ICMP Redirect und SSH

Jan-Benedict Glaw jbglaw at lug-owl.de
Tue Nov 19 20:01:02 CET 2002 

On Tue, 2002-11-19 19:43:24 +0100, Markus Wigge <markus at cultcom.de>
wrote in message <3DDA864C.5000704 at cultcom.de>:
> Dazu habe ich auf dem default-gw der Bürorechner eine neue virtuelle IP 
> hinzugefügt und dem Ding befohlen statisch alles zwischen diesen beiden 
> Netzen zu routen und keine Filterregeln anzuwenden.

Ok.

> Das fängt an mit einem Testsystem das einzelne Verzeichnisse vie NFS aus 
> dem Büronetz mounten soll:
> Beim booten schlägt das mounten fehl und ein händisches "mount /home" 
> funktioniert danach tadellos.

Warum schlägt's fehl? Was sagen die logs vom nfsd und vom mountd? Ein
immer wieder gern genommenes Problem ist, daß der portmap (noch) nicht
da ist, wenn die init-Scripte laufen.

> Bei SSH wird das ganze noch schlimmer:
> Versuche ich eine Büromaschine zu erreichen bekomme ich einen "Read from 
> socket failed" oder SSH bleibt einfach nur stehen bis ich ihn abschieße.

Dazu wäre ein 'tcpdump -i eth0 -n' interessant.

> Beim 2. Versuch geht es dann schon etwas besser und ich kann schonmal 
> ein Passwort eingeben, danach steht der ssh-Client dann sporadisch auch 
> wieder und ist zum Abschuß freigegeben.

Ganz bannale Frage: was ist auf all den Rechnern eigentlich als
Betriebssystem installiert?

> Der 3. Versuch kommt immerhin bis zum bash-Prompt des Zielrechners, 
> danach fliege ich aber sofort wieder raus "Connection reset by peer".

...was _sehr_ nach einer doppelt vergebenen IP-Adresse aussieht. Dadurch
könnte auch das Phänomen von ein paar Zeilen weiter oben verursacht
werden.

> Letztendlich komme ich dann erst beim 4.-5. Versuch überhaupt an die 
> Shell um Befehle eingeben zu können.

...und ich wette, solange Du da immer brav tippst und nicht allzuviel
andere Rechner am Arbeiten sind (-> mit Netznutzung) bleibst Du auch
"drin". Nur, wenn Du längere Zeit aussetzt, ist bei dem nächsten
Tastendruck die Wahrscheinlichkeit, abgeschossen zu werden, wieder
fifty/fifty...

> Nach langem rumstöbern bin ich dann auf die ICMP Redirects gestoßen die 
> der Router an die beteiligten Clients sendet und habe versucht diese 
> abzuschalten, mit dem Ergebnis das es scheinbar etwas besser funktioniert.

Linux sendet und behandelt ICMP-Redirects so ersteinmal "ganz
ordentlich". In der Vergangenheit hab' ich schon einige Netze gesehen,
die damit gut leben konnten (abgesehen davon, daß ständig Redirects
durch die Gegend fliegen und ältere IP-Implementierungen von nicht
genannten Betriebssystemen sie gleich ignorieren, was zu unnetten
Last-Problemen auf dem "Router" mit einer Netzwerkkarte führt...).

> Nun meine Frage: Gibt es bekannte Probleme wenn man mehrere IP-Netze in 

Wenn man es richtig macht, eigentlich nicht. Abgesehen vom erhöten
Traffic...

> einem physikalischen Ethernet-Segment betreibt? Sind die ICMP-Redirect 
> Nachrichten fehlerhaft (Evtl. nur im benutzten Kernel 2.2.19)?

Nein. Zumindest mit aller höchster Wahrscheinlichkeit nicht.

> Die Pakete direkt zuzustellen würde mit Sicherheit den Router ein wenig 
> entlasten, daher fände ich es schön wenn es mit den Redirects auch 
> irgendwie funktionieren würde.

Tut es eigentlich. Ich würde, wenn Du z.B. mittels ssh versuchst, Dich
auf einen anderen Rechner im anderen Netz einzuloggen, gerne mal den
tcpdump von beiden Rechnern (Client und Server, Router ist vermutlich
uninteressant...) sehen. Außerdem wäre es noch interessant, ob da ein
Hub oder ein Switch zwischen ist.

> Ich hoffe ich schreibe nicht zu wirr und jemand kann nachvollziehen wo 
> es bei mir Spukt ;-)

Dein Setup an sich ist eigentlich "recht erprobt" und funktionier an
sich, abgesehen von der Netz-Last. Einige Deiner Probleme sehen eher
nach doppelt vergebenen IP-Adressen aus, andere erinnern mich eher an
eine kaputte Netzwerkkarte (wobei sowas auch einem Hub oder Switch
passieren kann). Interessant wären halt mal ein paar tcpdumps (ruhig mit
der Option '-w' in eine Datei geschrieben, dann kann man die ganz nett
mit ethereal "post mortem" angucken und auswerten) und derweil natürlich
auch die Ausgabe von ssh -v -v -v bzw. die Logs vom NFS-Mounten.

MfG, JBG

-- 
   Jan-Benedict Glaw       jbglaw at lug-owl.de    . +49-172-7608481
   "Eine Freie Meinung in  einem Freien Kopf    | Gegen Zensur
    fuer einen Freien Staat voll Freier Bürger" | im Internet!
   Shell Script APT-Proxy: http://lug-owl.de/~jbglaw/software/ap2/
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: not available
URL: <http://lug-owl.de/pipermail/linux/attachments/20021119/9bae01c0/attachment.sig>

More information about the Linux mailing list