Solaris11 und komplexe Netzwerke: kein Routing

0

Ich habe einen Server mit Solaris11.4, zwei Netzwerkkarten, die ich zum Testen, Lernen usw. verwende. Ich habe ein Netzwerk, die klassische 192.168.0.0/24. Aber für virtuelle Maschinen möchte ich ein anderes Netzwerk 10.2.0.0/24 verwenden Ich folge dieser Prozedur

a) Zuerst habe ich eine Bridge mit net1 und net0 angelegt, sonst startet net1 "disconnected"

dladm create-bridge -l net0 -l net1 bridge1

b) Dann konfiguriere ich ipv4 addr für net1

ipadm create-ip net1
ipadm create-addr -T static -a 10.2.0.1 net1

ipadm und dladm melden keine fehler

c) Dann laufe ich auf dem Solaris11-Server isc-dhcp und isc-dns

d) Ich habe VirtualBox installiert, Maschinen mit Bridged-Networking-Punkt zu net1

e) Ich habe die Firewall mit nat konfiguriert

#Vars
ext_if="net0"
int_if="net1"
virt_if="vnic0"
ext_net="192.168.0.0/24"
int_net="10.2.0.0/24"
webports="{443, 80}"

##  make IP reassembly work
set reassemble yes no-df

## ignore loopback traffic
set skip on lo0

# block everything unless told otherwise
# and send TCP-RST/ICMP unreachable
# for every packet which gets blocked
block return in log all
pass out all

# accept incoming SSH connections
pass in proto tcp to any port 2122

# accept dhcp connections
pass in proto udp to any port 67:69
pass in proto tcp to any port 67:69

# accept dns connections
pass in proto udp to any port 53
pass in proto tcp to any port 53

# accept webeservers SSH connections
pass in proto tcp to $ext_if port 8888:8889
pass in proto tcp to $ext_if port $webports

# accept icmp
pass in proto icmp all

## allow all connections initiated from this system,
## including DHCP requests
pass out

#nat
pass out on net0 from $int_net  to any nat-to (net0)

f) Mit routeadm habe ich Routing und IP-Forwarding aktiviert.

Nun ist das "Ergebnis"

Ich kann 10.2.0.0/24 von 192.168.0.0/24 OK anpingen. Ich kann 192.168.0.0/24 von 10.2.0.0/24 VMs anpingen. OK Ich kann externe Adressen (google.de usw.) von 10.2.0.0/24 VMs anpingen OK, ich kann keine Verbindung mit einem Protokoll von der VM herstellen !! NICHT OK Natürlich habe ich die Route mit netstat -rn überprüft und 10.2.0.1 als Standard (korrekt) angegeben. Aber Telnet, Links, Yum und jede Art von Verbindung scheitern! Nur Ping und DNS-Auflösung funktioniert (sic!) Was zu überprüfen?

Elbarna
quelle

Antworten:

-2

Lösung gefunden: Firewall zu restriktiv. Ich benutze diese /etc/firewall/pf.conf., funktioniert problemlos

# Vars
ext_if="net0"
int_if="net1"
ext_net="192.168.0.0/24"
int_net="10.2.0.0/24"
webports="{443, 80}"

##  make IP reassembly work
set reassemble yes no-df

## ignore loopback traffic
set skip on lo0

# block everything unless told otherwise
# and send TCP-RST/ICMP unreachable
# for every packet which gets blocked
block return in log all
pass out all

# Pass
pass in on $int_if proto tcp from $ext_net to any keep state
pass in on $int_if proto udp from $ext_net to any keep state
pass in on $int_if proto tcp from $int_net to any keep state
pass in on $int_if proto udp from $int_net to any keep state

# accept incoming SSH connections
pass in proto tcp from any to $ext_if port 22

# accept dhcp connections
pass in proto udp to any port 67:69
pass in proto tcp to any port 67:69

# accept dns connections
pass in proto udp to any port 53
pass in proto tcp to any port 53

# accept webeservers connections
pass in proto tcp to $ext_if port $webports

# accept icmp
pass in proto icmp all

## allow all connections initiated from this system,
## including DHCP requests
pass out

#nat
pass out on net0 from $int_net to any nat-to (net0)
Elbarna
quelle
Bitte bearbeiten Sie Ihre Antwort , um mehr Details zu umfassen, einschließlich der genauen Schritte erforderlich , um das Problem zu lösen. Anderenfalls wird zukünftigen Besuchern mit derselben Frage nicht geholfen.
Twisty Imitator
Es könnte anderen helfen, über den Problemlösungsprozess zu sprechen, was das eigentliche Problem war und wie Sie es schließlich behoben haben. Zu restriktive Firewalls sind ein Problem oder sogar ein Symptom, aber nur eine Lösung für "die Firewall ist zu locker"
Journeyman Geek
Richtig, ich bearbeite jetzt, ich kann das gestern nicht machen, weil ich zu beschäftigt mit der Netzwerkpraxis bin
elbarna