mss/mtu problema. Esetleg az ICMP
fragmentation needed csomagok nincsenek szurve?
>
> BÁRMILYEN NAT-olós tűzfal (pl. LinkSys) mögül tökéletesen működött (legalábbis látszólag)
> Ezért -majdenm- mindenki a Zorp-ban kereste a híbát. :(
>
> A hiba (persze nem a Zorpban :)) az volt hogy a tűzfalon az iptablesben a postrouting így nézet ki:
> -A POSTROUTING -j MASQUERADE
>
> Szóval minden interfacere volt masquerade. Kijavítottuk, hogy csak kifele legyen SNAT. Így minde O.K.
Sajnos ez igy nem eleg informacio. Kellene egy pontosabb leiras a
felallasrol. Ha jol ertem, valahogy igy nez ki:
kliens -- NAT-olo router -- Zorp -- internet
Elkepzelheto, hogy az ICMP frag needed csomagot a fenti MASQ rule
elnatolta, mikozben nem kellett neki vagy vmi hasonlo.
--
Bazsi
További információk a(z) zorp-hu levelezőlistáról