ICMP Redirect und SSH

Markus Wigge markus at cultcom.de
Wed Nov 20 12:06:02 CET 2002 

Tag,

> Warum schlägt's fehl? Was sagen die logs vom nfsd und vom mountd? Ein
> immer wieder gern genommenes Problem ist, daß der portmap (noch) nicht
> da ist, wenn die init-Scripte laufen.

Je nachdem ob ich ICMP-Redirect aktiviert habe oder nicht ...
Wenn aktiviert bekomme ich beim booten:
Starting syslog services                                             done
Starting RPC portmap daemon                                          done
Importing Net File System (NFS)pmap_getmaps rpc problem: RPC: Unable to 
receive;
  errno = Connection reset by peer
mount: RPC: Unable to receive; errno = Connection refused
                                                                      failed
Starting service at daemon:                                          done
Loading keymap qwertz/de-latin1-nodeadkeys.map.gz                    done

(Ist der langen Zeilen wegen etwas umgebrochen... Sollte eine Standard 
SuSE 7.3 Ausgabe sein, alse "done" in grün und "failed" in rot ;-) )

Danach funzt das mounten per Hand sofort.

Wenn ich ICMP Redirect deaktiviere klappt weder das starten noch das 
mounten per Hand (hab ich leider erst nach der Mail herausgefunden), 
dafür läuft aber SSH ohne Probleme...

Der Fehler scheint dabei aber durch den Router verursacht zu werden, da 
die Anfrage für das NFS-Laufwerk laut Log-File vom Router kommt und der 
nicht die Berechtigung hat. Evtl. muß ich wohl doch nochmal die 
Filterregeln kontrollieren ob da nicht doch noch maskiert wird ?!
Bei ipchains wird doch immer die 1. zutreffende Regeln benutzt oder habe 
ich das falsch in Erinnerung?

> Dazu wäre ein 'tcpdump -i eth0 -n' interessant.

Hab ich auf dem Zielsystem mal gemacht (mit filter "port 22")
Also eine Verbindung von 192.168.3.16 (aus dem neuen Netz) nach 
192.168.2.42 (in das alte Netz) 192.168.*.1 ist dabei der Router.

Die Ergebnisse hab ich als Text mal angehängt und kommentiert, sind 
überlange Zeilen.

auf dem Client-System (192.168.3.16) habe ich vorher via "ip route flush 
cache" die Redirects verworfen auf das sie neu verteilt werden...

> Ganz bannale Frage: was ist auf all den Rechnern eigentlich als
> Betriebssystem installiert?

div. SuSE-Versionen... (ca. 6.4 bis 7.3)

> ...was _sehr_ nach einer doppelt vergebenen IP-Adresse aussieht. Dadurch
> könnte auch das Phänomen von ein paar Zeilen weiter oben verursacht
> werden.

Das kann definitiv nicht sein. Es gibt für das neue Netz noch keinen 
DHCP-Server der Adressen dynamisch verteilen würde und außer meinem 
(einen) Testsystem, bei dem die Adresse fest vergeben wurde, gibt es 
kein weiteres System mit einer Adresse aus dem neuen Netz.

> ...und ich wette, solange Du da immer brav tippst und nicht allzuviel
> andere Rechner am Arbeiten sind (-> mit Netznutzung) bleibst Du auch
> "drin". Nur, wenn Du längere Zeit aussetzt, ist bei dem nächsten
> Tastendruck die Wahrscheinlichkeit, abgeschossen zu werden, wieder
> fifty/fifty...

Nein, wenn ich drin bin bleibe ich auch drin, egal was sonst noch so im 
Netz los ist. Ich fliege erst wieder wenn die Routen im Cache expiren.

Wenn ich die restlichen Ausführungen so lese komme ich allerdings auch 
zu der Überzeugung das es nicht nur an den Redirects liegen kann, 
sondern diese nur durch einen Nebeneffekt Probleme machen.

Ich vermute mehr und mehr das Problem auf dem Router, zur Sicherheit 
schicke ich mal kurz die Config in Auszügen mit.

bye
   Markus
-------------- next part --------------
An embedded and charset-unspecified text was scrubbed...
Name: ssh-versuche
URL: <http://lug-owl.de/pipermail/linux/attachments/20021120/cc4593b9/attachment.ksh>
-------------- next part --------------
An embedded and charset-unspecified text was scrubbed...
Name: router-config
URL: <http://lug-owl.de/pipermail/linux/attachments/20021120/cc4593b9/attachment-0001.ksh>

More information about the Linux mailing list