-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 mahlzeit, Ich habe mir den Squid installiert um mein LAN vom Internet zu trennen. Prinzipiell funktioniert das ganze auch, wenn ich Squid als Proxy bei den Clients eintrage. Jetzt habe ich das ganze so konfiguriert, dass das ganze transparent funktionieren soll: - -> /usr/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 - -> echo 1 > /proc/sys/net/ipv4/ip_forward Wenn ich nun beim Client den Proxy rausnehme, und den Squidrechner als Defaultgateway eintrage bekomme ich nur noch die Meldung vom Squid, dass der DNS-Name nicht aufgelöst werden konnte. Da steige ich nicht mehr durch... Warum funktioniert das nicht, wenn ich das als transparenten proxy laufen lassen will...? In der squid.conf steht der Verweis auf die resolv.conf, und im log steht auch, dass er die eingetragenen DNS-Server benutzt. Kann mir da jemand nen Tip geben, woran es hakt? Gruss Mario - -- Die letzten Worte eines Walfängers So, den hätten wir am Haken. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2-rc1-SuSE (GNU/Linux) iD8DBQE/3FkEJLVeVMKCIQMRAlSGAKCuVDNi2WhAV2APy+A6eqyVMDTnpgCgtxwU MImRt0SwnbpyYSnkUjrZan0= =9N8s -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 mahlzeit nochmal, hmm, hab grad noch mal in dem howto von IPTables gelesen (verstanden hab ich nicht allzuviel). Muss ich vielleicht DNS-Anfragen auch weiterleiten? Oder hilft es vielleicht, einen eigenen DNS-Server aufzusetzen, damit es funktioniert? Gruss Mario - -- Die letzten Worte des Mensakoches: Merkwürdig ruhig da draussen... -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2-rc1-SuSE (GNU/Linux) iD8DBQE/3FsKJLVeVMKCIQMRAhqsAJ0SOeNdJ13h7FVKQ/FxWubTNS4VnwCePXuZ BlOhxztzsEyx5f6wuaTVXP4= =8nAT -----END PGP SIGNATURE-----
*** Mario van der Linde
Ich habe mir den Squid installiert um mein LAN vom Internet zu trennen. Prinzipiell funktioniert das ganze auch, wenn ich Squid als Proxy bei den Clients eintrage.
Jetzt habe ich das ganze so konfiguriert, dass das ganze transparent funktionieren soll: -> /usr/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 -> echo 1 > /proc/sys/net/ipv4/ip_forward
Wenn ich nun beim Client den Proxy rausnehme, und den Squidrechner als Defaultgateway eintrage bekomme ich nur noch die Meldung vom Squid, dass der DNS-Name nicht aufgelöst werden konnte.
hast du ... ,----[ /etc/squid.conf ] | httpd_accel_host virtual | httpd_accel_port 80 | httpd_accel_with_proxy on | httpd_accel_uses_host_header on `----| ... in deiner squid.conf? micha
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Michael, Am Sonntag, 14. Dezember 2003 14:29 schrieb Michael Meyer: [...]
hast du ...
,----[ /etc/squid.conf ]
| httpd_accel_host virtual | httpd_accel_port 80 | httpd_accel_with_proxy on | httpd_accel_uses_host_header on
`----|
... in deiner squid.conf? [...]
Das ... ,----[/etc/squid/squid.conf] | httpd_accel_port 80 | httpd_accel_host virtual | httpd_accel_single_host on | httpd_accel_with_proxy on | httpd_accel_uses_host_header on `----| ... sind die letzten 5 Zeilen meiner squid.conf. Jetzt sag nicht, das liegt an dem dritten ("httpd_accel_single_host on") Eintrag... Gruss Mario P.S.: Ich würd das ja gerne auf die schnelle ausprobieren, aber von dem Testsystem hab ich keinen Zugriff auf die Liste, und ständig hin und her zu booten macht keinen Spass... ;) - -- Die letzten Worte eines Fahrstuhlpassagiers: Abwärts, bitte. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2-rc1-SuSE (GNU/Linux) iD8DBQE/3GnDJLVeVMKCIQMRAtf3AKDAqLwNc1JPRqNMJWrY2gCgB2QgRACePFCA UgGPbegSUTujVB4O1RabbsE= =ziL+ -----END PGP SIGNATURE-----
*** Mario van der Linde
Ich habe mir den Squid installiert um mein LAN vom Internet zu trennen. Prinzipiell funktioniert das ganze auch, wenn ich Squid als Proxy bei den Clients eintrage.
[...]
Wenn ich nun beim Client den Proxy rausnehme, und den Squidrechner als Defaultgateway eintrage bekomme ich nur noch die Meldung vom Squid, dass der DNS-Name nicht aufgelöst werden konnte.
dein client kennt einen dns? wenn du den squid transparent nutzt, müssen die clients in der lage sein die namen selbst, über einen dns, aufzulösen. micha
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Micha, jo, der Client hat eigene DNS-Einträge in der resolv-conf. Ich hab mal den fraglichen Eintrag in der sqiud.conf weggelassen, und siehe da, es funktioniert... BTW, ist das normal, dass bis zur ersten Sichtbaren Reaktion im Client-Browser 10-20 Sek. vergehen? (Bei direktem Internetzugang passiert das viel schneller...) Dann kann ich mich ja jetzt daran machen einen Echtzeit-Virenscanner dazuzubasteln und noch ein wenig an den IPTables herumzufeilen...;) gruss Mario - -- Software is like sex, it's better when it's free !! -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2-rc1-SuSE (GNU/Linux) iD8DBQE/3HTYJLVeVMKCIQMRAsAqAKCLbhv/zmA4P+ubK5kFY5eG166fPwCbBV9s 5Wz9DsT66qeUNni3YMqU/Hw= =iSta -----END PGP SIGNATURE-----
Mario van der Linde, Sonntag, 14. Dezember 2003 15:33:
BTW, ist das normal, dass bis zur ersten Sichtbaren Reaktion im Client-Browser 10-20 Sek. vergehen? (Bei direktem Internetzugang passiert das viel schneller...)
Ist nicht normal. Vermutlich hast Du irgendwo ein Problem mit der Namensauflösung, und zwar wahrscheinlich beim reverse lookup einer lokalen Adresse. Können alle Deine Rechner im LAN alle lokalen Adressen vorwärts und rückwärts auflösen? -- Andreas Feile www.feile.net
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Andreas, Am Sonntag, 14. Dezember 2003 15:48 schrieb Andreas Feile: [...]
Können alle Deine Rechner im LAN alle lokalen Adressen vorwärts und rückwärts auflösen? [...]
Ich denke schon... *koppkratz* ... Also, die W2K-Clients haben die Hosts-Datei mit allen lokalen Einträgen, und die Linux-Kisten sind auch damit ausgerüstet. Bis heute hatte ich auch noch nie Probleme mit DNS. Alle Clients konnten sich entweder per Rechnername oder direkt per IP erreichen. Ich habe da zwar nen Wurm im Netz (bei 100MBit duplex sollte doch etwas mehr drinsein als 3-6MB/sec) aber das würd ich jetzt nicht damit in Verbindung bringen. Das führe ich eher auf die billigen Netzwerkkarten zurück... Gruss Mario - -- Die letzten Worte eines Abteilungsleiters: Hicks...du Arschloch siehst wirklich aus wie mein Chef... -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2-rc1-SuSE (GNU/Linux) iD8DBQE/3IA9JLVeVMKCIQMRAoLHAJ9L6AY3bahevcl+W5vr75BMnpvs1ACfUgW/ jrtd/HeL2OFt7vKLw4MrxjI= =Dt1n -----END PGP SIGNATURE-----
Mario van der Linde, Sonntag, 14. Dezember 2003 16:22:
Alle Clients konnten sich entweder per Rechnername oder direkt per IP erreichen.
Das heißt aber nur, daß die Auflösung vorwärts geht. Wie siehts denn rückwärts aus? Was ergibt denn ein # dig -x IP wobei IP irgend eine Adresse aus dem lokalen Netz ist, zB der des Rechners, auf dem Squid rennt? Kann das in einen Namen rückverwandelt werden? Von allen Clients aus? -- Andreas Feile www.feile.net
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Andreas, Am Sonntag, 14. Dezember 2003 16:32 schrieb Andreas Feile: [...]
Das heißt aber nur, daß die Auflösung vorwärts geht. Wie siehts denn rückwärts aus? Was ergibt denn ein
# dig -x IP [...]
Holla, sieht nicht so aus. nach "dig -x 192.168.0.2" wird eine DNS abfrage gestartet, die Ergebnislos bleibt, sprich der Name meines Rechners wird nicht ausgespuckt... Und Windoof kennt Dig nicht, aber ich denke mal, da wirds dann das selbe sein... Wie krieg ich das denn nun geregelt? Gruss Mario - -- Einkommenssteuer: Dauerstrafe für regelmäßiges Arbeiten. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2-rc1-SuSE (GNU/Linux) iD8DBQE/3JSjJLVeVMKCIQMRAj+zAKCUFDWmevwCU/GgSoQqK0YVNb8BVACdFLgh dtbNCYDF91Ktn1mIjN5S5tU= =CM6y -----END PGP SIGNATURE-----
Mario van der Linde, Sonntag, 14. Dezember 2003 17:49:
# dig -x IP
[...]
Holla, sieht nicht so aus.
Dacht ichs mir...
nach "dig -x 192.168.0.2" wird eine DNS abfrage gestartet, die Ergebnislos bleibt, sprich der Name meines Rechners wird nicht ausgespuckt... Und Windoof kennt Dig nicht, aber ich denke mal, da wirds dann das selbe sein...
Ist nicht gesagt, daß es mit Windows ebenso ist. Denn Dein Problem ist ja nicht, daß das reverse lookup nicht läuft, sondern nur, daß sich Linux soviel Zeit läßt, den reverse lookup zu versuchen. Vielleicht ist Windows da flotter.
Wie krieg ich das denn nun geregelt?
Tja, die Kanonen-auf-Spatzen-Schieß-Methode: DNS für eine eigene Zone aufsetzen. Kann Dich aber schon mal nen Tag kosten, bis das läuft. Andernfalls könntest Du probieren, auf dem Rechner, der Dir zu lange braucht (also vermutlich der, auf dem Squid läuft), eine /etc/hosts zu schreiben, die alle lokalen IPs enthält. Dann müßte zumindest dieser Rechner alles vorwärts und rückwärts auflösen können, und damit sollte er auch schneller reagieren. Vielleicht gibts noch andere Methoden, die ich nicht kenne. -- Andreas Feile www.feile.net
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Prost Mahlzeit, Am Sonntag, 14. Dezember 2003 18:02 schrieb Andreas Feile:
[...] Andernfalls könntest Du probieren, auf dem Rechner, der Dir zu lange braucht (also vermutlich der, auf dem Squid läuft), eine /etc/hosts zu schreiben, die alle lokalen IPs enthält. Dann müßte zumindest dieser Rechner alles vorwärts und rückwärts auflösen können, und damit sollte er auch schneller reagieren. [...]
Aber die /etc/hosts existiert doch (natürlich auch mit den entsprechenden Einträgen), deshalb steh ich ja so auf dem Schlauch. Und in der hosts.conf steht als Reihenfolge "hosts bind", d.h. eigentlich müsste das ohne DNS-Abfrage funktionieren... Hmm... Gruss Mario - -- Accept no limits. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2-rc1-SuSE (GNU/Linux) iD8DBQE/3J/GJLVeVMKCIQMRAr6PAKDDt4nHriSKYZbX9Mwedy8NYfZT8wCgpobI Lqzf4WKeHpuPI9L1J29R9bQ= =ku+p -----END PGP SIGNATURE-----
Hallo Mario, Am Sonntag Dezember 14 2003 18:37 schrieb Mario van der Linde:
Am Sonntag, 14. Dezember 2003 18:02 schrieb Andreas Feile:
[...] Andernfalls könntest Du probieren, auf dem Rechner, der Dir zu lange braucht (also vermutlich der, auf dem Squid läuft), eine /etc/hosts zu schreiben, die alle lokalen IPs enthält. Dann müßte zumindest dieser Rechner alles vorwärts und rückwärts auflösen können, und damit sollte er auch schneller reagieren.
[...]
Aber die /etc/hosts existiert doch (natürlich auch mit den entsprechenden Einträgen), deshalb steh ich ja so auf dem Schlauch.
Wäre nicht die /etc/nsswitch.conf die richtige Datei, um die Namensauflösung zunächst auf die /etc/hosts und dann auf den DNS zu lenken? Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Guten abend Helga, Am Sonntag, 14. Dezember 2003 19:00 schrieb Helga Fischer: [...]
Wäre nicht die /etc/nsswitch.conf die richtige Datei, um die Namensauflösung zunächst auf die /etc/hosts und dann auf den DNS zu lenken? [...]
,---[/etc/nsswitch.conf] | passwd: compat | group: compat | | hosts: files dns | networks: files dns | | services: files | protocols: files | rpc: files | ethers: files | netmasks: files | netgroup: files | publickey: files | | bootparams: files | automount: files | aliases: files | shadow: compat `----| Ich denke daran kanns wohl auch nicht liegen, oder? Gruss Mario - -- Die letzten Worte eines Junkies: Das Zeug ist astrein! -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2-rc1-SuSE (GNU/Linux) iD8DBQE/3K1vJLVeVMKCIQMRAvw/AKCFAQwxn9MM4A6iyiH8u87N8ewiDACdE33G 8bzSxe4+OwrC+Id6hvr6As0= =7hDG -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 N'Abend noch mal... also, eins vorweg: Es läuft jetzt (mehr oder weniger...) Ich habe mit Hilfe von Webmin und einer DNS-Howto auf meiner SuSE 8.2 bind Konfiguriert, ein | dig -x 192.168.0.1 brachte mir dann auch tatsächlich das ersehnte Ergebnis: c3po ... Dann habe ich die ganzen Konfigurationsfiles | /etc/hosts | /etc/resolv.conf | /etc/hosts.conf | /etc/named.conf | /etc/nsswitch.conf | /var/lib/named/* auf mein Testsystem kopiert (SuSE 9.0) und dieses gebootet. Das ein | dig -x 192.168.0.1 nur eine Fehlermeldung bringt stört mich _heute_ nicht weiter, da zumindest die Clients keine Wartezeiten beim Verbindungsaufbau mehr haben. Den Rest werde ich dann mal die Tage versuchen zu Ergründen... Gruss an alle die mir weitergeholfen haben... Mario - -- Die letzten Worte eines Matrosen: Hmm, ich dachte nie, daß ich mal schwimmen müßte. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2-rc1-SuSE (GNU/Linux) iD8DBQE/3L3HJLVeVMKCIQMRAuZeAKCsezTZ7JfXZ2Ya01OcPH6+H4s1JACfUT8D fa4paKblBfMiW/B2o/zY6Sg= =lzUf -----END PGP SIGNATURE-----
participants (4)
-
Andreas Feile
-
Helga Fischer
-
Mario van der Linde
-
Michael Meyer