"Daniel Schroeder"
Hi!
Ich habe hier eine SuSE 7.0 (Kernel 2.2.16) als ISDN-Dial-on-Demand-Router mit Masquerading und SuSEfirewall laufen.
Klappt soweit auch ziemlich gut. Wenn ich aber von meiner Windows-Kiste mit Outlook ein POP3-Postfach abfragen will, und die ISDN-Verbindung steht gerade nicht, kriege ich einen Timeout. Wenn ich's dann gleich nochmal probiere, geht's. Mir fallen zwei mögliche Gründe dafür ein, und zu beiden habe ich 'ne Frage.
a) der POP3-Request (oder vielleicht sogar die DNS-Anfrage für den POP3-Server kurz davor?) geht verloren. Kann das sein? Wenn ja - was kann man dagegen tun?
Das koennte eine Ursache sein. Ist denn dynamic IP_patch aktiviert ? Was gibt denn cat /proc/sys/net/ipv4/ip_dynaddr aus ? Es sollte '7' sein.
b) der Router ist ein alter 486DX2/66. Das Script ip-up braucht ewig - ungefähr 16 Sekunden. Könnte das Problem ein schlichter Time-Out sein? Die Fehlermeldung von Outlook kommt allerdings erst etliche Sekunden, nachdem das Script fertig ist. Die allermeiste Zeit geht in ip-up für SuSEfirewall drauf. Frage: gibt es eine Möglichkeit, SuSEfirewall nicht in ip-up, sondern einmal beim Booten laufen zu lassen? Der Versuch, es bei ip-up einfach rauszunehmen (natürlich auch für ip-down) und vorher "zu Fuß" aufzurufen, hat nicht funktioniert. Ganz so einfach isses also wohl nicht. Kann mir jemand helfen?
Wieviele ipchains Regeln sind denn in dem Firewall Script enthalten ? Wenn es mehr als 50 Regeln sind, ist schon ein Leistungsverlust des Kernels bemerkbar, bei mehr als 250 werden es ueber 10 %. Ich habe aus den gleichen Gruenden bei mir (SuSE-6.3, P-100) firewal nicht ausgefuehrt und stattdessen eigene Filterregeln definiert, die schon beim booten geladen werden. Suse-firewal muss ja nur in ip-ip ausgefuehrt werden um die dynamisch zugewiesene Adresse zu laden. Bei ipchains kann ja auch statt der Adresse ein Interface angesprochen werden, dann benoetigt man keine Adresse.
Falls SuSEfirewall unbedingt in ip-up laufen muss - kann man Teile davon auslagern? Ich meine, müssen z.B. die ip_masq-Module wirklich jedesmal neu geladen werden? Welche Teile brauchen eigentlich die meiste Zeit? Ich fürchte ja fast, es verteilt sich ziemlich gleichmäßig über das Skript...
Auf meinem ISDN-Gateway habe ich 44 Filterregeln und das ftp_masq Modul definiert, die schon beim booten geladen werden. Wobei mir bewusst ist, dass damit eine Sicherheitsluecke entsteht, aber damit kann ich leben. Gruss Dieter -- Dieter Kluenter | Systemberatung BFI Rendering und Image Processing Tel: 040.64861967 | Fax: 040.64891521
Hi!
a) der POP3-Request (oder vielleicht sogar die DNS-Anfrage für den POP3-Server kurz davor?) geht verloren. Kann das sein? Wenn ja - was kann man dagegen tun?
Das koennte eine Ursache sein. Ist denn dynamic IP_patch aktiviert ?
Was gibt denn cat /proc/sys/net/ipv4/ip_dynaddr aus ? Es sollte '7' sein.
Ja, ist aktiviert, und cat /proc/sys/net/ipv4/ip_dynaddr gibt tatsächlich eine 7 aus. Ich habe inzwischen auch noch die Änderung gemäß http://support.suse.de/sdb/de/html/bg_dynamic.html eingebaut (das 'dynamic' aus der $IF_CONFIG_x in rc.config raus und in zwei Aufrufe in ip-up rein), aber das hat nichts geändert. Bei der Gelegenheit: dieser Patch ist laut SuSE-DB für die SuSE 6.3 gedacht. Braucht man ihn für die 7.0 noch, oder ist das Problem da anders behoben?
Wieviele ipchains Regeln sind denn in dem Firewall Script enthalten ? Wenn es mehr als 50 Regeln sind, ist schon ein Leistungsverlust des Kernels bemerkbar, bei mehr als 250 werden es ueber 10 %.
Es ist ja nicht so, dass der ganze Rechner langsamer würde. Nur das Skript braucht ewig, bis es fertig ist. Ich hatte z.B. mal die Ausgabeumleitung nach dev/null hinter dem insmod-Aufruf weggemacht - das Laden der ip_masq-Module alleine braucht etwa 2-3 Sekunden. Ich verwende das originale SuSEfirewall-Skript. Es enthält 144 mal den String $IPCHAINS - ein paar davon sind bestimmt Kommentare oder werden nur unter bestimmten Bedingungen ausgeführt, aber es bleiben eine Menge. ipchains -L liefert 66 Regeln. Aber, wie gesagt, sobald die Verbindung mal steht, bin ich mit der Performance glücklich.
Ich habe aus den gleichen Gruenden bei mir (SuSE-6.3, P-100) firewal nicht ausgefuehrt und stattdessen eigene Filterregeln definiert, die schon beim booten geladen werden. Suse-firewal muss ja nur in ip-ip ausgefuehrt werden um die dynamisch zugewiesene Adresse zu laden. Bei ipchains kann ja auch statt der Adresse ein Interface angesprochen werden, dann benoetigt man keine Adresse.
Klingt wie ein guter Plan. Allerdings hat sich SuSE betimmt 'ne Menge Gedanken gemacht, als sie das SuSEfirewall-Skript gebaut haben, von daher würde ich es gerne als Ausgangspunkt nehmen. Konkrete Frage also: was muss ich aus dem SuSEfirewalls rausnehmen, damit ich's auch schon beim Booten ausführen kann, und kann ich ein deutlich kleineres Skript schreiben, was dann in ip-up ausgeführt wird, und das die fehlenden Regeln "nachreicht"? Cheers Daniel PS: Ich merke gerade, dass das mit ISDN nur am Rand zu tun hat - vielleicht bin ich damit etwas OT. Sorry...
participants (2)
-
Daniel Schroeder
-
Dieter Kluenter