Hallo zusammen. Ich bastel seit Wochen schon an einem Linux-Server herum, der die Aufgabe hat, neben Intranetkrempel auch den Zugang zum Internet zu machen. Ich hab der Schüssel (K6II) eine zweite Netzwerkkarte verpaßt, mit der das Ding via pppoed am DSL-Modem hängt. Nun soll der Rechner mittels Masquerading drei andere Rechner ins Netz bringen. Der Zugang läuft, Masquerading auch, jedoch muß ich auf jedem maskierten Rechner sämtliche Proxies der Telekom angeben (was ich eigentlich nicht will), weil sonst bei z.B. http-Requests nichts zurückkommt. Von jedem Rechner kann ich aber überall ins Internet pingen, telnet funktioniert auch überall hin. Auch die DNS-Lookups werden alle brav ausgeführt, jedoch kommt nichts zurück. Die ipchain-Rules habe ich auf Scheunentor gesetzt, also müßte eigentlich alles reindürfen was will. modprobe -sq ip_masq_ftp echo "1" > /proc/sys/net/ipv4/ip_forward echo "1" > /proc/sys/net/ipv4/ip_dynaddr # MASQ timeouts /sbin/ipchains -M -S 7200 10 160 # DHCP for dynamic ip /sbin/ipchains -A input -j ACCEPT -i ppp0 -s 0/0 67 -d 0/0 68 -p udp # enable simple forwarding and masquerading /sbin/ipchains -P forward DENY /sbin/ipchains -A forward -s 192.168.100.0/24 -j MASQ oder etwa nicht? Mail zum Beispiel funktioniert fast überhaupt nicht, zumindest so unberechenbar, daß es eigentlich mehr nicht als überhaupt funtioniert. So muß man manchmal erst eine Mail wegschicken, um überhaupt Mail ziehen zu können, anderes mal bekommt man gesagt, daß und wieviel Mail da ist, jedoch bleibt dann der Download direkt am Anfang stecken. Hat jemand damit Erfahrung, weiß jemand wo ich noch nachschauen kann, sieht jemand spontan, was ich verkehrt gemacht habe und was ich für ein Anfänger bin? Ich danke allen im Voraus. Alexander Müller --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Samstag, 22. Juli 2000 um 01:03 (+0200) schrieb Alexander Müller:
Hallo zusammen.
[ ADSL-Masqurading-Probleme... ]
Vermutlich ist die MTU/MRU der Clients zu groß...
Stelle auf den Clients mal die MTU der Netzwerkkarten auf 1472 (unter
Linux mit "ifconfig ... mtu 1472" (dauerhaft in /etc/rc.config); unter
Win wirst du wohl die Registry "durchstöbern" müssen... (k.A.!))
Zusätzlich kannst/musst (?) du auf dem Linux-Router das Modul
"mssclampfw.o" laden.
(Sorry, das ich dir das nicht genauer beschreiben kann, meine Clients
machen http und ftp über squid und mail über
sendmail/fetchmail/popper, da ist obiges Geraffel nicht nötig.)
Gruß
Andreas
--
Andreas Könecke "Andreas Koenecke
Andreas Koenecke wrote:
Vermutlich ist die MTU/MRU der Clients zu groß... Stelle auf den Clients mal die MTU der Netzwerkkarten auf 1472 (unter Linux mit "ifconfig ... mtu 1472" (dauerhaft in /etc/rc.config); unter Win wirst du wohl die Registry "durchstöbern" müssen... (k.A.!))
SUUUUUPER! Danke, läuft! Coool! Mann, und da soll man drauf kommen? Toll! Ach das geht übrigens mit Regedit unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\NetTrans\. Da gibts dann 0000 und vielleicht nochwas. Einfach den Key "MaxMTU" mit Value 1472 eintragen.
Zusätzlich kannst/musst (?) du auf dem Linux-Router das Modul "mssclampfw.o" laden.
Was macht das denn? Habe ich schon in der /sbin/init.d/pppoed gesehen, war auskommentiert.
(Sorry, das ich dir das nicht genauer beschreiben kann, meine Clients machen http und ftp über squid und mail über sendmail/fetchmail/popper, da ist obiges Geraffel nicht nötig.)
Hm, hätte ich auch lieber, aber ich bin noch absoluter Anfänger (notgedrungen seid dem wir DSL haben, aber Linuz rulez, ich will nix anderes haben.) und bin bis jetzt heil froh, daß ich das Masquerading so hinbekommen habe, wenns auch ein bischen hakt und eigentlich mehr ein Provisorium ist. Allerdings habe ich überhaupt kein Peil, wie ich so einen transparenten Proxy (ist das doch, oder?) einrichten kann.
Gruß
Andreas
-- Andreas Könecke "Andreas Koenecke
"
Danke nochmal , Grüße, Alexander. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Samstag, 22. Juli 2000 um 18:54 (+0200) schrieb Alexander Müller:
Andreas Koenecke wrote:
Zusätzlich kannst/musst (?) du auf dem Linux-Router das Modul "mssclampfw.o" laden.
Was macht das denn? Habe ich schon in der /sbin/init.d/pppoed gesehen, war auskommentiert.
Lt. README des Moduls verändert es die MSS-Option von ge-"forwardeten" TCP SYN-Packeten. Was auch immer die MSS-Option bedeuten mag... ;-)
Allerdings habe ich überhaupt kein Peil, wie ich so einen transparenten Proxy (ist das doch, oder?) einrichten kann.
Transparent wäre er dann, wenn du auf den Clients keinerlei
Einstellungen machen musst/kannst und die Anfragen trotzdem über den
Proxy gehen. Das braucht man aber IMHO bei einer überschaubaren Anzahl
von Clients nicht, denn da kann man im Browser die Proxyeinstellungen
noch mit vetretbarem Aufwand "händisch" eintragen.
Gruß
Andreas
--
Andreas Könecke "Andreas Koenecke
Andreas Koenecke wrote:
Lt. README des Moduls verändert es die MSS-Option von ge-"forwardeten" TCP SYN-Packeten. Was auch immer die MSS-Option bedeuten mag... ;-)
Danke für die Erklärung :-)
Allerdings habe ich überhaupt kein Peil, wie ich so einen transparenten Proxy (ist das doch, oder?) einrichten kann.
Transparent wäre er dann, wenn du auf den Clients keinerlei Einstellungen machen musst/kannst und die Anfragen trotzdem über den Proxy gehen. Das braucht man aber IMHO bei einer überschaubaren Anzahl von Clients nicht, denn da kann man im Browser die Proxyeinstellungen noch mit vetretbarem Aufwand "händisch" eintragen.
Das stimmt, aber ich finde das trotzdem schöner. Dann hat sich der Enduser nicht darum zu kümmern. Wie schwierig/zeit bzw. recourcenaufwändig ist es denn, einen Proxy via Squid aufzubauen, da habe ich im Moment keinen Anhaltspunkt. Rechnermäßig hab ich hier nen AMD K6II 300MHz mit leider nur 64 MB Ram und zwo 30 GB IDE-Festplatten. Geht der, für sagen wir mal 5 Rechner? Gruß Alex. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Sonntag, 23. Juli 2000 um 23:34 (+0200) schrieb Alexander Müller:
Wie schwierig/zeit bzw. recourcenaufwändig ist es denn, einen Proxy via Squid aufzubauen, da habe ich im Moment keinen Anhaltspunkt.
Wenn man es schon mal gemacht hat, 5 bis 10 Minuten, wenn nicht, ein "bisschen länger" ;-) Installiere den Squid und ändere/ergänze /etc/squid.conf wie folgt (alle Zeilenangaben "ungefähr"): - Zeile 46: "http_port 3128" : Hier kannst du einen anderen Port einstellen, auf dem der Squid auf Clientanfragen "horcht". (Musst du aber nicht...) - Zeile 216: "cache_peer hostname type 3128 3130": Hier kannst du einen Parent-Proxy konfigurieren, z.B. den Proxy deines Providers. Da die T-Online-Proxies z.T. sehr lahm sind, empfehle ich, keinen Parent-Proxy zu verwenden, setze ggfs. ein Kommentarzeichen vor die Zeile. - Zeilen 334 und 335: "acl QUERY urlpath_regex cgi-bin \?" und "no_cache deny QUERY": Wie empfohlen, Kommentarzeichen entfernen. - Zeile 465: "cache_dir ufs /var/squid/cache 100 16 256" : Die Zahl "100" bestimmt hier die Größe des Festplattencaches in MByte. 100 MB sind IMHO für bis zu 5 Clients nicht sooo verkehrt... - Zeile 595: "ftp_user <e-mail-Adresse>" : Hier eine e-mail-Adresse als Passwort für anonymous-ftp-Logins eintragen. - Zeile ca. 1165: "acl localnet src 192.168.0.0/255.255.255.0" : Hier IP/Netmask deines lokalen Netzes eintragen und dazu - Zeile ca. 1204: _Über_ die Zeile "http_access deny all" die Zeile "http_access allow localnet" hinzufügen. - Zeilen ca. 1575 ff: Hier kannst du die Kennwörter für den Cache-Manager ändern. Alle anderen Zeilen kannst du IIRC erst einmal auf den Default-Einstellungen lassen und ggfs. später einmal "optimieren". Dann in /etc/rc.config START_SQUID=yes setzen, "rcsquid start" eingeben, auf den Clients im Browser die Proxy-Einstellungen einrichten und das war's dann... Wie schon geschrieben, einen transparenten Proxy habe ich bisher auch noch nicht eingerichtet, kann dir dazu also nicht weiterhelfen. Das Stichwort lautet IMHO dazu "Port-Forwarding"...
Rechnermäßig hab ich hier nen AMD K6II 300MHz mit leider nur 64 MB Ram und zwo 30 GB IDE-Festplatten. Geht der, für sagen wir mal 5 Rechner?
Kommt darauf an, was auf dem Server sonst noch so läuft. Wenn du KDE,
Netscape und Staroffice laufen lässt, wird vermutlich der Speicher
knapp... Ansonsten schafft squid auf deiner Hardware je nach
Internet-Anbindung IMHO auch locker die zehnfache Anzahl von
Clients...
Gruß
Andreas
--
Andreas Könecke "Andreas Koenecke
On Mon, 24 Jul 2000, Andreas Koenecke wrote:
* Sonntag, 23. Juli 2000 um 23:34 (+0200) schrieb Alexander Müller:
Wie schwierig/zeit bzw. recourcenaufwändig ist es denn, einen Proxy via Squid aufzubauen,
[...] - Zeile 216: "cache_peer hostname type 3128 3130": Hier kannst du einen Parent-Proxy konfigurieren, z.B. den Proxy deines Providers. Da die T-Online-Proxies z.T. sehr lahm sind, empfehle ich, keinen Parent-Proxy zu verwenden, setze ggfs. ein Kommentarzeichen vor die Zeile.
Ich habe ebenfalls den T-Online-Proxy drinstehen und mich heute nachmittag damit beschaeftigt, ob die Aussage nachvollziehbar ist, dass die T-Online-Proxies z. T. sehr lahm sind. Bei mir steht da cache_peer www-proxy.city.srv.t-online.de parent 80 7 no-query Aber ob ich den Eintrag weglasse oder drinlasse, irgendwie ist alles gleich. Ich habe natuerlich zwischen den Experimenten die lokalen Cahes geloescht. Gruss Peter Blancke -- Nachtwaechter ist der Wahnsinn, weil er wacht... --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Montag, 24. Juli 2000 um 18:51 (+0200) schrieb Peter Blancke:
Ich habe ebenfalls den T-Online-Proxy drinstehen und mich heute nachmittag damit beschaeftigt, ob die Aussage nachvollziehbar ist, dass die T-Online-Proxies z. T. sehr lahm sind.
Bei mir steht da
cache_peer www-proxy.city.srv.t-online.de parent 80 7 no-query
Aber ob ich den Eintrag weglasse oder drinlasse, irgendwie ist alles gleich.
Ja, den gleichen Eindruck hatte ich auch. Dazu kam, das lt. access.log
der squid alle Anfragen direkt geholt hat, unabhängig vom
cache_peer-Eintrag.
Die Aussage, das die T-Online-Proxies z.T. sehr lahm sind, habe ich aus
einer der T-Online-Newsgroups: Benutzt man den generischen Proxy-Namen
"www-proxy.btx.dtag.de" werden die Anfragen nach einem
Round-Robin-Verfahren auf mehrere Server verteilt. Wenn dann einige
Server ein paar Hops vom Einwahlrouter "entfernter" sind, kann die
Anfrage über den Proxy deutlich langsamer sein als der direkte Zugang.
(Zumal T-Online ja offensichtlich eine ganz gute Internet-Anbindung
hat.)
Aus diesen Gründen halte ich den Squid-Eintrag des T-Online-Proxys für
unnötig.
Gruß
Andreas
--
Andreas Könecke "Andreas Koenecke
participants (3)
-
akoenecke@akoenecke.de
-
Alexander.Mueller@post.rwth-aachen.de
-
blancke@gmx.de