Hallo Liste, ich habe Suse 9.0 als Firewall und Router für mein Heimnetz aufgesetzt. Seit kurzem habe ich das Problem, daß ich einige Seiten wie z.B. Ebay.de nicht mehr aufgerufen bekomme, andere Seiten dagegen schon. Ich habe mir ein eigenes Firewall-Script geschrieben basierend auf iptables 1.2.8. Erst dachte ich, daß es am Script liegt. Deshalb habe ich ein zweites geschrieben, welches Accept als Default-Policy setzt und ansonsten lediglich eine Regel für Masquerading enthält. Da ich auf dem Firewall keine graph. Oberfläche habe, habe ich mit lynx und wget getestet ob ich an Ebay rankomme. Klappt wunderbar. Vom Client (Laptop, ebenfalls Suse 9.0) gehts nicht - Konqueror meldet "verbunden mit Ebay.de, warten auf Antwort". Das wars, mehr passiert nicht. Ich habe einfach keine Idee mehr voran es noch liegen könnte, deshalb hoffe ich, daß sich hier jemand findet der mir weiterhelfen kann. Ich bin für jeden Hinweis dankbar. Gruß M. Geschermann (mgm-linux@arcor.de) P.S. googlen habe ich auch schon hinter mir, leider ohne Ergebnis.
From:
Hallo Liste,
ich habe Suse 9.0 als Firewall und Router für mein Heimnetz aufgesetzt. Seit kurzem habe ich das Problem, >daß ich einige Seiten wie z.B. Ebay.de nicht mehr aufgerufen bekomme, andere Seiten dagegen schon. Ich habe mir ein eigenes Firewall-Script geschrieben basierend auf iptables 1.2.8. Erst dachte ich, daß es am >Script liegt. Deshalb habe ich ein zweites geschrieben, welches Accept als Default-Policy setzt und ansonsten lediglich eine Regel für Masquerading enthält. Da ich auf dem Firewall keine graph. Oberfläche habe, habe ich mit lynx und wget getestet ob ich an Ebay >rankomme. Klappt wunderbar.
Vom Client (Laptop, ebenfalls Suse 9.0) gehts nicht - Konqueror meldet "verbunden mit Ebay.de, warten auf >Antwort". Das wars, mehr passiert nicht. Ich habe einfach keine Idee mehr voran es noch liegen könnte, deshalb hoffe ich, daß sich hier jemand findet >der mir weiterhelfen kann. Ich bin für jeden Hinweis dankbar.
Könnte eventuell an der MTU liegen. Such mal nach iptables Regeln mit clamp-pmtu-to-mss oder clamp-mss-to-pmtu, da gibt es eine Möglichkeit den mtu Wert vom Ethernet auf den mtu Wert von der DSL-Leitung umzusetzen, das könnte die Ursache sein. Leider habe ich die genaue Regel jetzt nicht im Kopf. Mfg, Thomas
Hallo, Am Dienstag, 24. Februar 2004 18:45 schrieb thomas Gräber:
Seit kurzem habe ich das Problem, >daß ich einige Seiten wie z.B. Ebay.de nicht mehr aufgerufen bekomme, andere Seiten dagegen schon.
Liegt an der MTU. Gib mal folgendes ein als Root auf dem Router: Ich nehme dabei an, dass Dein Heimnetz die IP Range 192.168.0.x hat und das externe Ethernet-Device ppp0 heisst. Das $ Symbol ist das Bash-Symbol, also quasi der blinkende Cursor... :-) ---losgehts--- (Maskerading aktivieren) $ modprobe ipt_MASQUERADE $ iptables -t nat -A POSTROUTING -o dsl0 -s 192.168.0.0/16 -j MASQUERADE $ modprobe ip_conntrack $ modprobe ip_conntrack_ftp $ modprobe ip_nat_ftp $ iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/16 -j MASQUERADE (Jetzt kommt das eigentliche: Anpassen der MTU) $ modprobe ipt_TCPMSS $ iptables -A FORWARD -o ppp0 -p TCP --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu ---fertig--- Bei mir wars auch mit Ebay so... ...danach müsste es funktionieren... -- Michael Herrmann PGP / GnuPG Fingerprint: 8C97 D13A C023 A86D 540F 3C22 98BA 324D 50A0 7771
Hallo, (jetzt muss ich mich kurz verbessern...) Am Dienstag, 24. Februar 2004 19:25 schrieb Michael Herrmann:
$ iptables -t nat -A POSTROUTING -o dsl0 -s 192.168.0.0/16 -j MASQUERADE
Diese Zeile kannst Du weglassen. Hab ich vergessen rauszulöschen... :-) Sch*** Copy and Paste... Ich hab diese Befehle als Script in die boot.local eingebunden, so dass es bei jedem Booten ausgeführt wird. Ist praktischer... -- Michael Herrmann PGP / GnuPG Fingerprint: 8C97 D13A C023 A86D 540F 3C22 98BA 324D 50A0 7771
Michael Herrmann schrieb:
Hallo,
(jetzt muss ich mich kurz verbessern...)
Am Dienstag, 24. Februar 2004 19:25 schrieb Michael Herrmann:
$ iptables -t nat -A POSTROUTING -o dsl0 -s 192.168.0.0/16 -j MASQUERADE
Diese Zeile kannst Du weglassen. Hab ich vergessen rauszulöschen... :-) Sch*** Copy and Paste...
*lach* Sehr gut. Viele Grüße Stefan Ps: Würde aber auch auf den MTUs setzen, da Ebay auch auf der MTU! Liste steht.
participants (4)
-
mgm-linux@arcor.de -
Michael Herrmann -
Stefan Eggert -
thomas Gräber