Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

problema abbasta complicato

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
lupinnicola



Registrato: 16/01/09 14:24
Messaggi: 33

MessaggioInviato: Mar Lug 21, 2009 9:07 am    Oggetto: problema abbasta complicato Rispondi citando

------ZS(192.168.100.99)------Rcisco1841(192.168.100.9Cool ---- VPN verso altri stab+2°accesso ad internet
-
-
-
-
-
-
-
- FW-Watchguard(192.168.100.100) --- Router Internet
- -
- -
============================-LAN-==192.168.100.9



Ho sostituito un vecchio Watchguard con una macchina Zeroshell (Tengo a precisare che ne avevo sostituito altri 4 su stabilimenti perifirici e tutto funziona correttamente.

In questo stab principale però ho un problema con il protocollo snmp
La macchina con ip(192.168.100.9 dg 192.168.100.100) ha il software prtg che mi controlla lo stato e il traffico dei router, ma pare quest'ultimo non funzioni.


Nel Watchguard c'è una tabella di routing in cui si dice che per tutte le reti periferiche raggiungele tramite 192.168.100.98



Il zeroshell(che deve solo filtrarmi certi indirizzi) è configurato in BRIDGE e nella chain FORWARD ci sono queste regole

Chain FORWARD (policy DROP 1186 packets, 89216 bytes)
pkts bytes target prot opt in out source destination
5328 655K ACCEPT all -- * * 192.168.100.0/24 192.168.100.0/24 PHYSDEV match --physdev-in ETH00 --physdev-out ETH01
2409 163K ACCEPT all -- * * 192.168.100.0/24 192.168.100.0/24 PHYSDEV match --physdev-in ETH01 --physdev-out ETH00
22993 4863K ACCEPT all -- * * 192.168.100.0/24 192.168.110.0/24 PHYSDEV match --physdev-in ETH00 --physdev-out ETH01
29579 1520K ACCEPT all -- * * 192.168.110.0/24 192.168.100.0/24 PHYSDEV match --physdev-in ETH01 --physdev-out ETH00
1088 82673 ACCEPT all -- * * 192.168.100.0/24 192.168.130.0/24 PHYSDEV match --physdev-in ETH00 --physdev-out ETH01
202 12318 ACCEPT all -- * * 192.168.130.0/24 192.168.100.0/24 PHYSDEV match --physdev-in ETH01 --physdev-out ETH00
2209 387K ACCEPT all -- * * 192.168.100.0/24 192.168.140.0/24 PHYSDEV match --physdev-in ETH00 --physdev-out ETH01
3094 152K ACCEPT all -- * * 192.168.140.0/24 192.168.100.0/24 PHYSDEV match --physdev-in ETH01 --physdev-out ETH00
5801 994K ACCEPT all -- * * 192.168.100.0/24 192.168.1.0/24 PHYSDEV match --physdev-in ETH00 --physdev-out ETH01
9293 581K ACCEPT all -- * * 192.168.1.0/24 192.168.100.0/24 PHYSDEV match --physdev-in ETH01 --physdev-out ETH00
246 19188 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 PHYSDEV match --physdev-in ETH00 --physdev-out ETH01 source IP range
192.168.100.181-192.168.100.190
25 3111 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 PHYSDEV match --physdev-in ETH01 --physdev-out ETH00 destination IP r
ange 192.168.100.181-192.168.100.190



Non dovrebbe passare il protoccolo snmp tra la macchina 192.168.100.9 e 192.168.100.98 con queste regole?
Top
Profilo Invia messaggio privato
Romolo



Registrato: 03/07/09 18:17
Messaggi: 32

MessaggioInviato: Mar Lug 21, 2009 12:57 pm    Oggetto: Rispondi citando

Si dovrebbe passare tutto in virtù delle prime due regole,
Dalla macchina su cui è installato PRTG riesci a pingare il gateway ? (in linea di principio viste le prime due regole dovrebbe passare anche il ping).
Top
Profilo Invia messaggio privato
lupinnicola



Registrato: 16/01/09 14:24
Messaggi: 33

MessaggioInviato: Mar Lug 21, 2009 1:02 pm    Oggetto: Rispondi citando

Romolo ha scritto:
Si dovrebbe passare tutto in virtù delle prime due regole,
Dalla macchina su cui è installato PRTG riesci a pingare il gateway ? (in linea di principio viste le prime due regole dovrebbe passare anche il ping).



Riesco a Pingare sia il Firewall watchguard(192.168.100.100) sia il Router 192.168.100.98

Centrano qualcosa le altre chains ? Io ho toccato solo la forwarding.

Aggiungo ho fatto una prova con un software:
BluesPortTool

Mettendolo su una macchina di un'altro stabilimento 192.168.1.189 in ascolto e collegandomi dal mio PC sulla porta 161(udp) tutto funziona correttamente.

Ma quello che non mi funzionano sono verso i router

192.168.100.98
192.168.110.100
192.168.1.100
192.168.140.100

tutti 1841 cisco
Top
Profilo Invia messaggio privato
lupinnicola



Registrato: 16/01/09 14:24
Messaggi: 33

MessaggioInviato: Mar Lug 21, 2009 1:51 pm    Oggetto: Rispondi citando

Qualcuno mi da una mano a capire dove sta il problema?
Che verifiche fareste?

Ho necessità di sistemare la cosa altrimenti mi tocca ripassare a Watchguard (E non vorrei) Sad Rolling Eyes
Top
Profilo Invia messaggio privato
lupinnicola



Registrato: 16/01/09 14:24
Messaggi: 33

MessaggioInviato: Mar Lug 21, 2009 3:14 pm    Oggetto: Rispondi citando

A mio parere c'è un bug.

Prima di sostituire stamattina dal WG al zeroshell tutto funziona correttamente.

Ora ho provato anche a mettere la chains forward in ACCEPT. Quindi tutto il traffico dovrebbe passare.

Se provo con un mib browser non riesco a collegarmi al snmp sul router.
Top
Profilo Invia messaggio privato
lupinnicola



Registrato: 16/01/09 14:24
Messaggi: 33

MessaggioInviato: Mer Lug 22, 2009 1:09 pm    Oggetto: --BUG-- Rispondi citando

Per fare la controverifica ho fatto una prova di questo tipo.

Reinstallato da Zero Zeroshell e ricreato il Bridge.

Senza nessuna regola di routing quindi forwarding completo.

-Se mi collego al router prima di Zeroshell tramite un MIB Browser tutto funziona correttamente.

-Se lo faccio attraversando Zeroshell non si collega più

QUINDI penso proprio sia UN BUG.

Fulvio a te la parola.
Top
Profilo Invia messaggio privato
lupinnicola



Registrato: 16/01/09 14:24
Messaggi: 33

MessaggioInviato: Mer Lug 22, 2009 1:40 pm    Oggetto: Rispondi citando

Questo non funziona20:36:46 [NEW] udp 17 30 src=192.168.100.241 dst=192.168.100.98 sport=60813 dport=161 [UNREPLIED] src=192.168.100.98 dst=192.168.100.241 sport=161 dport=60813
20:37:16 [DESTROY] udp 17 src=192.168.100.241 dst=192.168.100.98 sport=60813 dport=161 packets=1 bytes=71 src=192.168.100.98 dst=192.168.100.241 sport=161 dport=60813 packets=0 bytes=0


Questo funziona , [verso un ip esterno]
20:37:27 [NEW] udp 17 30 src=192.168.100.241 dst=88.42.245.129 sport=60814 dport=161 [UNREPLIED] src=88.42.245.129 dst=192.168.100.241 sport=161 dport=60814
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it