[gelöst] iptables lässt alles ausser dns durch

$cruffy · 1 Juni 2011

Servus!

Ich habe ein Problem mit vmware und iptables. Auf einem Linux Server habe ich vmware player und darin windows server 2008 laufen.

Es gibt 2 statische ip Adressen. Die eine ist auf eth0 und die andere auf eth0:1 gesetzt.

Das virtuelle Netz - 192.168.1.0/24
vmnet1 - 192.168.1.1
windows - 192.168.1.100

Ein script soll auf dem Linux Host, den Datenverkehr öffnen:

Code:

iptables -F -v -t nat;
iptables -t nat -I PREROUTING -d xx.xx.xx.20 -j DNAT --to 192.168.1.100;
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE;

Ich kann den Windows mit RDP erreichen, ich kann von dem Windows Server auf die IP von google oder anderen Seiten pingen. Ich kann aber nicht auf die domain "www.google.de" oder "google.de" pingen und natürlich auch nicht im Browser öffnen.

Mein Hoster meinte, ich müsse MASQUERADING machen, damit der Windows Client zumindest pingen kann. Aber wieso funktioniert dann nur das PINGen und nicht die DNS Auflösung weiß ich nicht. Vielleicht habe ich Fehler bei dem obigen Script gemacht, daß scheint mir die zur Zeit einzig logische Möglichkeit zu sein.

Ich habe als DNS Server für Windows einen Server von der Liste http://provider-stoerung.de/blog/ubersicht-dns-server/ und dann noch einen (alle 3 versucht) von dem Hoster Hetzner (da meiner keinen eigenen betreibt) - 213.133.98.98, 213.133.99.99 und 213.133.100.100

Ich kann auch die obigen DNS Server pingen, kein Problem. Auch über die IP die Google Seite aufrufen geht. Aber die Namensauflöstung klappt einfach nicht. Muss ich noch was bei Windows etwa einstellen oder kann etwas verhindern, daß ich rauskomme? Es ist noch nichts installiert, der Windows Server ist Vanilla.

Hier noch ein paar Ausgaben:
/var/log/syslog

Code:

May 30 21:21:39 svx920549 kernel: [98531.725595] INPUTIN=eth0 OUT= MAC=00:21:09:c34f:d1:45:c6:1f:a1:d2:00:18:00 SRC=XX.XX.XX.XX DST=YY.YY.YY.YY LEN=50 TOS=0x00 PREC=0x00 TTL=118 ID=10574 DF PROTO=TCP SPT=48061 DPT=5902 WINDOW=259 RES=0x00 ACK PSH URGP=0
May 30 21:21:39 svx920549 kernel: [98531.725668] OUTPUTIN= OUT=eth0 SRC=YY.YY.YY.YY DST=XX.XX.XX.XX LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=52785 DF PROTO=TCP SPT=5902 DPT=48061 WINDOW=46 RES=0x00 ACK URGP=0
May 30 21:21:39 svx920549 kernel: [98531.958436] INPUTIN=eth0 OUT= MAC=00:21:09:c34f:d1:45:c6:1f:a1:d2:00:18:00 SRC=XX.XX.XX.XX DST=YY.YY.YY.YY LEN=40 TOS=0x00 PREC=0x00 TTL=118 ID=10575 DF PROTO=TCP SPT=47714 DPT=22 WINDOW=64700 RES=0x00 ACK URGP=0

May 30 21:21:40 svx920549 kernel: [98532.135045] OUTPUTIN= OUT=eth0 SRC=YY.YY.YY.YY DST=XX.XX.XX.XX LEN=61 TOS=0x00 PREC=0x00 TTL=64 ID=52786 DF PROTO=TCP SPT=5902 DPT=48061 WINDOW=46 RES=0x00 ACK PSH URGP=0

May 30 21:21:40 svx920549 kernel: [98532.179493] INPUTIN=eth0 OUT= MAC=00:21:09:c34f:d1:45:c6:1f:a1:d2:00:18:00 SRC=XX.XX.XX.XX DST=YY.YY.YY.YY LEN=50 TOS=0x00 PREC=0x00 TTL=118 ID=10576 DF PROTO=TCP SPT=48061 DPT=5902 WINDOW=259 RES=0x00 ACK PSH URGP=0

May 30 21:21:40 svx920549 kernel: [98532.179565] OUTPUTIN= OUT=eth0 SRC=YY.YY.YY.YY DST=XX.XX.XX.XX LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=52787 DF PROTO=TCP SPT=5902 DPT=48061 WINDOW=46 RES=0x00 ACK URGP=0
May 30 21:21:40 svx920549 kernel: [98532.278459] INPUTIN=eth0 OUT= MAC=00:21:09:c34f:d1:45:c6:1f:a1:d2:00:18:00 SRC=XX.XX.XX.XX DST=YY.YY.YY.YY LEN=92 TOS=0x00 PREC=0x00 TTL=118 ID=10577 DF PROTO=TCP SPT=47714 DPT=22 WINDOW=64700 RES=0x00 ACK PSH URGP=0
May 30 21:21:40 svx920549 kernel: [98532.292741] OUTPUTIN= OUT=eth0 SRC=YY.YY.YY.YY DST=XX.XX.XX.XX LEN=92 TOS=0x10 PREC=0x00 TTL=64 ID=19724 DF PROTO=TCP SPT=22 DPT=47714 WINDOW=11792 RES=0x00 ACK PSH URGP=0

tcpdump -i eth0:1

Code:

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0:1, link-type EN10MB (Ethernet), capture size 96 bytes
14:45:52.623703 IP svx920549.hoster.ssh > 123.provider.de.12726: Flags [P.], seq 1590996632:1590996828, ack 1817085313, win 71, length 196
14:45:52.624786 IP static-ip-xx-xx-xx-xx.inaddr.intergenia.de.52290 > 345.provider.de: 45928+ PTR? xxx.xxx.xxx.xxx.in-addr.arpa. (44)
14:45:52.630071 IP svx920549.hoster.5902 > 123.provider.de.12741: Flags [P.], seq 2350567044:2350567065, ack 3159434000, win 148, length 21
14:45:52.632933 IP 345.provider.de > static-ip-xx-xx-xx-xx.inaddr.intergenia.de.52290: 45928 Refused- [0q] 0/0/0 (12)
14:45:52.667456 IP 123.provider.de.12726 > svx920549.hoster.ssh: Flags [.], ack 196, win 257, length 0
14:45:52.673478 IP 123.provider.de.12741 > svx920549.hoster.5902: Flags [P.], seq 1:11, ack 21, win 964, length 10
14:45:52.673616 IP svx920549.hoster.5902 > 123.provider.de.12741: Flags [.], ack 11, win 148, length 0

Diese Ausgaben wurden geloggt als ich versuchte von windows eine Seite anzupingen.

Ich versuche schon seit über einer Woche das Problem zu lösen, aber ich komme einfach nicht voran. Auch alle Anfragen im Netz haben mir nichts gebracht. Bin wirklich kurz vorm durchdrehen.

Ihr seid meine letzte Hoffnung Obi... uhm... Linux-Club Mitglieder.

:???: :???: :???:

framp · 1 Juni 2011

Wenn das pingen funktioniert ist alles soweit mit dem masquerading OK. Das ist irgendwas mit dem DNS. Kannst Du mal

Code:

tcpdump -i eth0:1 port 53

starten und auf der Win Box

Code:

nslookup www.google.de

eingeben? Dann sollte der DNS Request zu sehen sein. Was bekommst Du da?

$cruffy · 2 Juni 2011

Hi, das kommt dabei raus:

Code:

tcpdump -i eth0:1 port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0:1, link-type EN10MB (Ethernet), capture size 96 bytes
14:59:56.152024 IP static-ip-78-20-128-86.inaddr.intergenia.de.63743 > ns1-coloc.hetzner.de.domain: 21535+ A? teredo.ipv6.microsoft.com. (43)
14:59:56.153051 IP static-ip-78-20-128-86.inaddr.intergenia.de.36249 > ns3-coloc.hetzner.de.domain: 63945+ PTR? 98.98.133.213.in-addr.arpa. (44)
14:59:56.160386 IP ns3-coloc.hetzner.de.domain > static-ip-78-20-128-86.inaddr.intergenia.de.36249: 63945 Refused- [0q] 0/0/0 (12)
14:59:56.160947 IP ns1-coloc.hetzner.de.domain > static-ip-78-20-128-86.inaddr.intergenia.de.63743: 21535 Refused- [0q] 0/0/0 (12)
14:59:56.161832 IP static-ip-78-20-128-86.inaddr.intergenia.de.63743 > ns3-coloc.hetzner.de.domain: 21535+ A? teredo.ipv6.microsoft.com. (43)
14:59:56.169370 IP ns3-coloc.hetzner.de.domain > static-ip-78-20-128-86.inaddr.intergenia.de.63743: 21535 Refused- [0q] 0/0/0 (12)
14:59:56.170161 IP static-ip-78-20-128-86.inaddr.intergenia.de.63743 > ns3-coloc.hetzner.de.domain: 21535+ A? teredo.ipv6.microsoft.com. (43)
14:59:56.177951 IP ns3-coloc.hetzner.de.domain > static-ip-78-20-128-86.inaddr.intergenia.de.63743: 21535 Refused- [0q] 0/0/0 (12)
14:59:56.178768 IP static-ip-78-20-128-86.inaddr.intergenia.de.63743 > ns1-coloc.hetzner.de.domain: 21535+ A? teredo.ipv6.microsoft.com. (43)
14:59:56.179086 IP static-ip-78-20-128-86.inaddr.intergenia.de.63743 > ns3-coloc.hetzner.de.domain: 21535+ A? teredo.ipv6.microsoft.com. (43)
14:59:56.186901 IP ns3-coloc.hetzner.de.domain > static-ip-78-20-128-86.inaddr.intergenia.de.63743: 21535 Refused- [0q] 0/0/0 (12)
14:59:56.187457 IP ns1-coloc.hetzner.de.domain > static-ip-78-20-128-86.inaddr.intergenia.de.63743: 21535 Refused- [0q] 0/0/0 (12)
14:59:56.187739 IP static-ip-78-20-128-86.inaddr.intergenia.de.63743 > ns1-coloc.hetzner.de.domain: 21535+ A? teredo.ipv6.microsoft.com. (43)
14:59:56.188027 IP static-ip-78-20-128-86.inaddr.intergenia.de.63743 > ns3-coloc.hetzner.de.domain: 21535+ A? teredo.ipv6.microsoft.com. (43)
14:59:56.195396 IP ns3-coloc.hetzner.de.domain > static-ip-78-20-128-86.inaddr.intergenia.de.63743: 21535 Refused- [0q] 0/0/0 (12)
14:59:56.196748 IP ns1-coloc.hetzner.de.domain > static-ip-78-20-128-86.inaddr.intergenia.de.63743: 21535 Refused- [0q] 0/0/0 (12)
14:59:59.155684 IP static-ip-78-20-128-86.inaddr.intergenia.de.38936 > static-ip-78-20-64-10.inaddr.intergenia.de.domain: 63945+ PTR? 98.98.133.213.in-addr.arpa. (44)
14:59:59.286633 IP static-ip-78-20-64-10.inaddr.intergenia.de.domain > static-ip-78-20-128-86.inaddr.intergenia.de.38936: 63945 1/0/0 (78)
14:59:59.287115 IP static-ip-78-20-128-86.inaddr.intergenia.de.59522 > ns3-coloc.hetzner.de.domain: 23884+ PTR? 86.128.20.78.in-addr.arpa. (43)
14:59:59.294919 IP ns3-coloc.hetzner.de.domain > static-ip-78-20-128-86.inaddr.intergenia.de.59522: 23884 Refused- [0q] 0/0/0 (12)
15:00:02.288521 IP static-ip-78-20-128-86.inaddr.intergenia.de.55996 > static-ip-78-20-64-10.inaddr.intergenia.de.domain: 23884+ PTR? 86.128.20.78.in-addr.arpa. (43)
15:00:02.570217 IP static-ip-78-20-64-10.inaddr.intergenia.de.domain > static-ip-78-20-128-86.inaddr.intergenia.de.55996: 23884 1/0/0 (100)
15:00:02.570740 IP static-ip-78-20-128-86.inaddr.intergenia.de.39884 > ns3-coloc.hetzner.de.domain: 22571+ PTR? 100.100.133.213.in-addr.arpa. (46)
15:00:02.578016 IP ns3-coloc.hetzner.de.domain > static-ip-78-20-128-86.inaddr.intergenia.de.39884: 22571 Refused- [0q] 0/0/0 (12)
15:00:05.484189 IP static-ip-78-20-128-86.inaddr.intergenia.de.63744 > ns1-coloc.hetzner.de.domain: 1+ PTR? 98.98.133.213.in-addr.arpa. (44)
15:00:05.493085 IP ns1-coloc.hetzner.de.domain > static-ip-78-20-128-86.inaddr.intergenia.de.63744: 1 Refused- [0q] 0/0/0 (12)
15:00:05.503546 IP static-ip-78-20-128-86.inaddr.intergenia.de.63745 > ns1-coloc.hetzner.de.domain: 2+ A? www.google.de. (31)
15:00:05.512974 IP ns1-coloc.hetzner.de.domain > static-ip-78-20-128-86.inaddr.intergenia.de.63745: 2 Refused- [0q] 0/0/0 (12)
15:00:05.513730 IP static-ip-78-20-128-86.inaddr.intergenia.de.63746 > ns1-coloc.hetzner.de.domain: 3+ AAAA? www.google.de. (31)
15:00:05.523075 IP ns1-coloc.hetzner.de.domain > static-ip-78-20-128-86.inaddr.intergenia.de.63746: 3 Refused- [0q] 0/0/0 (12)
15:00:05.524275 IP static-ip-78-20-128-86.inaddr.intergenia.de.63747 > ns1-coloc.hetzner.de.domain: 4+ A? www.google.de. (31)
15:00:05.534393 IP ns1-coloc.hetzner.de.domain > static-ip-78-20-128-86.inaddr.intergenia.de.63747: 4 Refused- [0q] 0/0/0 (12)
15:00:05.535759 IP static-ip-78-20-128-86.inaddr.intergenia.de.63748 > ns1-coloc.hetzner.de.domain: 5+ AAAA? www.google.de. (31)
15:00:05.545325 IP ns1-coloc.hetzner.de.domain > static-ip-78-20-128-86.inaddr.intergenia.de.63748: 5 Refused- [0q] 0/0/0 (12)
15:00:05.572186 IP static-ip-78-20-128-86.inaddr.intergenia.de.56367 > static-ip-78-20-64-10.inaddr.intergenia.de.domain: 22571+ PTR? 100.100.133.213.in-addr.arpa. (46)
15:00:05.804088 IP static-ip-78-20-64-10.inaddr.intergenia.de.domain > static-ip-78-20-128-86.inaddr.intergenia.de.56367: 22571 1/0/0 (80)
15:00:05.804799 IP static-ip-78-20-128-86.inaddr.intergenia.de.41425 > ns3-coloc.hetzner.de.domain: 23113+ PTR? 86-128-20-78.in-addr.arpa. (43)
15:00:05.812361 IP ns3-coloc.hetzner.de.domain > static-ip-78-20-128-86.inaddr.intergenia.de.41425: 23113 Refused- [0q] 0/0/0 (12)
15:00:08.807645 IP static-ip-78-20-128-86.inaddr.intergenia.de.34459 > static-ip-78-20-64-10.inaddr.intergenia.de.domain: 23113+ PTR? 86-128-20-78.in-addr.arpa. (43)
15:00:08.959035 IP static-ip-78-20-64-10.inaddr.intergenia.de.domain > static-ip-78-20-128-86.inaddr.intergenia.de.34459: 23113 1/0/0 (100)
^C
40 packets captured
40 packets received by filter
0 packets dropped by kernel

Ich habe die Hetzner DNS Server verwendet - 213.133.100.100 bzw. die anderen beiden. Vielleicht erlaubt Hetzner keine "fremden" dns Anfragen?

spoensche · 2 Juni 2011

Die Ausgabe von nslookup fehlt noch.

PS:
VMware Player auf einem Server ist doch wohl nicht dein ernst, genauo so wie die damit verbundene GUI oder?

framp · 2 Juni 2011

...15:00:05.503546 IP static-ip-78-20-128-86.inaddr.intergenia.de.63745 > ns1-coloc.hetzner.de.domain: 2+ A? www.google.de. (31)
15:00:05.512974 IP ns1-coloc.hetzner.de.domain > static-ip-78-20-128-86.inaddr.intergenia.de.63745: 2 Refused- [0q] 0/0/0 (12)
15:00:05.513730 IP static-ip-78-20-128-86.inaddr.intergenia.de.63746 > ns1-coloc.hetzner.de.domain: 3+ AAAA? www.google.de. (31)
15:00:05.523075 IP ns1-coloc.hetzner.de.domain > static-ip-78-20-128-86.inaddr.intergenia.de.63746: 3 Refused- [0q] 0/0/0 (12)
15:00:05.524275 IP static-ip-78-20-128-86.inaddr.intergenia.de.63747 > ns1-coloc.hetzner.de.domain: 4+ A? www.google.de. (31)
15:00:05.534393 IP ns1-coloc.hetzner.de.domain > static-ip-78-20-128-86.inaddr.intergenia.de.63747: 4 Refused- [0q] 0/0/0 (12)
15:00:05.535759 IP static-ip-78-20-128-86.inaddr.intergenia.de.63748 > ns1-coloc.hetzner.de.domain: 5+ AAAA? www.google.de. (31)
15:00:05.545325 IP ns1-coloc.hetzner.de.domain > static-ip-78-20-128-86.inaddr.intergenia.de.63748: 5 Refused- [0q] 0/0/0 (12)...

Die DNS Requests werden abgewiesen. Sieht mir so aus als würde hetzner nur seine IPs zum DNS zulassen. Konfiguriere doch mal einen öffentlichen DNS

$cruffy · 2 Juni 2011

Hey, suppi. Das hat geklappt! Danke schön.

Es ist echt komisch, ich hatte so um die 12 verschiedene DNS Server ausprobiert. Ausser denen von Hetzner auch welche von hier: http://provider-stoerung.de/blog/ubersicht-dns-server/

Aber alle diese hatten auch nicht funktioniert!

Ich habe jetzt google genomen - 8.8.8.8 und 8.8.4.4

Damit geht es endlich!

Danke schön für die Hilfe nochmal ;-) :cuinlove:

@ spoensche
Es ist ein "Geheimprojekt" - sicherlich keine übliche Vorgehensweise, aber in Zeiten von Wolkensurfen eine interessante Geschichte. Nur ein privatprojekt, keine große Sache die das Fortbestehen des Internet gefährden würde.

[gelöst] iptables lässt alles ausser dns durch

$cruffy

Member

framp

Moderator

$cruffy

Member

spoensche

Moderator

framp

Moderator

$cruffy

Member