Hallo Liste, ich versuche, bei mir squid als Proxy zu nutzen. Leider ohne Erfolg. Der Start erfolgt ohne Fehlermeldungen.Die Clients kommen trotzdem nicht an die Web-Seiten. (Die Clienteinstellungen sind entsprechend gesetzt) Der Browser rödelt und rödelt und nix passiert. Ich hab mittlerweile meine bescheidenen Kenntnisse aufgebraucht und bin hilflos. Was muß ich einstellen, damit's funzt? Gruß Florian
Kieling, Florian wrote:
ich versuche, bei mir squid als Proxy zu nutzen. Leider ohne Erfolg. Der Start erfolgt ohne Fehlermeldungen.Die Clients kommen trotzdem nicht an die Web-Seiten. (Die Clienteinstellungen sind entsprechend gesetzt) Der Browser rödelt und rödelt und nix passiert. Ich hab mittlerweile meine bescheidenen Kenntnisse aufgebraucht und bin hilflos. Was muß ich einstellen, damit's funzt?
was hast du denn bisher versucht? das der browser rödelt und rödelt, ohne das was passiert, könnte auf einen blockierenden packetfilter hinweisen ... micha
Am Die, 2002-11-12 um 18.44 schrieb Kieling, Florian:
ich versuche, bei mir squid als Proxy zu nutzen. Leider ohne Erfolg. Der Start erfolgt ohne Fehlermeldungen.Die Clients kommen trotzdem nicht an die Web-Seiten. (Die Clienteinstellungen sind entsprechend gesetzt) Der Browser rödelt und rödelt und nix passiert. Ich hab mittlerweile meine bescheidenen Kenntnisse aufgebraucht und bin hilflos. Was muß ich einstellen, damit's funzt?
Der Squid läßt sich also starten. Hast Du geprüft, ob er auch am laufen bleibt? Wenn ich mich recht erinnere, dann braucht der einen named, und wenn er ihn nicht hat, dann beendet er sich sogleich wieder. Hast Du bei den Browsern die richtigen Adressen und Ports eingestellt? Lauscht Squid auch auf diesen Ports? Lauscht Squid an den Interfaces, auf dem die Anfragen reinkommen? Riskier einen Blick in /var/log/squid/... (IIRC), da mag sich ja vielleicht auch das ein oder andere finden. Und letzte Frage: bist Du überhaupt online? Kannst Du wenigstens auf der Maschine, auf der Squid rennt, surfen a) ohne Squid, und b) mit Squid? -- Andreas Feile www.feile.net
Am Dienstag, 12. November 2002 18:44 schrieb Kieling, Florian:
Hallo Liste,
ich versuche, bei mir squid als Proxy zu nutzen. Leider ohne Erfolg. Der Start erfolgt ohne Fehlermeldungen.Die Clients kommen trotzdem nicht an die Web-Seiten. (Die Clienteinstellungen sind entsprechend gesetzt) Der Browser rödelt und rödelt und nix passiert. Ich hab mittlerweile meine bescheidenen Kenntnisse aufgebraucht und bin hilflos. Was muß ich einstellen, damit's funzt?
Wie wär es mit nem kurzen Abriss der squid.conf (die langen Kommentare haben wir alle selbst ;-) und einem kleinen überblick über das Netz, das du versorgen willst? -- Gruß MaxX
* Dienstag, 12. November 2002 um 18:44 (+0100) schrieb Kieling, Florian:
ich versuche, bei mir squid als Proxy zu nutzen. Leider ohne Erfolg. Der Start erfolgt ohne Fehlermeldungen.Die Clients kommen trotzdem nicht an die Web-Seiten. (Die Clienteinstellungen sind entsprechend gesetzt) Der Browser rödelt und rödelt und nix passiert.
Hast du ACLs für dein lokales Netz gesetzt?
Gruß
Andreas
--
Andreas Könecke "Andreas Koenecke
Hallo, also, ich versuch's mal mit Euren Fragen: 1) squid läuft auf jeden Fall. (mit ps und init.d/squid status überprüft) 2) Nameserver: auf meinem Server läuft ein bind, auf dessen ip die config verweist (auch der bind läuft) 3) Lokales Netz: der Server soll 2 Netze versorgen: 192.168.2.0 und 192.168.3.0 in beiden Netzen fungiert mein Server unter der IP 192.168.2/3.184 und ist dort als Proxy, Gateway und DNS eingetragen. 4) Surfe ich auf den Clients ohne Proxy, läuft's teilweise, einige Browser-Anfragen werden nicht beantwortet Nutze ich den Proxy, finde ich in den log's sowas wie: 192.168.2.145 - - [12/Nov/2002:19:58:42 +0100] "GET http://www.spiegel.de/ HTTP/1.1" 504 1004 TCP_MISS:NONE In dieser Situation rödelt der Client. 5) Auf dem Server kann ich keine Web-Site (mit w3m) aufrufen. Ping's laufen durch. 6) Internet steht in jedem Fall. 7) meine jetzt probierte config hängt hinten dran (natürlich auf Wunsch mit den tausenden Kommentaren ;-) squid.conf: http_port 3128 hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY cache_access_log /var/log/squid/access.log cache_log /var/log/squid/cache.log cache_store_log /var/log/squid/store.log dns_nameservers 192.168.2.184 acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl localnet src 192.168.2.0 192.168.3.0 acl SSL_ports port 443 563 #acl Safe_ports port 80 # http #acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow manager localhost localnet http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny all http_access deny !Safe_ports http_access deny CONNECT !SSL_ports icp_access allow all Gruß Florian
Sorry, da ist mir ein Fehler unterlaufen, das sollte eigentlich (nur) an die
Liste gehen, deshalb Forwarde ich den "PrivatThread" mal:
---------- Weitergeleitete Nachricht von Mirko Richter ----------
Subject: Re: Squid
Date: Wed, 13 Nov 2002 20:30:25 +0100
From: Mirko Richter
Hallo,
also, ich versuch's mal mit Euren Fragen:
1) squid läuft auf jeden Fall. (mit ps und init.d/squid status überprüft) 2) Nameserver: auf meinem Server läuft ein bind, auf dessen ip die config verweist (auch der bind läuft) 3) Lokales Netz: der Server soll 2 Netze versorgen: 192.168.2.0 und 192.168.3.0 in beiden Netzen fungiert mein Server unter der IP 192.168.2/3.184 und ist dort als Proxy, Gateway und DNS eingetragen. 4) Surfe ich auf den Clients ohne Proxy, läuft's teilweise, einige Browser-Anfragen werden nicht beantwortet Nutze ich den Proxy, finde ich in den log's sowas wie: 192.168.2.145 - - [12/Nov/2002:19:58:42 +0100] "GET http://www.spiegel.de/ HTTP/1.1" 504 1004 TCP_MISS:NONE
/usr/share/doc/packages/squid/HTTP-codes.txt sagt E 504 Gateway Timeout * Firewall, die Ihn nicht durchläßt?!
In dieser Situation rödelt der Client. 5) Auf dem Server kann ich keine Web-Site (mit w3m) aufrufen. Ping's laufen durch.
Ich habe Deine Aussagen so verstanden: Ping vom Server an www.xyz.tld geht ?! Browser www.xyz.tld geht nicht ?! richtig? was sagt ein telnet www.xyz.tld 80 bekommst Du ein Trying IPADRESSE... Connected to IPADRESSE. Escape character is '^]'. oder einen Fehler?
6) Internet steht in jedem Fall. 7) meine jetzt probierte config hängt hinten dran (natürlich auf Wunsch mit den tausenden Kommentaren ;-) [ .... ]
MfG Mirko -- +--[ Mirko Richter (RHCE) ]------------------------+ | + Netzwerke, Kommunikation, Computer, Service | | + Diskless Linux-Systeme | | + EPROM + FLASHROM Programmierung | |~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~| | Mirko Richter | | Networks & Communicationsystems | | Ernst-Thaelmann-Str. 5, D-06774 Soellichau | | E-MAIL: m.richter@ngi.de | | Tel. +49/(0)34243/3369-50 \\\\ | | Fax. +49/(0)34243/3369-28 (O O) | +-----------------------------------oOOo-(_)-oOOo--+
---------- Weitergeleitete Nachricht von Kieling, Florian ----------
Subject: Re: Squid
Date: Wed, 13 Nov 2002 21:28:34 +0100
From: "Kieling, Florian"
1) squid läuft auf jeden Fall. (mit ps und init.d/squid status überprüft) 2) Nameserver: auf meinem Server läuft ein bind, auf dessen ip die config verweist (auch der bind läuft) 3) Lokales Netz: der Server soll 2 Netze versorgen: 192.168.2.0 und 192.168.3.0 in beiden Netzen fungiert mein Server unter der IP 192.168.2/3.184 und ist dort als Proxy, Gateway und DNS eingetragen. 4) Surfe ich auf den Clients ohne Proxy, läuft's teilweise, einige Browser-Anfragen werden nicht beantwortet Nutze ich den Proxy, finde ich in den log's sowas wie: 192.168.2.145 - - [12/Nov/2002:19:58:42 +0100] "GET http://www.spiegel.de/ HTTP/1.1" 504 1004 TCP_MISS:NONE
/usr/share/doc/packages/squid/HTTP-codes.txt sagt
E 504 Gateway Timeout *
Firewall, die Ihn nicht durchläßt?!
Hmm. Möglich. Port 3128 freigeben? Oder nen anderen? Bei mir steht in den Filter-Regeln für Port 3128 folgendes: /usr/sbin/iptables -A INPUT -j ACCEPT -p tcp --dport 3128 2>/dev/null Sollte doch richtig sein?
In dieser Situation rödelt der Client. 5) Auf dem Server kann ich keine Web-Site (mit w3m) aufrufen. Ping's laufen durch.
Ich habe Deine Aussagen so verstanden:
Ping vom Server an www.xyz.tld geht ?! Browser www.xyz.tld geht nicht ?!
richtig?
Jep. Unter der Bedingung, der Browser läuft auf dem Server. Auf den Client's funktionierts weitgehend.
was sagt ein telnet www.xyz.tld 80
bekommst Du ein
Trying IPADRESSE... Connected to IPADRESSE. Escape character is '^]'.
oder einen Fehler?
telnet www.heise.de 80 Trying 193.99.144.71... telnet: connect to address 193.99.144.71: Connection timed out
6) Internet steht in jedem Fall. 7) meine jetzt probierte config hängt hinten dran (natürlich auf Wunsch mit den tausenden Kommentaren ;-) [ .... ] : :-\
Gruß Florian
So das is aber jetzt das ende ;)
---------- Weitergeleitete Nachricht von Mirko Richter ----------
Subject: Re: Squid
Date: Thu, 14 Nov 2002 08:05:27 +0100
From: Mirko Richter
Hallo Mirko
1) squid läuft auf jeden Fall. (mit ps und init.d/squid status überprüft) 2) Nameserver: auf meinem Server läuft ein bind, auf dessen ip die config verweist (auch der bind läuft) 3) Lokales Netz: der Server soll 2 Netze versorgen: 192.168.2.0 und 192.168.3.0 in beiden Netzen fungiert mein Server unter der IP 192.168.2/3.184 und ist dort als Proxy, Gateway und DNS eingetragen. 4) Surfe ich auf den Clients ohne Proxy, läuft's teilweise, einige Browser-Anfragen werden nicht beantwortet Nutze ich den Proxy, finde ich in den log's sowas wie: 192.168.2.145 - - [12/Nov/2002:19:58:42 +0100] "GET http://www.spiegel.de/ HTTP/1.1" 504 1004 TCP_MISS:NONE
/usr/share/doc/packages/squid/HTTP-codes.txt sagt
E 504 Gateway Timeout *
Firewall, die Ihn nicht durchläßt?!
Hmm. Möglich. Port 3128 freigeben? Oder nen anderen? Bei mir steht in den Filter-Regeln für Port 3128 folgendes:
/usr/sbin/iptables -A INPUT -j ACCEPT -p tcp --dport 3128 2>/dev/null
Sollte doch richtig sein?
Ja, schaut auf die Schnelle richtig aus, das meint aber nur die eingehenden Requests (vom Client an den Proxy), der kam ja schon an, sonst hättest Du den Logeintrag nicht.
In dieser Situation rödelt der Client. 5) Auf dem Server kann ich keine Web-Site (mit w3m) aufrufen. Ping's laufen durch.
Ich habe Deine Aussagen so verstanden:
Ping vom Server an www.xyz.tld geht ?! Browser www.xyz.tld geht nicht ?!
richtig?
Jep. Unter der Bedingung, der Browser läuft auf dem Server. Auf den Client's funktionierts weitgehend.
was sagt ein telnet www.xyz.tld 80
bekommst Du ein
Trying IPADRESSE... Connected to IPADRESSE. Escape character is '^]'.
oder einen Fehler?
telnet www.heise.de 80 Trying 193.99.144.71... telnet: connect to address 193.99.144.71: Connection timed out
Hast Du auch eine Filterregel für die Ausgehenden Requests vom Squid nach Draußen? inetwa sowas (ohne Gewähr-hab jetzt keine Doku) /usr/sbin/iptables -A OUTPUT -j ACCEPT -p tcp --dport 80 2>/dev/null oder besser SRC="Outgoing-IP vom Proxy" SRCPORT="1024-65535" DEST="any" DESTPORT="80" Oder gib noch ein paar Infos zum Netzaufbau.
6) Internet steht in jedem Fall. 7) meine jetzt probierte config hängt hinten dran (natürlich auf Wunsch mit den tausenden Kommentaren ;-) [ .... ] : :-\
Gruß Florian
MfG Mirko -- +--[ Mirko Richter (RHCE) ]------------------------+ | + Netzwerke, Kommunikation, Computer, Service | | + Diskless Linux-Systeme | | + EPROM + FLASHROM Programmierung | |~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~| | Mirko Richter | | Networks & Communicationsystems | | Ernst-Thaelmann-Str. 5, D-06774 Soellichau | | E-MAIL: m.richter@ngi.de | | Tel. +49/(0)34243/3369-50 \\\\ | | Fax. +49/(0)34243/3369-28 (O O) | +-----------------------------------oOOo-(_)-oOOo--+
1) squid läuft auf jeden Fall. (mit ps und init.d/squid status überprüft) 2) Nameserver: auf meinem Server läuft ein bind, auf dessen ip die config verweist (auch der bind läuft) 3) Lokales Netz: der Server soll 2 Netze versorgen: 192.168.2.0 und 192.168.3.0 in beiden Netzen fungiert mein Server unter der IP 192.168.2/3.184 und ist dort als Proxy, Gateway und DNS eingetragen. 4) Surfe ich auf den Clients ohne Proxy, läuft's teilweise, einige Browser-Anfragen werden nicht beantwortet Nutze ich den Proxy, finde ich in den log's sowas wie: 192.168.2.145 - - [12/Nov/2002:19:58:42 +0100] "GET http://www.spiegel.de/ HTTP/1.1" 504 1004 TCP_MISS:NONE
/usr/share/doc/packages/squid/HTTP-codes.txt sagt
E 504 Gateway Timeout *
Firewall, die Ihn nicht durchläßt?!
Hmm. Möglich. Port 3128 freigeben? Oder nen anderen? Bei mir steht in den Filter-Regeln für Port 3128 folgendes:
/usr/sbin/iptables -A INPUT -j ACCEPT -p tcp --dport 3128 2>/dev/null
Sollte doch richtig sein?
Ja, schaut auf die Schnelle richtig aus, das meint aber nur die eingehenden Requests (vom Client an den Proxy), der kam ja schon an, sonst hättest Du den Logeintrag nicht.
Ich hab noch für meine Netze die Netmask 255.255.255.255 mit angegeben (Posting von Jochen Krieb)
In dieser Situation rödelt der Client. 5) Auf dem Server kann ich keine Web-Site (mit w3m) aufrufen. Ping's laufen durch.
Ich habe Deine Aussagen so verstanden:
Ping vom Server an www.xyz.tld geht ?! Browser www.xyz.tld geht nicht ?!
richtig?
Jep. Unter der Bedingung, der Browser läuft auf dem Server. Auf den Client's funktionierts weitgehend.
was sagt ein telnet www.xyz.tld 80
bekommst Du ein
Trying IPADRESSE... Connected to IPADRESSE. Escape character is '^]'.
oder einen Fehler?
telnet www.heise.de 80 Trying 193.99.144.71... telnet: connect to address 193.99.144.71: Connection timed out
Hast Du auch eine Filterregel für die Ausgehenden Requests vom Squid nach Draußen?
inetwa sowas (ohne Gewähr-hab jetzt keine Doku)
/usr/sbin/iptables -A OUTPUT -j ACCEPT -p tcp --dport 80 2>/dev/null
Hatte ich net. Hab's eingebaut --> keine Änderung im Verhalten
oder besser SRC="Outgoing-IP vom Proxy" SRCPORT="1024-65535" DEST="any" DESTPORT="80"
??? worauf ist dat bezogen???
Oder gib noch ein paar Infos zum Netzaufbau.
Was willste für Infos haben? Beides sind C-Netze. Ein's mit 10 (3er Netz), das andere mit 100 MBit (2er Netz). An beiden hängen sowohl Windows- als auch Linux-Kisten (variiert jeweils zw. 1 und 3). Surfen sollen Sie alle. Gruß Florian
Am Donnerstag, 14. November 2002 18:27 schrieb Kieling, Florian: [ .... ]
/usr/sbin/iptables -A INPUT -j ACCEPT -p tcp --dport 3128 2>/dev/null
Sollte doch richtig sein?
Ja, schaut auf die Schnelle richtig aus, das meint aber nur die eingehenden Requests (vom Client an den Proxy), der kam ja schon an, sonst hättest Du den Logeintrag nicht.
Rückweg auch nicht vergessen?
Ich hab noch für meine Netze die Netmask 255.255.255.255 mit angegeben (Posting von Jochen Krieb)
<Ausschnitt> .... acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl localnet src 192.168.2.0 192.168.3.0 ^^^^^^ schreib dafür lieber: acl localnet src 192.168.2.0/255.255.255.0 192.168.3.0/255.255.255.0 ist richtiger, sollte zwar trotzdem funktionieren, da es von den Adressen her Class-C-Netze sind, sollte er die Standard-Netmask für Class-C automatisch (an-)nehmen acl SSL_ports port 443 563 #acl Safe_ports port 80 # http #acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews .... </Ausschnitt>
In dieser Situation rödelt der Client. 5) Auf dem Server kann ich keine Web-Site (mit w3m) aufrufen. Ping's laufen durch.
Ich habe Deine Aussagen so verstanden:
Ping vom Server an www.xyz.tld geht ?! Browser www.xyz.tld geht nicht ?!
richtig?
Jep. Unter der Bedingung, der Browser läuft auf dem Server. Auf den Client's funktionierts weitgehend.
was sagt ein telnet www.xyz.tld 80
bekommst Du ein
Trying IPADRESSE... Connected to IPADRESSE. Escape character is '^]'.
oder einen Fehler?
telnet www.heise.de 80 Trying 193.99.144.71... telnet: connect to address 193.99.144.71: Connection timed out
Hast Du auch eine Filterregel für die Ausgehenden Requests vom Squid nach Draußen?
inetwa sowas (ohne Gewähr-hab jetzt keine Doku)
/usr/sbin/iptables -A OUTPUT -j ACCEPT -p tcp --dport 80 2>/dev/null
Hatte ich net. Hab's eingebaut --> keine Änderung im Verhalten
auch den Rückweg??
oder besser SRC="Outgoing-IP vom Proxy" SRCPORT="1024-65535" DEST="any" DESTPORT="80"
??? worauf ist dat bezogen???
Du mußt erlauben, daß die Pakete vom Proxy port 1024-65535 zum "internet" port 80 dürfen und die Antworten vom "internet" port 80 zurück zum Proxy können.
Oder gib noch ein paar Infos zum Netzaufbau.
Was willste für Infos haben?
Ich will wissen: - den phys. Aufbau des Netzes (Router, etc. ...) - welchen Weg die Datenpakete auf dem Weg ins Internet nehmen (und zurück) Ich muß ja irgendwie wissen, wo die Pakete verlorengehen
Beides sind C-Netze. Ein's mit 10 (3er Netz), das andere mit 100 MBit (2er Netz). An beiden hängen sowohl Windows- als auch Linux-Kisten (variiert jeweils zw. 1 und 3). Surfen sollen Sie alle.
MfG Mirko -- +--[ Mirko Richter (RHCE) ]------------------------+ | Networks & Communicationsystems | | Mirko Richter | | Ernst-Thaelmann-Str. 5, D-06774 Soellichau | | E-MAIL: m.richter@ngi.de | | Tel. +49/(0)34243/3369-50 \\\\ | | Fax. +49/(0)34243/3369-28 (O O) | +-----------------------------------oOOo-(_)-oOOo--+
Hallo, Am Don, 2002-11-14 um 18.27 schrieb Kieling, Florian:
Ich hab noch für meine Netze die Netmask 255.255.255.255 mit angegeben (Posting von Jochen Krieb)
Sorry, mein Fehler - da habe ich mich wohl falsch ausgedrückt - die Netmask sollte schon an dein Netzwerk angepasst sein, also wohl 255.255.255.0 sein, wie Mirko Richter schon schrieb.
Gruß Florian
Gruß, Jochen
Nachtrag zu meiner Mail von eben: Wenn der Browser mit'm rödeln fertig ist, steht als UTL bei ihm: http://www.www.heise.de.com/ ??? Heißt das, mein DNS-Server läuft net ganz rund? Gruß Florian
Ich will wissen: - den phys. Aufbau des Netzes (Router, etc. ...) - welchen Weg die Datenpakete auf dem Weg ins Internet nehmen (und zurück)
Ich muß ja irgendwie wissen, wo die Pakete verlorengehen
MoinMoin, hier mein Netzaufbau: Mein Server wickelt die Interneteinwahl per DSL ab und fungiert auch als Router zw. den beiden Netzen. Ich habe eben mal zum Test die Firewall ausgeschaltet. Da funzt es dann plötzlich. D.h. meine Firewall blockiert's. Richtig?
Am Freitag, 15. November 2002 06:45 schrieb Kieling, Florian:
Ich will wissen: - den phys. Aufbau des Netzes (Router, etc. ...) - welchen Weg die Datenpakete auf dem Weg ins Internet nehmen (und zurück)
Ich muß ja irgendwie wissen, wo die Pakete verlorengehen
MoinMoin,
hier mein Netzaufbau:
Mein Server wickelt die Interneteinwahl per DSL ab und fungiert auch als Router zw. den beiden Netzen.
Ich habe eben mal zum Test die Firewall ausgeschaltet. Da funzt es dann plötzlich. D.h. meine Firewall blockiert's. Richtig?
wohl anzunehmen, wenn's ohne geht?! Nochmal hast Du auch den Rückweg für die Pakete erlaubt? von außen Port 80 auf den Proxy port 1024-65535 zugelassen?! Mirko -- +--[ Mirko Richter (RHCE) ]------------------------+ | Networks & Communicationsystems | | Mirko Richter | | Ernst-Thaelmann-Str. 5, D-06774 Soellichau | | E-MAIL: m.richter@ngi.de | | Tel. +49/(0)34243/3369-50 \\\\ | | Fax. +49/(0)34243/3369-28 (O O) | +-----------------------------------oOOo-(_)-oOOo--+
Ich habe eben mal zum Test die Firewall ausgeschaltet. Da funzt es dann plötzlich. D.h. meine Firewall blockiert's. Richtig?
Sehe ich genauso, vielleicht postest du mal deine Firewall-Config?
Hier ist meine Firewall (setze alles selbst per iptables) /usr/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE 2>/dev/null /usr/sbin/iptables -A INPUT -j ACCEPT -s 192.168.2.0/24 2>/dev/null /usr/sbin/iptables -A INPUT -j ACCEPT -s 192.168.3.0/24 2>/dev/null /usr/sbin/iptables -A INPUT -j ACCEPT -s 127.0.0.0/24 2>/dev/null /usr/sbin/iptables -A INPUT -j ACCEPT -p tcp --dport ssh 2>/dev/null /usr/sbin/iptables -A INPUT -j ACCEPT -p tcp --dport ident 2>/dev/null /usr/sbin/iptables -A INPUT -j ACCEPT -p tcp --dport www 2>/dev/null /usr/sbin/iptables -A INPUT -j ACCEPT -p tcp --dport 3128 2>/dev/null /usr/sbin/iptables -A INPUT -j ACCEPT -p icmp 2>/dev/null /usr/sbin/iptables -A INPUT -j ACCEPT -p udp --sport 53 /usr/sbin/iptables -A INPUT -j ACCEPT -p udp -s 193.126.85.29 --dport 58800 /usr/sbin/iptables -A INPUT -j DROP 2>/dev/null Bye Florian
Hallo Florian, hallo Liste, Am Freitag, 15. November 2002 20:17 schrieb Kieling, Florian:
Ich habe eben mal zum Test die Firewall ausgeschaltet. Da funzt es dann plötzlich. D.h. meine Firewall blockiert's. Richtig?
Sehe ich genauso, vielleicht postest du mal deine Firewall-Config?
Hier ist meine Firewall (setze alles selbst per iptables)
/usr/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE 2>/dev/null /usr/sbin/iptables -A INPUT -j ACCEPT -s 192.168.2.0/24 2>/dev/null /usr/sbin/iptables -A INPUT -j ACCEPT -s 192.168.3.0/24 2>/dev/null /usr/sbin/iptables -A INPUT -j ACCEPT -s 127.0.0.0/24 2>/dev/null /usr/sbin/iptables -A INPUT -j ACCEPT -p tcp --dport ssh 2>/dev/null /usr/sbin/iptables -A INPUT -j ACCEPT -p tcp --dport ident 2>/dev/null /usr/sbin/iptables -A INPUT -j ACCEPT -p tcp --dport www 2>/dev/null /usr/sbin/iptables -A INPUT -j ACCEPT -p tcp --dport 3128 2>/dev/null /usr/sbin/iptables -A INPUT -j ACCEPT -p icmp 2>/dev/null /usr/sbin/iptables -A INPUT -j ACCEPT -p udp --sport 53 /usr/sbin/iptables -A INPUT -j ACCEPT -p udp -s 193.126.85.29 --dport 58800 /usr/sbin/iptables -A INPUT -j DROP 2>/dev/null
War das alles?! oder nur ein Ausschnitt? Ich hab es Dir schon ein paar mal geschrieben, der _Rückweg_!!! der Pakete vom Webserver zu deinem Proxy!!!!! <Guter Rat> Wenn Dir das nichts hilft, bzw. Du nicht verstehst, was ich meine, dann solltest Du zum Anfang erstmal ein nettes Buch/Doku über TCP/IP lesen. Danach noch die ManPage zu iptables, dann klappt's auch mit der Firewall. ;) MfG Mirko -- +--[ Mirko Richter (RHCE) ]------------------------+ | + Netzwerke, Kommunikation, Computer, Service | | + Diskless Linux-Systeme | | + EPROM + FLASHROM Programmierung | |~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~| | Mirko Richter | | Networks & Communicationsystems | | Ernst-Thaelmann-Str. 5, D-06774 Soellichau | | E-MAIL: m.richter@ngi.de | | Tel. +49/(0)34243/3369-50 \\\\ | | Fax. +49/(0)34243/3369-28 (O O) | +-----------------------------------oOOo-(_)-oOOo--+
Ich hab es Dir schon ein paar mal geschrieben, der _Rückweg_!!! der Pakete vom Webserver zu deinem Proxy!!!!!
<Guter Rat> Wenn Dir das nichts hilft, bzw. Du nicht verstehst, was ich meine, dann solltest Du zum Anfang erstmal ein nettes Buch/Doku über TCP/IP lesen. Danach noch die ManPage zu iptables, dann klappt's auch mit der Firewall. ;)
:-/ Manchmal sollte man erstmal ausschlafen und dann nochmal gucken, bevor man die Liste strapaziert. Hab's jetzt. Die Firewall läuft und blockiert den Proxy net mehr :-) Einen großen Dank an Mirko Richter ;-) Gruß Florian
participants (7)
-
Andreas Feile
-
Andreas Koenecke
-
Jochen Krieb
-
Kieling, Florian
-
Matthias Houdek
-
Michael Meyer
-
Mirko Richter