Servercommunity Foren-Übersicht Servercommunity
Das informative Forum für Fragen rund um Server
 
 FAQFAQ   SuchenSuchen   MitgliederlisteMitgliederliste   BenutzergruppenBenutzergruppen   RegistrierenRegistrieren 
 ProfilProfil   Einloggen, um private Nachrichten zu lesenEinloggen, um private Nachrichten zu lesen   LoginLogin 

NAT-Problem

 
Neues Thema eröffnen   Neue Antwort erstellen    Servercommunity Foren-Übersicht -> Alles andere
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
Boum



Anmeldedatum: 29.07.2003
Beiträge: 1929
Wohnort: Karlsruhe

BeitragVerfasst am: Fr Feb 01, 2008 19:50    Titel: NAT-Problem Antworten mit Zitat

Hi alle,

ich habe da mal ein interessantes Problem (nebst: keiner Lösung). Also: ich habe einen Linux-Rechner, auf dem eine kommerzielle NAT-Firewall läuft. In der DMZ steht jetzt ein neuer Rechner (dort stehen schon andere Rechner und funktionieren brav). So weit so gut; ein Ping von extern auf die externe IP funktioniert. Jetzt kommt's: mache ich einen ssh auf den Server, kriege ich einen Timeout (so als ob der Rechner nicht existieren würde). Mache ich den Ping von der DMZ aus, auch alles ok. Aber: ein ssh von einem DMZ-Rechner auf den Server schlägt fehl mit einem "No route to host". WTF, Ping geht doch?! Ein Traceroute zeigt mir aus der DMZ auch an, dass der Rechner existiert - allerdings mit einem (H!), also "Host unreachable".

Warum kann ich dann mit einem Ebene-3 Ping per ICMP auf den Rechner, aber ssh behauptet, es hätte keine Route? Helft mir auf's Fahrrad, ich steh auf dem Schlauch.
_________________
Planung ist das Ersetzen des Zufalls durch Irrtum.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen AIM-Name
Fritz11



Anmeldedatum: 20.07.2003
Beiträge: 605
Wohnort: Lehrte/Hannover

BeitragVerfasst am: Sa Feb 02, 2008 03:48    Titel: Antworten mit Zitat

Hallo Boum,
ich habe keine Idee. Aber neben ping würde ich erst noch telnet auf verschiedene ports oder nmap ausprobieren.
Ist der Rechner mit fester IP drin - oder mit DHCP?
Gruß Fritz
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
dl7awl



Anmeldedatum: 22.06.2003
Beiträge: 536
Wohnort: Berlin/Nackel

BeitragVerfasst am: Sa Feb 02, 2008 11:34    Titel: Antworten mit Zitat

Zitat:
Warum kann ich dann mit einem Ebene-3 Ping per ICMP auf den Rechner, aber ssh behauptet, es hätte keine Route?


Ich bin weit davon entfernt, das erklären zu können, und kann nur dilettantisch spekulieren: Wenn auf höherer Protokollebene ein Weg versperrt ist, dessen Existenz auf niedrigerer bereits erwiesen ist, kann das nach meinem begrenzten Horizont nur an einer ungewollten Firewall-Regel o.ä. liegen, die den entspr. Dienst - sofern er denn läuft - nach außen unsichtbar macht.

Gruß, Manfred
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
Boum



Anmeldedatum: 29.07.2003
Beiträge: 1929
Wohnort: Karlsruhe

BeitragVerfasst am: Sa Feb 02, 2008 18:16    Titel: Antworten mit Zitat

So, mit 2 neu installierten virtuellen Test-Maschinen unter Mac OS X als Gast-System habe ich das Rätsel geknackt. Der Server läuft unter dem aktuellen CentOS 5.1. Und das hat als Default-iptables-Satz als letzte Regel ein REJECT all proto from anywhere to anywhere, option reject-with icmp-host-prohibited. So weit, so sonderbar (host-prohibited müsste ja nicht sein). Und das war in unserer Konfiguration das Problem: Admin vergessen, statt 22 den hochgelegten SSH-Port in der Firewall freizuschalten, und das Verhängnis nimmt seinen Lauf: Linux erkennt die ICMP-Meldung nicht korrekt. Mac OS schafft es, und meldet "Connection refused". Ein Knoppix brachte die unschöne Wahrheit zu Tage: Linux meldet beim Verbindungsversuch "ssh: connect to host 192.168.1.113 port 52022: No route to host" - WTF?!

Also aufgepasst mit dem icmp-host-prohibited - das kann Tage kosten bei der Fehlersuche. Confused
_________________
Planung ist das Ersetzen des Zufalls durch Irrtum.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen AIM-Name
Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen    Servercommunity Foren-Übersicht -> Alles andere Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.



Powered by phpBB © 2001, 2005 phpBB Group
Deutsche Übersetzung von phpBB.de