"Daniel Schroeder"
Hi!
Ich habe hier eine SuSE 7.0 (Kernel 2.2.16) als ISDN-Dial-on-Demand-Router mit Masquerading und SuSEfirewall laufen.
Klappt soweit auch ziemlich gut. Wenn ich aber von meiner Windows-Kiste mit Outlook ein POP3-Postfach abfragen will, und die ISDN-Verbindung steht gerade nicht, kriege ich einen Timeout. Wenn ich's dann gleich nochmal probiere, geht's. Mir fallen zwei mögliche Gründe dafür ein, und zu beiden habe ich 'ne Frage.
a) der POP3-Request (oder vielleicht sogar die DNS-Anfrage für den POP3-Server kurz davor?) geht verloren. Kann das sein? Wenn ja - was kann man dagegen tun?
Das koennte eine Ursache sein. Ist denn dynamic IP_patch aktiviert ? Was gibt denn cat /proc/sys/net/ipv4/ip_dynaddr aus ? Es sollte '7' sein.
b) der Router ist ein alter 486DX2/66. Das Script ip-up braucht ewig - ungefähr 16 Sekunden. Könnte das Problem ein schlichter Time-Out sein? Die Fehlermeldung von Outlook kommt allerdings erst etliche Sekunden, nachdem das Script fertig ist. Die allermeiste Zeit geht in ip-up für SuSEfirewall drauf. Frage: gibt es eine Möglichkeit, SuSEfirewall nicht in ip-up, sondern einmal beim Booten laufen zu lassen? Der Versuch, es bei ip-up einfach rauszunehmen (natürlich auch für ip-down) und vorher "zu Fuß" aufzurufen, hat nicht funktioniert. Ganz so einfach isses also wohl nicht. Kann mir jemand helfen?
Wieviele ipchains Regeln sind denn in dem Firewall Script enthalten ? Wenn es mehr als 50 Regeln sind, ist schon ein Leistungsverlust des Kernels bemerkbar, bei mehr als 250 werden es ueber 10 %. Ich habe aus den gleichen Gruenden bei mir (SuSE-6.3, P-100) firewal nicht ausgefuehrt und stattdessen eigene Filterregeln definiert, die schon beim booten geladen werden. Suse-firewal muss ja nur in ip-ip ausgefuehrt werden um die dynamisch zugewiesene Adresse zu laden. Bei ipchains kann ja auch statt der Adresse ein Interface angesprochen werden, dann benoetigt man keine Adresse.
Falls SuSEfirewall unbedingt in ip-up laufen muss - kann man Teile davon auslagern? Ich meine, müssen z.B. die ip_masq-Module wirklich jedesmal neu geladen werden? Welche Teile brauchen eigentlich die meiste Zeit? Ich fürchte ja fast, es verteilt sich ziemlich gleichmäßig über das Skript...
Auf meinem ISDN-Gateway habe ich 44 Filterregeln und das ftp_masq Modul definiert, die schon beim booten geladen werden. Wobei mir bewusst ist, dass damit eine Sicherheitsluecke entsteht, aber damit kann ich leben. Gruss Dieter -- Dieter Kluenter | Systemberatung BFI Rendering und Image Processing Tel: 040.64861967 | Fax: 040.64891521