Hallo,
Aufbau:
ich habe ein 3 Rechner.
2 virtuelle und 1 physikalischen.
Der physikalische Server ist ein Xen-Server. (Hat eine Firewall)
Der 1ste virtuelle Rechner dient als Firewall, Router usw.
Der 2te virtuelle Rechner dient dahinter als Webserver und zur Datenspeicherung, dieser sollte nur über den 1sten virtuellen Rechner ins Inet.
Der physikalische Rechner hat eine Brigde zu den virtuellen Netzwerk.
Details:
Interfaces
phys1:
eth0 144.XXX.XXX.XXX
virt1:
eth0 144.XXX.XXX.XXX
eth1 192.168.XXX.1
virt2:
eth0 192.168.XXX.2
nameserver
phys + virt1 + virt2
nameserver 213.133.98.98
nameserver 213.133.99.99
nameserver 213.133.100.100
Problem:
Kurz: Beim ersten ping mit einen DNS-Namen hat man keine DNS-Auflösung.
2ten virtuellen Rechner:
Beim ersten versuch sagt die Firewall das:
Die iptable-Regeln auf virt1 dafür aus, wie folgt:
Lang: Der erste DNS-Request bleibt in der Firewall von virt1 stecken und geht so nicht weiter zum DNS-Server damit ich eine Antwort bekomme. Das er in der Firewall stecken bleibt, liegt dadran, das dieser von eht0 -> der Inet IP-Addresse reinkommt und nicht von der eth1 -> internen IP-Addresse.
Mit traceroute bekomme ich leider nicht raus, wie der Ping entlange geht.
Frage:
Wie kann es sein, das der DNS-Request auf eth0 rein kommt, statt auf eth1?
Wie könnte ich dies nachsehen?
bzw. wie kann man das ändern?
Freue mich über Ideen, Hilfen und Tipps.
MfG
Die Frage
Aufbau:
ich habe ein 3 Rechner.
2 virtuelle und 1 physikalischen.
Der physikalische Server ist ein Xen-Server. (Hat eine Firewall)
Der 1ste virtuelle Rechner dient als Firewall, Router usw.
Der 2te virtuelle Rechner dient dahinter als Webserver und zur Datenspeicherung, dieser sollte nur über den 1sten virtuellen Rechner ins Inet.
Der physikalische Rechner hat eine Brigde zu den virtuellen Netzwerk.
Details:
Interfaces
phys1:
eth0 144.XXX.XXX.XXX
virt1:
eth0 144.XXX.XXX.XXX
eth1 192.168.XXX.1
virt2:
eth0 192.168.XXX.2
nameserver
phys + virt1 + virt2
nameserver 213.133.98.98
nameserver 213.133.99.99
nameserver 213.133.100.100
Problem:
Kurz: Beim ersten ping mit einen DNS-Namen hat man keine DNS-Auflösung.
2ten virtuellen Rechner:
Code:
~#ping google.de
ping: unknown host google.de
~# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_req=1 ttl=49 time=11.1 ms
^C
--- 8.8.8.8 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 11.148/11.148/11.148/0.000 ms
~# ping google.de
PING google.de (173.194.66.94) 56(84) bytes of data.
64 bytes from we-in-f94.1e100.net (173.194.66.94): icmp_req=1 ttl=47 time=17.4 ms
^C
--- google.de ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 17.427/17.427/17.427/0.000 ms
~#Code:
Mar 22 15:28:57 virt1 kernel: [ 1384.555603] fwd: IN=eth0 OUT=eth0 SRC=192.168.XXX.2 DST=213.133.98.98 LEN=55 TOS=0x00 PREC=0x00 TTL=63 ID=62229 DF PROTO=UDP SPT=44683 DPT=53 LEN=35
Mar 22 15:29:03 virt1 kernel: [ 1390.561695] fwd: IN=eth0 OUT=eth0 SRC=192.168.XXX.2 DST=213.133.99.99 LEN=55 TOS=0x00 PREC=0x00 TTL=63 ID=60228 DF PROTO=UDP SPT=53596 DPT=53 LEN=35
Mar 22 15:29:08 virt1 kernel: [ 1395.566788] fwd: IN=eth0 OUT=eth0 SRC=192.168.XXX.2 DST=213.133.100.100 LEN=55 TOS=0x00 PREC=0x00 TTL=63 ID=61479 DF PROTO=UDP SPT=36739 DPT=53 LEN=35Code:
iptables -A OUTPUT -o eth0 -p udp --dport domain -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport domain -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p udp --dport domain -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport domain -j ACCEPTMit traceroute bekomme ich leider nicht raus, wie der Ping entlange geht.
Frage:
Wie kann es sein, das der DNS-Request auf eth0 rein kommt, statt auf eth1?
Wie könnte ich dies nachsehen?
bzw. wie kann man das ändern?
Freue mich über Ideen, Hilfen und Tipps.
MfG
Die Frage