Discussion:
ping sendmsg operation not permitted
(demasiado antiguo para responder)
Nahuel Neva
2010-04-30 00:40:01 UTC
Permalink
Buenas nuevamente.
Les comento:


Tengo un servidor debian funcionando como firewall. El inconveniente que
surge es que desde esa pc no puedo realizar pings hacia afuera ni por nombre
ni por direccion ip a ningun lado, excepto hacia la red interna que si me
responde sin problemas.
Hacia afuera va el siguiente mensaje:

"ping: sendmsg operation not permitted"

otra curiosidad es que desde cualquier maquina de la red interna puedo
pingear hacia afuera sin problemas. Y de afuera hacia adentro tampoco hay
inconveniente.
Es decir que el servidor es la unica pc que no puede realizar esas
solicitudes.
El el iptables están las reglas correspondientes para poder aceptar los
icmp, tanto para ida y vuelta.
Tambien miré la siguiente direccion por las dudas:
/proc/sys/net/ipv4/icmp_echo_ignore_all , la cual se encuentra en "0" lo que
significa que el ping está activado.
Alguna idea?
Muchas gracias!
Nahuel.
andres cespedes
2010-04-30 01:50:01 UTC
Permalink
Hola Nahuel,

Que reglas tenes para permitir el ping?

Con la cadena FORWARD sería para permitir el ping desde la red lan hacia
otra red (internet), pero para permitir la salida del ping desde el propio
Firewall sería en la cadena OUTPUT y si tenes un DROP por defecto tambien
tenes que habilitar la entrada del paquete o sea la regla en INPUT.
Nahuel Neva
2010-04-30 02:00:02 UTC
Permalink
tengo politicas DROP por defecto,

te copio la reglas input y output:


# ----- INPUT ---
-A INPUT -i tun+ -j ACCEPT
-A INPUT -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -p udp -m udp --dport 12122 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j eth0_in
-A INPUT -i eth1 -j eth1_in
*-A INPUT -p icmp -j ACCEPT*
-A INPUT -s 10.0.0.0/255.255.255.0 -p icmp -j ACCEPT

# ----- OUTPUT ---
-A OUTPUT -o tun+ -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 67:68 -j ACCEPT
-A OUTPUT -o eth0 -j fw2net
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -p ah -j ACCEPT
-A OUTPUT -p esp -j ACCEPT
-A OUTPUT -p udp -m udp --dport 500 -j ACCEPT
*-A OUTPUT -p icmp -j ACCEPT*
-A OUTPUT -j common
-A OUTPUT -j LOG --log-prefix "Iptables:OUTPUT:DROP:" --log-level 6

Saludos!
Post by andres cespedes
Hola Nahuel,
Que reglas tenes para permitir el ping?
Con la cadena FORWARD sería para permitir el ping desde la red lan hacia
otra red (internet), pero para permitir la salida del ping desde el propio
Firewall sería en la cadena OUTPUT y si tenes un DROP por defecto tambien
tenes que habilitar la entrada del paquete o sea la regla en INPUT.
Javier Rojas
2010-04-30 03:40:02 UTC
Permalink
Post by Nahuel Neva
"ping: sendmsg operation not permitted"
ha probado haciendo el ping desde la cuenta de root? qué resultado
obtiene en ese caso?
--
Javier Rojas

GPG Key ID: 0x24E00D68
Carlos Alberto Lopez Perez
2010-04-30 09:40:02 UTC
Permalink
Hola,

Parece claramente un problema de permisos.

/bin/ping debe estar con el bit suid activado y pertenecer a root.

Comprueba que /bin/ping pertenece a root y tiene el bit suid activado.

Si no es el caso:
$ sudo chown root.root /bin/ping
$ sudo chmod +s /bin/ping

Si esto no lo resuelve comprueba que la propia carpeta /bin pertenezca a root.

Saludos!
Post by Nahuel Neva
Buenas nuevamente.
Tengo un servidor debian funcionando como firewall. El inconveniente que
surge es que desde esa pc no puedo realizar pings hacia afuera ni por nombre
ni por direccion ip a ningun lado, excepto hacia la red interna que si me
responde sin problemas.
"ping: sendmsg operation not permitted"
otra curiosidad es que desde cualquier maquina de la red interna puedo
pingear hacia afuera sin problemas. Y de afuera hacia adentro tampoco hay
inconveniente.
Es decir que el servidor es la unica pc que no puede realizar esas
solicitudes.
El el iptables están las reglas correspondientes para poder aceptar los
icmp, tanto para ida y vuelta.
/proc/sys/net/ipv4/icmp_echo_ignore_all , la cual se encuentra en "0" lo que
significa que el ping está activado.
Alguna idea?
Muchas gracias!
Nahuel.
Pedro M. López
2010-04-30 10:20:01 UTC
Permalink
El Fri, 30 Apr 2010 11:28:58 +0200
Post by Carlos Alberto Lopez Perez
Hola,
Parece claramente un problema de permisos.
/bin/ping debe estar con el bit suid activado y pertenecer a root.
Comprueba que /bin/ping pertenece a root y tiene el bit suid activado.
$ sudo chown root.root /bin/ping
$ sudo chmod +s /bin/ping
Si esto no lo resuelve comprueba que la propia carpeta /bin
pertenezca a root.
Saludos!
Post by Nahuel Neva
Buenas nuevamente.
Tengo un servidor debian funcionando como firewall. El
inconveniente que surge es que desde esa pc no puedo realizar pings
hacia afuera ni por nombre ni por direccion ip a ningun lado,
excepto hacia la red interna que si me responde sin problemas.
"ping: sendmsg operation not permitted"
otra curiosidad es que desde cualquier maquina de la red interna
puedo pingear hacia afuera sin problemas. Y de afuera hacia adentro
tampoco hay inconveniente.
Es decir que el servidor es la unica pc que no puede realizar esas
solicitudes.
El el iptables están las reglas correspondientes para poder aceptar
los icmp, tanto para ida y vuelta.
/proc/sys/net/ipv4/icmp_echo_ignore_all , la cual se encuentra en
"0" lo que significa que el ping está activado.
Alguna idea?
Muchas gracias!
Nahuel.
He de decir que no es un tema de permisos, es la configuración del
firewall

Asegúrate de que tienes una regla como la siguiente (el 8 es la salida
del ping, echo request, el 3 es echo reply si mal no recuerdo

iptables -A OUTPUT -o eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT

Otra opción podría ser indicar el interfaz a la hora de levantar la
regla del icmp tanto en la entrada como la salida (para poder emitir
pings y recibirlos)

PD: Como recomendación, a la hora de configurar un firewall, suelo
poner que saque por el syslog todos los paquetes que rechaza, así
puedes comprobar que hace lo que deseas.
--
To UNSUBSCRIBE, email to debian-user-spanish-***@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact ***@lists.debian.org
Archive: http://lists.debian.org/***@multimensaje.es
Juan Serra Costa
2010-04-30 10:20:02 UTC
Permalink
En Fri, 30 Apr 2010 11:28:58 +0200, Carlos Alberto Lopez Perez =
Post by Carlos Alberto Lopez Perez
Hola,
Parece claramente un problema de permisos.
/bin/ping debe estar con el bit suid activado y pertenecer a root.
Comprueba que /bin/ping pertenece a root y tiene el bit suid activado.=
$ sudo chown root.root /bin/ping
$ sudo chmod +s /bin/ping
Si esto no lo resuelve comprueba que la propia carpeta /bin pertenezca=
a =
Post by Carlos Alberto Lopez Perez
root.
Saludos!
Post by Nahuel Neva
Buenas nuevamente.
Tengo un servidor debian funcionando como firewall. El inconveniente =
que
Post by Carlos Alberto Lopez Perez
Post by Nahuel Neva
surge es que desde esa pc no puedo realizar pings hacia afuera ni por=
=
Post by Carlos Alberto Lopez Perez
Post by Nahuel Neva
nombre
ni por direccion ip a ningun lado, excepto hacia la red interna que s=
i =
Post by Carlos Alberto Lopez Perez
Post by Nahuel Neva
me
responde sin problemas.
"ping: sendmsg operation not permitted"
otra curiosidad es que desde cualquier maquina de la red interna pued=
o
Post by Carlos Alberto Lopez Perez
Post by Nahuel Neva
pingear hacia afuera sin problemas. Y de afuera hacia adentro tampoco=
=
Post by Carlos Alberto Lopez Perez
Post by Nahuel Neva
hay
inconveniente.
Es decir que el servidor es la unica pc que no puede realizar esas
solicitudes.
El el iptables est=C3=A1n las reglas correspondientes para poder acep=
tar los
Post by Carlos Alberto Lopez Perez
Post by Nahuel Neva
icmp, tanto para ida y vuelta.
/proc/sys/net/ipv4/icmp_echo_ignore_all , la cual se encuentra en "0"=
=
Post by Carlos Alberto Lopez Perez
Post by Nahuel Neva
lo que
significa que el ping est=C3=A1 activado.
Alguna idea?
Muchas gracias!
Nahuel.
Aunque no es una soluci=C3=B3n. Siempre puedes utilizar nmap.

nmap -sP host


-- =

Usando el nov=C3=ADsimo cliente de correo de Opera: http://www.opera.com=
/mail/
--
To UNSUBSCRIBE, email to debian-user-spanish-***@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact ***@lists.debian.org
Archive: http://lists.debian.org/***@azha
Leonel Hernández Grandela
2010-04-30 12:20:02 UTC
Permalink
Post by Juan Serra Costa
En Fri, 30 Apr 2010 11:28:58 +0200, Carlos Alberto Lopez Perez
Post by Carlos Alberto Lopez Perez
Hola,
Parece claramente un problema de permisos.
/bin/ping debe estar con el bit suid activado y pertenecer a root.
Comprueba que /bin/ping pertenece a root y tiene el bit suid activado.
$ sudo chown root.root /bin/ping
$ sudo chmod +s /bin/ping
Si esto no lo resuelve comprueba que la propia carpeta /bin
pertenezca a root.
Saludos!
Post by Nahuel Neva
Buenas nuevamente.
Tengo un servidor debian funcionando como firewall. El inconveniente que
surge es que desde esa pc no puedo realizar pings hacia afuera ni por nombre
ni por direccion ip a ningun lado, excepto hacia la red interna que si me
responde sin problemas.
"ping: sendmsg operation not permitted"
otra curiosidad es que desde cualquier maquina de la red interna puedo
pingear hacia afuera sin problemas. Y de afuera hacia adentro tampoco hay
inconveniente.
Es decir que el servidor es la unica pc que no puede realizar esas
solicitudes.
El el iptables están las reglas correspondientes para poder aceptar los
icmp, tanto para ida y vuelta.
/proc/sys/net/ipv4/icmp_echo_ignore_all , la cual se encuentra en "0" lo que
significa que el ping está activado.
Alguna idea?
Muchas gracias!
Nahuel.
Aunque no es una solución. Siempre puedes utilizar nmap.
nmap -sP host
a ver que creo que tienes un error en tu config si algun experto en el
tema ve que no es así favor de corregidme .. pero pienso que :
# ----- INPUT ---
-A INPUT -i tun+ -j ACCEPT
-A INPUT -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -p udp -m udp --dport 12122 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j eth0_in
-A INPUT -i eth1 -j eth1_in
*-A INPUT -p icmp -j ACCEPT*
-A INPUT -s 10.0.0.0/255.255.255.0 <http://10.0.0.0/255.255.255.0> -p
icmp -j ACCEPT

estas son las reglas que pegastes aca en el hilo que tienes confiurada ..
en esta regla *-A INPUT -p icmp -j ACCEPT *permites el* icmp *tienes y
el parámetro -j pero no especificas por que interfaz de red sera
escuchada esa regla*

*en esta otra regla ..* *-A INPUT -s 10.0.0.0/255.255.255.0
<http://10.0.0.0/255.255.255.0> -p icmp -j ACCEPT especificas el rango
de ip con el que se permitirá hacer ping -s 10.0.0.0.0 que debe ser tu
red local e ahi el hecho del que puedas hacer ping igualmente seguido
con el parámetro -j pero tampoco especificas la interfaz de red por
donde escuchará esa regla ..

ahora me imagino que si añades estos resolverías tu problema
*-A INPUT -p icmp -j *eth0_in *ACCEPT*
*-A INPUT -p icmp -j *eth1_in *ACCEPT*
*

saludos
*

--

Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas

Infomed: http://www.sld.cu/
--
To UNSUBSCRIBE, email to debian-user-spanish-***@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact ***@lists.debian.org
Archive: http://lists.debian.org/***@filialfcm.ssp.sld.cu
andres cespedes
2010-04-30 13:10:01 UTC
Permalink
Hola,

al igual que pedro no creo que sea problemas de permisos, es problemas en la
configuración de las reglas, te recomiendo que seas más especifico en las
reglas, indicando la interfaz de salida y/o de entrada.

Ej.
iptables -A OUTPUT -o "interface_salida" -p icmp -j ACCEPT
iptables -A INPUT -i "interface_entrada" -p icmp -j ACCEPT
Nahuel Neva
2010-04-30 22:10:01 UTC
Permalink
Eh resuelto el problema, de la forma que me dijo Leonel:

*ahora me imagino que si añades estos resolverías tu problema
*-A INPUT -p icmp -j *eth0_in *ACCEPT*
*-A INPUT -p icmp -j *eth1_in *ACCEPT**

agregando esas lineas salió andando.
Muchas gracias a todos y disculpen la demora de mi respuesta.
Nahuel.
Leonel Hernández Grandela
2010-04-30 23:40:02 UTC
Permalink
/ahora me imagino que si añades estos resolverías tu problema
*-A INPUT -p icmp -j *eth0_in *ACCEPT*
*-A INPUT -p icmp -j *eth1_in *ACCEPT*/
agregando esas lineas salió andando.
Muchas gracias a todos y disculpen la demora de mi respuesta.
Nahuel.
me alegro que hayas podido resolver saludos ;)

--

Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas

Infomed: http://www.sld.cu/
--
To UNSUBSCRIBE, email to debian-user-spanish-***@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact ***@lists.debian.org
Archive: http://lists.debian.org/***@filialfcm.ssp.sld.cu
Loading...