[Freifunk Franken] Monitoring-Problem auf fff-gw-fo2 und "Sonderzeugs" Hood Adelsdorf
Peter J. Philipp
pjp at centroid.eu
Sa Dez 30 13:58:52 CET 2017
Hallo,
Die netfilter regeln sehen mir gegenüber gut aus auf dem OUTPUT wars
wichtig und die default policy dafür ist ACCEPT wie von dir schon gesagt.
Hmm, ich wundere mich ob die MTU auf dem fastd tunX (oder tapX) auch die
gleiche ist wie die MTU auf den routern. Bin gerade auf AREA27b, und
stelle dieses fest:
fffVPN Link encap:Ethernet HWaddr DA:1A:60:7A:13:A2
inet6 addr: fe80::d81a:60ff:fe7a:13a2/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1426 Metric:1
Also MTU 1426. In der fastd konfiguration sollte das auch 1426 haben
mit diesem config eintrag:
------>
# Sets the MTU of the tunnel interface, default is 1500
# 1426 is a good value that avoids fragmentation for the
xsalsa20-poly1305 method
# when the tunnel uses an IPv4 connection on a line with an MTU
of 1492
or higher
option mtu 1426
<-------
das hab ich aus der fastd v18 source. Wenn da was nicht stimmt und es
auf den default 1500 zurückfällt wäre da warscheinlich ein konflikt.
Auch würde ich denken das Alfred ja aus einem anderen server kommt und
der muss auch Path MTU machen können mit deinem GW. Ich glaub hiermit
kann man ping benutzen mit den folgenden einstellungen:
ping den alfred server von deinen gateway mit DF gesetzt:
ping -Mdo -s 1398 alfred.server.ip.maschine
Das hab ich aus dem Linux ping manpage geholt. -Mdo setzt die DF flag
auf dem paket, -s 1398 würde ein 1426 byte paket machen (20 bytes ip
header, 8 bytes icmp, 1398 payload).
Wenn du damit kein ping bekommst würde das aussagen das die MTU zu klein
AUF dem alfred server ist und vielleicht hier auch kein ICMP typ 3 code
4 geschickt wird. Das kannst du rausfinden mit tcpdump -v -n -i
schnittstelle0 icmp
Das sollte eigentlich helfen mit dem debug. So ich muss jetzt meine
Sachen packen vielleicht bin ich von meinem Elternhaus wieder am Netz.
Ich hoffe es klappt! Guten rutsch ins neue Jahr 2018!
Grüße,
-peter
On 12/30/17 13:08, Miki wrote:
> Öhm, danke für's erste. Vielleicht liest ja jemand mit, der sich damit
> auskennt....
> INPUT: Die ICMP Typen 0,3,8,11,12 sind offen, die anderen Typen nur
> innerhalb des Freifunk-Netzes. Allerdings würden eventuelle Pakete mit
> der DROP Regel gezählt, und da gibt es keine Pakete.
> OUTPUT: Alle ICMP Typen sind offen (Defaultregel ACCEPT).
>
> Grüße, Miki
>
> root at freifunk:/home/service# *iptables -n -L -v*
>
> Chain INPUT (policy ACCEPT 209K packets, 85M bytes)
> pkts bytes target prot opt in out source
> destination
> 522 44789 fail2ban-ssh tcp -- * * 0.0.0.0/0
> 0.0.0.0/0 multiport dports 31829
> 6732 558K ACCEPT icmp -- * * 0.0.0.0/0
> 0.0.0.0/0 icmptype 0
> 20876 11M ACCEPT icmp -- * * 0.0.0.0/0
> 0.0.0.0/0 icmptype 8
> 154K 14M ACCEPT icmp -- * * 0.0.0.0/0
> 0.0.0.0/0 icmptype 3
> 3 168 ACCEPT icmp -- * * 0.0.0.0/0
> 0.0.0.0/0 icmptype 11
> 0 0 ACCEPT icmp -- * * 0.0.0.0/0
> 0.0.0.0/0 icmptype 12
> 0 0 DROP icmp -- eth0 * 0.0.0.0/0
> 0.0.0.0/0
> 1 60 ACCEPT tcp -- eth0 * 0.0.0.0/0
> 0.0.0.0/0 tcp dpt:31829 ctstate NEW
> 10766 548K ACCEPT tcp -- eth0 * 0.0.0.0/0
> 0.0.0.0/0 tcp dpt:80 ctstate NEW
> 14 664 ACCEPT tcp -- eth0 * 0.0.0.0/0
> 0.0.0.0/0 tcp dpt:8080 ctstate NEW
> 112M 51G ACCEPT udp -- * * 0.0.0.0/0
> 0.0.0.0/0 udp dpts:1024:65535
> 68171 7896K ACCEPT all -- * * 0.0.0.0/0
> 0.0.0.0/0 ctstate ESTABLISHED
> 15 885 DROP udp -- eth0 * 0.0.0.0/0
> 0.0.0.0/0
> 2108 86852 DROP tcp -- eth0 * 0.0.0.0/0
> 0.0.0.0/0
>
> Chain FORWARD (policy ACCEPT 32M packets, 27G bytes)
> pkts bytes target prot opt in out source
> destination
>
> Chain OUTPUT (policy ACCEPT 215K packets, 56M bytes)
> pkts bytes target prot opt in out source
> destination
> 0 0 DROP all -- * eth0 !5.9.70.120
> 0.0.0.0/0
> 0 0 DROP tcp -- * * 0.0.0.0/0
> 0.0.0.0/0 tcp dpt:25
> 0 0 DROP tcp -- * * 0.0.0.0/0
> 0.0.0.0/0 tcp dpt:137
> 0 0 DROP udp -- * * 0.0.0.0/0
> 0.0.0.0/0 udp dpt:137
> 1090 81966 ACCEPT udp -- * eth0 0.0.0.0/0
> 0.0.0.0/0 udp dpt:53 ctstate NEW
> 8 480 ACCEPT tcp -- * eth0 0.0.0.0/0
> 0.0.0.0/0 tcp dpt:53 ctstate NEW
> 368 22080 ACCEPT tcp -- * eth0 0.0.0.0/0
> 0.0.0.0/0 tcp dpt:80 ctstate NEW
> 91 5460 ACCEPT tcp -- * eth0 0.0.0.0/0
> 0.0.0.0/0 tcp dpt:443 ctstate NEW
> 2 84 ACCEPT udp -- * eth0 0.0.0.0/0
> 0.0.0.0/0 udp dpt:1300 ctstate NEW
> 152M 54G ACCEPT udp -- * * 0.0.0.0/0
> 0.0.0.0/0 udp dpts:1024:65535
> 106K 65M ACCEPT all -- * * 0.0.0.0/0
> 0.0.0.0/0 ctstate ESTABLISHED
> 0 0 DROP udp -- * eth0 0.0.0.0/0
> 0.0.0.0/0
> 0 0 DROP tcp -- * eth0 0.0.0.0/0
> 0.0.0.0/0
>
> Chain fail2ban-ssh (1 references)
> pkts bytes target prot opt in out source
> destination
> 522 44789 RETURN all -- * * 0.0.0.0/0
> 0.0.0.0/0
>
>
>
> _______________________________________________
> franken mailing list
> franken at freifunk.net
> http://lists.freifunk.net/mailman/listinfo/franken-freifunk.net
Mehr Informationen über die Mailingliste franken