Forum Ubuntu-it

Ciao a tutti,

come state?

Vi scrivo perche' non riesco a venire a capo della gestione/configurazione/funzionamento delle due schede di rete presenti in un Dell PowerEdge R200 sul quale ho installato Ubuntu server 8.04 64bit e Zimbra 6.0.6 FOSS (una piattaforma di collaborazione).

OBIETTIVO
Rendere accessibile sia dalla rete locale (client di posta), sia da internet (client di posta, client web, palmari) tale macchina, nessuna esigenza di routing.

COME MI SONO MOSSO
Per far questo ho:

(eth0) registrato un dominio di terzo livello su Aruba con gestione dei DNS ed associato i Record A e MX ad uno degli indirizzi statici fornitomi dal mio provider;
(eth1) configurato l'altra scheda di rete con i settaggi della DMZ gestita da un firewall IPCop.

CONFIGURAZIONI
Posto qui di seguito le configurazioni dei file secondo me coinvolti:
/etc/hosts

Codice: Seleziona tutto

127.0.0.1	localhost
xxx.yyy.zzz.98	zimbra.vattelapesca.ok	zimbra
192.168.3.2	zimbra.vattelapesca.ok	zimbra

# The following lines are desirable for IPv6 capable hosts
::1     ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts

/etc/network/interfaces

Codice: Seleziona tutto

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
	address xxx.yyy.zzz.98
	netmask 255.255.255.248
	network xxx.yyy.zzz.96
	broadcast xxx.yyy.zzz.103
	gateway xxx.yyy.zzz.102
	# dns-* options are implemented by the resolvconf package, if installed
	dns-nameservers 62.149.128.2
	dns-search vattelapesca.ok

# The secondary network interface
auto eth1
iface eth1 inet static
	address 192.168.3.2
	netmask 255.255.255.0
	network 192.168.3.0
	broadcast 192.168.3.255
	gateway 192.168.3.254
	# dns-* options are implemented by the resolvconf package, if installed
	dns-nameservers  62.149.128.2

/etc/resolv.conf

Codice: Seleziona tutto

search vattelapesca.ok
nameserver 62.149.128.2

ANOMALIE
Ho degli occasionali problemi di comunicazione con questo server, sia dalla LAN puntando sull'interfaccia eth1, sia dall'esterno puntando su eth0. Ad esempio:

da rete LAN mi connetto via SSH e "dopo un po'" mi si freeza la shell che quindi chiudo, eth1 correttamente pingabile;
da rete LAN connettendomi via SSH mi chiede subito la passwd, ma dopo averla inserita non mi loggo e vengo sbattuto fuori per time-out, eth1 correttamente pingabile;
da remoto eth0 non pingabile, da locale disattivo e riattivo la scheda (ifconfig eth0 down/up), ma non cambia nulla.

Questi "down" non succedo con cadenze fisse, ma, soprattutto, per la maggior parte del tempo il sistema e' correttamente raggiungibile quindi se per caso non mi sono riuscito ad autenticare in locale via SSH, aspetto un attimo, riprovo, e funge tutto... >:(

Sbaglio qualcosa? C'e' un log specifico che posso consultare per capire cosa capperi succede? Problema software o hardware?

Ho gia' sostituito i cavi di rete e cambiato le porte sui due switch, ma le anomalie resistono... ???

Come sempre grazie in anticipo del supporto,
wo

Esempio di questo comportamento qui:

wodan ha scritto:

...

da rete LAN connettendomi via SSH mi chiede subito la passwd, ma dopo averla inserita non mi loggo e vengo sbattuto fuori per time-out, eth1 correttamente pingabile;

...

Da rete LAN apro una shell e mi autentico via SSH su eth1:

Codice: Seleziona tutto

$ ssh wodan@192.168.3.2
wodan@192.168.3.2's password:

digito la passwd e la shell rimane ferma li'.

Da rete LAN apro una nuova shell e mi autentico via SSH su eth0:

Codice: Seleziona tutto

$ ssh wodan@zimbra.vattelapesca.ok
wodan@zimbra.vattelapesca.ok's password: 
Linux zimbra 2.6.24-27-server #1 SMP Fri Mar 12 01:23:09 UTC 2010 x86_64

The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.

To access official Ubuntu documentation, please visit:
http://help.ubuntu.com/
Last login: Tue Apr 27 17:19:59 2010 from 192.168.1.177
wodan@zimbra:~$
wodan@zimbra:~$ ps aux|grep ssh
root      4500  0.0  0.0  50916  1164 ?        Ss   Apr26   0:00 /usr/sbin/sshd
root     29750  0.0  0.0  67972  2892 ?        Ss   17:19   0:00 sshd: wodan [priv]
1000     29755  0.0  0.0  67972  1740 ?        S    17:19   0:00 sshd: wodan@pts/0
root     30084  0.2  0.0  67972  2900 ?        Ss   17:20   0:00 sshd: wodan [priv]
1000     30210  0.0  0.0  67972  1744 ?        S    17:20   0:00 sshd: wodan@pts/1
1000     30439  0.0  0.0   5164   832 pts/1    R+   17:20   0:00 grep ssh
wodan@zimbra:~$

Nella prima shell infine compare:

Codice: Seleziona tutto

Read from remote host 192.168.3.2: Operation timed out
Connection to 192.168.3.2 closed.
$

e nella seconda correttamente leggo:

Codice: Seleziona tutto

$ ps aux|grep ssh
root      4500  0.0  0.0  50916  1164 ?        Ss   Apr26   0:00 /usr/sbin/sshd
1000      8409  0.0  0.0   5164   828 pts/1    R+   17:30   0:00 grep ssh
root     30084  0.0  0.0  67972  2900 ?        Ss   17:20   0:00 sshd: wodan [priv]
1000     30210  0.0  0.0  67972  1744 ?        S    17:20   0:00 sshd: wodan@pts/1
$

Perche'?? ???

Cosa mi sta sfuggendo?
wo

Ciao a tutti,

mi e' venuto questo dubbio: puo' essere che aver associato il FQDN del server all'IP pubblico di eth1 faccia si' il firewall, quando punto alla scheda di rete in DMZ dalla LAN, faccia confusione perche' "vede" il FQDN associato ad un IP diverso?

Io tutt'ora non mi spiego perche' pingando eth1 dalla rete LAN talvolta e' irraggiungibile, ma se contemporaneamente la pingo da un'altra macchina in DMZ funziona tutto...!

Avete qualche suggerimento da darmi...

wo

IMHO secondo me è la logica che fa un po schifo, almeno da quello che ho capito io.

Praticamente quel server ha un firewall attivo o no??

lo chema del server è questo??

+----------------------------------+ +----------------------------------+
| | Eth1 | |
| Server pubblico |------------------------------| Firewall DMZ ?? | ----------------------------LAN
| | | |
+----------------------------------+ +----------------------------------+
|
| Eth0
|
+----------------------------------+
| |
| Internet |
| |
+----------------------------------+

È cosi la conformazione di rete?? Be se è cosi penso che il problema sia nel Firewall/DMZ.

Cmq secondo me la struttura è sbagliata, totalmente sbagliata.
La cosa giusta sarebbe far fare tutto al firewall: Gestione IP esterni, DMZ, portforward ecc cosi non va bene

Ciao e grazie per la risposta!

No, la struttura della rete e' questa:

internet internet
| |
(eth0) |
server mail (eth1)---+ |
+---DMZ---firewall
server ftp---+ |
|
LAN

Sia il firewall che il server mail hanno una scheda di rete con IP pubblico statico (il traffico internet della rete LAN viene gestito dal firewall).

Di fatto ho aggiunto una seconda scheda di rete al server di posta per sfruttare un altro indirizzo pubblico ed evitare di impostare regole di port-forwarding sul firewall per l'accesso dall'esterno.
L'altro server in DMZ e' un ftp con un'unica scheda di rete e regole di port-forwarding lato firewall.

Dalla LAN il server ftp e' sempre pingabile, mentre il server di posta alle volte e' irraggiungibile, tuttavia facendo un ping contemporaneo dal server ftp quello di posta risponde correttamente: questo mi ha portato a considerare che anziche' essere configurato male il server di posta a livello di schede di rete sia il firewall a non essere correttamente settato.

Alien321 ha scritto: La cosa giusta sarebbe far fare tutto al firewall: Gestione IP esterni,

Il firewall (IPCop) non mi consente la gestione degli indirizzi pubblici per la macchine in DMZ, se e' questo che intendi: ha tre schede di rete, una dedicata ad internet (IP pubblico statico), una alla LAN (192.168.1.0/255.255.255.0), una alla DMZ (192.168.3.0/255.255.2550.0).

E' da togliere la scheda appena aggiunta al server di posta o e' sufficiente agire a livello di firewall?

Davvere grazie per il supporto!
wo

wodan ha scritto: No, la struttura della rete e' questa:

internet internet
| |
(eth0) |
server mail (eth1)---+ |
+---DMZ---firewall
server ftp---+ |
|
LAN

É sbagliata ugualmente, in questo modo il server mail non è sotto firewall ma ha tutto aperto vero internet!!!

wodan ha scritto: Il firewall (IPCop) non mi consente la gestione degli indirizzi pubblici per la macchine in DMZ, se e' questo che intendi: ha tre schede di rete, una dedicata ad internet (IP pubblico statico), una alla LAN (192.168.1.0/255.255.255.0), una alla DMZ (192.168.3.0/255.255.2550.0).

E' da togliere la scheda appena aggiunta al server di posta o e' sufficiente agire a livello di firewall?

Davvere grazie per il supporto!
wo

be come ti dicevo io fare fare tutto al firewall, ora io non conosco molto IPCOP, cmq io farei una cosa di questo tipo:

1) togliere la seconda scheda di rete al mail server.
2) dare un secondo IP alla scheda di rete che va su internet:
eth0: 85.44.33.22 (ip per nat lan ecc)
eth0.1: 85.44.33.23(ip per server mal)
3) gestisco tutto in portforward, redirigo la porta 25,110,ecc

tutto passa per il firewall come è giusto che sia

Forum Ubuntu-it

[Server] Scheda rete WAN + scheda rete DMZ: anomalie nella comunicazione

[Server] Scheda rete WAN + scheda rete DMZ: anomalie nella comunicazione

Re: [Server] Scheda rete WAN + scheda rete DMZ: anomalie nella comunicazione

Re: [Server] Scheda rete WAN + scheda rete DMZ: anomalie nella comunicazione

Re: [Server] Scheda rete WAN + scheda rete DMZ: anomalie nella comunicazione

Re: [Server] Scheda rete WAN + scheda rete DMZ: anomalie nella comunicazione

Re: [Server] Scheda rete WAN + scheda rete DMZ: anomalie nella comunicazione