Hallo, es ist doch ein Problem aufgetreten. Ich habe schon laut geschrien, mein Firewall und Masq funktionieren gut, aber dem ist nicht ganz so. Das übliche Problem: www.suse.de und ein paar andere Server (z.B. microsoft ;-)) kann ich erreichen, die meisten nicht. Die mtu habe ich heruntergesetzt auf 1400 für intern, und mtu und mru auf1492 für ppp0, wie im http://sdb.suse.de/de/sdb/html/cg_pmtu2.html beschrieben. Vom Router kann ich z.B. www.t-online.de erreichen, von dem lokalen Netz nicht. Ich tippe auf irgendwelche Regelprobleme, habe alle Ports geschlossen, bis auf dieses: FW_SERVICES_EXT_TCP="www" FW_SERVICES_EXT_UDP="domain" FW_SERVICES_EXT_IP="" # FW_SERVICES_DMZ_TCP="21 22 53" FW_SERVICES_DMZ_UDP="53" FW_SERVICES_DMZ_IP="" # FW_SERVICES_INT_TCP="25 53 80 110" FW_SERVICES_INT_UDP="53" FW_SERVICES_INT_IP="" so den Durchblick habe ich leider noch nicht :-(( grüße aus dem aaaaaakalten Berlin Waldemar
On Thursday, 20. December 2001 18:00, Waldemar Krzok wrote:
Die mtu habe ich heruntergesetzt auf 1400 für intern, und mtu und mru auf1492 für ppp0, wie im http://sdb.suse.de/de/sdb/html/cg_pmtu2.html beschrieben.
Tja, das ist so ne Sache. Ich hab dasselbe Problem und keine eigentliche Lösung, aber einen Workaround. Greif über einen Proxy aufs Netz zu, zB squid. Das funktioniert bei mir schnell und v.a. transparent, ich gebe ihm einfach keinen Speicher, d.h. es entsteht kein Problem mit veralteten Seiten usw. Sicherer ist es auch. Wenn Du ne Lösung für das eigentliche Problem findest, dann laß hören. Aber mit der Proxy-Lösung kann man ganz gut leben. -- Andreas Feile <lists@feile.net> www.feile.net
Hallo, Andreas Feile schrieb:
On Thursday, 20. December 2001 18:00, Waldemar Krzok wrote:
Die mtu habe ich heruntergesetzt auf 1400 für intern, und mtu und mru auf1492 für ppp0, wie im http://sdb.suse.de/de/sdb/html/cg_pmtu2.html beschrieben.
Tja, das ist so ne Sache. Ich hab dasselbe Problem und keine eigentliche Lösung, aber einen Workaround. Greif über einen Proxy aufs Netz zu, zB squid. Das funktioniert bei mir schnell und v.a. transparent, ich gebe ihm einfach keinen Speicher, d.h. es entsteht kein Problem mit veralteten Seiten usw. Sicherer ist es auch.
Man kann das sehr schön kombinieren: Einige Rechner dürfen nur über Proxy und lokalen Mailserver, der Admin hat freien Zugriff auf alles. Und wieder andere dürfen zwar ohne Proxy ins Internet, können aber auf keinen externen Mailserver zugreifen. Und das geht alles mit SuSE 7.3 und firewall2 . . .
Wenn Du ne Lösung für das eigentliche Problem findest, dann laß hören.
Fehlermeldungen sind zwar manchmal eher lästig, häufiger aber der einzige Weg zur Problemlösung. Aber die Inhalte der Logs behaltet Ihr wohl lieber für Euch - dabei findet man dort nichts Anstössiges ;-) Oder habt Ihr sie nicht einmal zur Kenntnis genommen ? horst
Hallo, Waldemar Krzok schrieb:
Ich habe schon laut geschrien, mein Firewall und Masq funktionieren gut, aber dem ist nicht ganz so. Das übliche Problem: www.suse.de und ein paar andere Server (z.B. microsoft ;-)) kann ich erreichen, die meisten nicht. Die mtu habe ich heruntergesetzt auf 1400 für intern, und mtu und mru auf1492 für ppp0, wie im http://sdb.suse.de/de/sdb/html/cg_pmtu2.html beschrieben. Vom Router kann ich z.B. www.t-online.de erreichen, von dem lokalen Netz nicht.
Welche Meldung bringt der WinClient bei einem ping auf www.t-online.de ?
FW_SERVICES_EXT_TCP="www"
Läuft bei Dir ein Webserver ?
# FW_SERVICES_DMZ_TCP="21 22 53" FW_SERVICES_DMZ_UDP="53" FW_SERVICES_DMZ_IP=""
Hast Du wirklich eine DMZ ?
# FW_SERVICES_INT_TCP="25 53 80 110" FW_SERVICES_INT_UDP="53" FW_SERVICES_INT_IP=""
Und was steht da sonst noch drin ? Welche Meldungen produziert ein Zugriff der Clients in den Logs ? /var/log/messages und /var/log/firewall horst
Ich habe schon laut geschrien, mein Firewall und Masq funktionieren gut, aber dem ist nicht ganz so. Das übliche Problem: www.suse.de und ein paar andere Server (z.B. microsoft ;-)) kann ich erreichen, die meisten nicht. Die mtu habe ich heruntergesetzt auf 1400 für intern, und mtu und mru auf1492 für ppp0, wie im http://sdb.suse.de/de/sdb/html/cg_pmtu2.html beschrieben. Vom Router kann ich z.B. www.t-online.de erreichen, von dem lokalen Netz nicht.
Welche Meldung bringt der WinClient bei einem ping auf www.t-online.de ?
klappt ohne Probleme.
FW_SERVICES_EXT_TCP="www"
Läuft bei Dir ein Webserver ?
noch nicht, aber eventuell soll. Schmeisse aber bis dato weg.
# FW_SERVICES_DMZ_TCP="21 22 53" FW_SERVICES_DMZ_UDP="53" FW_SERVICES_DMZ_IP=""
Hast Du wirklich eine DMZ ?
nein, habe ich nicht. Ich habe nicht besser gewusst und so belassen wie es war.
# FW_SERVICES_INT_TCP="25 53 80 110" FW_SERVICES_INT_UDP="53" FW_SERVICES_INT_IP=""
Und was steht da sonst noch drin ?
hier der Rest.
FW_MASQ_NETS="192.168.0.0/24" FW_PROTECT_FROM_INTERNAL="no" FW_AUTOPROTECT_SERVICES="yes" FW_TRUSTED_NETS="192.168.0.0/24" FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" FW_SERVICE_AUTODETECT="yes" FW_SERVICE_DNS="yes" FW_SERVICE_DHCLIENT="no" FW_SERVICE_DHCPD="no" FW_SERVICE_SAMBA="yes" FW_FORWARD="" FW_FORWARD_MASQ="" FW_REDIRECT="" FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="yes" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" FW_KERNEL_SECURITY="yes" FW_STOP_KEEP_ROUTING_STATE="yes" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_PING_EXT="yes" FW_ALLOW_FW_TRACEROUTE="yes" FW_ALLOW_FW_SOURCEQUENCH="yes" FW_ALLOW_FW_BROADCAST="no" FW_IGNORE_FW_BROADCAST="no" FW_ALLOW_CLASS_ROUTING="no" FW_SERVICE_SQUID="no"
Welche Meldungen produziert ein Zugriff der Clients in den Logs ? /var/log/messages und /var/log/firewall
FIREWALL: nichts neues (alte Fehlermeldungen), habe aber normalprotokoll abgestellt pingwin:/etc/rc.config.d # tail /var/log/firewall Dec 20 16:57:21 pingwin kernel: martian source 169.254.255.255 from 169.254.203.138, on dev eth1 Dec 20 16:57:21 pingwin kernel: ll header: ff:ff:ff:ff:ff:ff:00:50:22:80:22:59:08:00 Dec 20 16:57:21 pingwin kernel: martian source 169.254.255.255 from 169.254.203.138, on dev eth1 Dec 20 16:57:21 pingwin kernel: ll header: ff:ff:ff:ff:ff:ff:00:50:22:80:22:59:08:00 Dec 20 16:58:19 pingwin kernel: SuSE-FW-DROPIN=ppp0 OUT= MAC= SRC=217.120.78.12 DST=217.231.116.51 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=57778 DF PROTO=TCP SPT=2390 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B401010402) Dec 20 16:58:21 pingwin kernel: SuSE-FW-DROPIN=ppp0 OUT= MAC= SRC=217.120.78.12 DST=217.231.116.51 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=58546 DF PROTO=TCP SPT=2390 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B401010402) Dec 20 16:58:27 pingwin kernel: SuSE-FW-DROPIN=ppp0 OUT= MAC= SRC=217.120.78.12 DST=217.231.116.51 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=58802 DF PROTO=TCP SPT=2390 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B401010402) Dec 20 16:58:40 pingwin kernel: SuSE-FW-DROPIN=ppp0 OUT= MAC= SRC=217.120.78.12 DST=217.231.116.51 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=59058 DF PROTO=TCP SPT=2390 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B401010402) Dec 20 17:42:21 pingwin kernel: SuSE-FW-UNALLOWED-ROUTINGIN=ppp0 OUT=eth1 SRC=194.25.2.129 DST=192.168.0.2 LEN=143 TOS=0x00 PREC=0x00 TTL=249 ID=48563 DF PROTO=UDP SPT=53 DPT=1056 LEN=123 Dec 20 17:42:24 pingwin kernel: SuSE-FW-UNALLOWED-ROUTINGIN=eth1 OUT=ppp0 SRC=192.168.0.2 DST=194.25.2.129 LEN=68 TOS=0x00 PREC=0x00 TTL=127 ID=21065 PROTO=UDP SPT=1056 DPT=53 LEN=48
MESSAGES:
pingwin:/etc/rc.config.d # tail /var/log/messages Dec 20 18:47:47 pingwin pppd[1851]: sent [LCP EchoReq id=0x83 magic=0x2c7ae1f4] Dec 20 18:47:47 pingwin pppd[1851]: rcvd [LCP EchoRep id=0x83 magic=0x27ad386c] c2 9a 52 9a 7b 13 69 f1 a4 ac 78 ae 9f 3c 53 b6 e2 b3 9d 29 4a bc 03 e0 d7 e3 Dec 20 18:48:00 pingwin /USR/SBIN/CRON[6370]: (mdom) CMD (/usr/bin/python -S /usr/lib/mailman/cron/qrunner) Dec 20 18:48:17 pingwin pppd[1851]: sent [LCP EchoReq id=0x84 magic=0x2c7ae1f4] Dec 20 18:48:17 pingwin pppd[1851]: rcvd [LCP EchoRep id=0x84 magic=0x27ad386c] 4c 65 64 3e 63 5b d4 3c 23 d6 af 53 0b 1c 57 4f 02 df ad b3 11 2a aa 5a 57 08 Dec 20 18:48:47 pingwin pppd[1851]: sent [LCP EchoReq id=0x85 magic=0x2c7ae1f4] Dec 20 18:48:47 pingwin pppd[1851]: rcvd [LCP EchoRep id=0x85 magic=0x27ad386c] e3 02 98 5c a1 a7 0a 8f 3a 4f 19 36 63 db 52 f6 94 9f 74 d5 6f bf e3 ee 3f fb Dec 20 18:49:00 pingwin /USR/SBIN/CRON[6376]: (mdom) CMD (/usr/bin/python -S /usr/lib/mailman/cron/qrunner) Dec 20 18:49:17 pingwin pppd[1851]: sent [LCP EchoReq id=0x86 magic=0x2c7ae1f4] Dec 20 18:49:17 pingwin pppd[1851]: rcvd [LCP EchoRep id=0x86 magic=0x27ad386c] f7 c0 df bf 1e c2 d0 9b 39 c5 36 9d b3 3f ab 72 7e 07 47 8f 0e 0f 55 c5 72 b4
kann jemand was daraus lesen?
Waldemar
participants (3)
-
Andreas Feile -
Horst Mueller -
waldemar.krzok@t-online.de