AMDfreak
Little Overclocker
|
Hallo! Das Problem ist gelöst! Auf der Firewall war der Router des "äußeren" Netzwerks zum Internet nicht mehr als Default-Gateway definiert, das dürfte der Grund gewesen sein. Das www hat wahrscheinlich deshalb trotzdem funktioniert weil es über einen Proxy geht, der über DNS auffindbar war und daher dann automatisch der Weg über den Router genommen wurde. Dahinter gekommen bin ich deshalb, weil ich festgestellt habe, dass auch von meiner Firewall aus nur das www funktioniert hat. Das war das Problem: Habe ein LAN über einen Linux-Rechner (Firewall) in ein anderes LAN gehängt, über Ipforwarding und Masquerading. Über das "äußere" LAN komme ich über einen Router (bzw. eine Firewall), auf den/die ich keinen Einfluss habe, ins Internet. Über diesen Weg ist meines Wissens nichts gesperrt, http, ftp, auch spielen z.B. WoW oder Q3A ist möglich (wenn man direkt in diesem LAN hängt). Mit meiner Firewall dazwischen funktioniert es auch einigermaßen, ich schreibe gerade diesen Post von einem Rechner im privaten LAN, der über meine Linux-Maschine am Netz hängt. Das PROBLEM ist, es funktioniert aber nur das http://www. Weder WoW noch P2P-Clients oder Miranda etc. funktionieren. Auch Outlook nicht. Langsam tippe ich darauf, dass es am Windows-Client liegt und nicht an meiner Firewall (habe nur Ipforwarding und Masquerading aktiviert, alle Firewall-Regeln habe ich schon deaktiviert, Default Policy ist ACCEPT). In Windows habe ich als Default-Gateway einfach die (interne) IP meiner Linux-Maschine eingetragen. (Mehr habe ich nicht gemacht.) Kann mir bitte jemand helfen? Vielleicht liegt das Problem wirklich Windows-Seitig begraben, oder ich muss SNAT oder DNAT verwenden, wenngleich mir nicht klar wäre warum... MfG Freak
|
othan
Layer 8 Problem
|
#!/bin/sh
# 2005 - Philipp.Hocher at bbzs.ch
# GRUNDKONFIGURATION -- SCENARIO1 Firewall with no Filtering
# Schnittstelle zum lokalen Netzwerk
IFACE_INT=eth1
# Internetschnittstelle
IFACE_EXT=eth0
# Loopback device
IFACE_LO=lo
case "$1" in
start)
echo -n "Starting firewall: iptables"
# Alte Regeln löschen
iptables -F
iptables -F -t mangle
iptables -F -t nat
iptables -X
iptables -X -t mangle
iptables -X -t nat
# ************
# * POLICIES *
# ************
# Default-Policies setzen - alles darf durch
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
# Einschalten von ip-Forwarding
echo "1" > /proc/sys/net/ipv4/ip_forward
# *********************
# * REGELN DEFINIEREN *
# *********************
# leider sind keine Regeln vorhanden, da wir hier alles durchlassen
# ***********
# * LOGGING *
# ***********
# Alles was bis hier kommt, mitprotokollieren
iptables -A OUTPUT -j LOG --log-prefix "Nicht raus: "
iptables -A FORWARD -j LOG --log-prefix "Nicht durch: "
iptables -A INPUT -j LOG --log-prefix "Nicht rein: "
echo "."
;;
stop)
echo -n "Stopping firewall: iptables"
# Alte Regeln löschen
iptables -F
iptables -F -t mangle
iptables -F -t nat
iptables -X
iptables -X -t mangle
iptables -X -t nat
# ************
# * POLICIES *
# ************
# Default-Policies setzen
iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# Deaktivierung des ip-Forwarding
echo "0" > /proc/sys/net/ipv4/ip_forward
echo "."
;;
restart)
$0 start
;;
status)
iptables -L
;;
*)
echo "Usage: /etc/init.d/firewall start|stop|restart|status"
exit 1
;;
esac
Hier mal ein kleines script, das ich mal gebastelt habe damit wird der ganze traffic zwischen eth0 und eth1 durchgelassen /EDIT: weitere scripts gibts auf http://www.blablu.ch/scripts/die scenario1-4 genauer anschauen 
Bearbeitet von othan am 28.09.2005, 15:24
|
Crash Override
BOfH
|
Soll die Kiste nur routen? Mach dir dann doch nicht so eine Arbeit und installier dir einen IPCop 1.4.8. Da ist dann sofort alles richtig eingestellt und auch sicher.
|
AMDfreak
Little Overclocker
|
Danke Ohtan!
Hab im Prinzip ohnehine genau das gemacht, was dein script macht, nur händisch Zeile für Zeile eingegeben.
Was bei deinem Script bezogen auf meinen Fall fehlt ist das Masquerading, ohne das geht es nicht.
Das Problem bleibt aber bestehen, ich denke es liegt wirklich an Windows, kann es sein, dass ich da noch mehr einstellen muss als nur den Default-Gateway?
@Crash:
Die Maschine soll erst mal Routen, wenn das dann geht, will ich sie als richtige Firewall einsetzen. Trotzdem schau ich mir das Tool an...
|
Crash Override
BOfH
|
Das ist kein Tool sondern eine Firewalldistribution mit Routing per NAT, also Masquerading. Ist in ca 10-20min. je nach Erfahrung mit Netzwerken voll eingerichtet und konfiguriert. Gute Hilfe findest du unter http://www.ipcop-forum.de , allerdings wird dir da nicht die Doku vorgelesen.
|
AMDfreak
Little Overclocker
|
Interessant, aber das muss ich mir noch überlegen, ob ich wirklich eine neue Distri aufsetzen will. Jetzt mit SuSE ist es immerhin ein vollwertiger Rechner.
Das mit "vorlesen" verstehe ich nicht, spielst darauf an, dass ich lieber die Doku lesen soll als hier zu fragen? Wenn ich nicht schon 14 Stunden (seit gestern Nachmittag, ausgenommen Nacht) ohne brauchbares Ergebnis daran Arbeiten würde, würde ich eh nicht fragen...
Jetzt versuch ichs jedenfalls noch weiter mit SuSE und iptables.
|
spunz
ElderElder
|
dns server eingetragen?
|
that
Hoffnungsloser Optimist
|
Ein paar Fakten wären schon gut.
Welche IPs haben die beteiligten NICs? Welche Netzwerkmasken werden verwendet? Wie genau hast du "Ipforwarding und Masquerading aktiviert"?
|
AMDfreak
Little Overclocker
|
dns server eingetragen? Als DNS Server hab ich am Windowsclient und auf der Linux-Firewall (unter Nameserver, was ja das selbe sein dürfte) 10.0.0.1 eingetragen. Einen DNS-Dienst habe ich (afaik)  nicht laufen auf der Firewall. 10.0.0.1 ist der Router, der das "äußere" LAN mit dem Internet verbindet. Okay, Fakten: eth0, das "äußere" Interface, hat 10.0.168/24, das ist die mir manuell zugewiesen IP im "großen" LAN. eth1, das "innere" Interface, hat 172.16.1.254/16, der Windowsclient hat 172.16.1.3/16 Ich arbeite (mittlerweile) ohne Script und gebe nach dem booten einfach forlgendes nacheinander in die shell ein: iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Vorher habe ich es mit der SuSEFirewall2 versucht, hab sie nach einem Tutorial konfiguriert und hatte auch das selbe Ergebnis wie mit diesen paar Zeilen: Wie gesagt, das Problem ist, am Client funtkioniert nur http, kein ftp, kein E-Mail, kein WoW, kein P2P, kein Miranda, kein ICQ, ich kann nur im Web surfen.  Und ich glaube noch immer, dass das Problem beim Windows-Client liegen könnte, bei dem ich nur 172.16.1.254 als Default-Gateway eingeben habe. Sollte ich darauf sonst noch etwas machen?
|
AMDfreak
Little Overclocker
|
Verwende jetzt das Script aus diesem Thread. Das Problem ist:  Das Problem besteht noch immer!   Vielleicht hat also noch jemand einen Tipp. Wie gesagt, es geht noch immer darum, dass ich nur im Web surfen kann, während alle Programme über die Firewall nicht ins Netz kommen. Und ich vermute noch immer, dass das Problem am Windows-Client liegt. Ich habe aber keine Ahnung wo genau... Bitte um Hilfe! MfG Freak
|
DJ_Cyberdance
Here to stay
|
Also die Windows-Firewall hast Du ja hoffentlich deaktiviert. Vermutlich mußt Du die entsprechenden Ports forwarden. Am besten mit iptables:
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 2300:2330 -j DNAT --to-destination 192.168.1.10:2300-2330
So funktioniert das bei mir wunderbar. In diesem Fall werden Ports 2300 bis 2330 an den Rechner 192.168.1.10, der an Interface eth1 hängt, weitergeleitet. Mach das für HTTP/FTP/WoW/... was auch immer Du brauchst. Aufpassen, manche Protokolle erfordern zusätzlich UDP! (statt -p tcp dann -p udp). Sinnvollerweise alle iptables vorher mit iptables -F löschen.
|
Crash Override
BOfH
|
Gib mal ipcop eine chance. Wenn es nach einer halben Stunde nicht läuft hast du nicht viel verloren. Baue einfach eine alte unbenutzte Platte ein, und gönne dir den 50 MB download. Mit doku wird nicht vorgelesen meinte ich das IPCop Forum. Die Duku zu IPCop ist kurz und einfach, und trotzdem wird sie selten gelesen. Ich brauche zum aufsetzen und Konfigurieren für einen IPCop 7-10min. Hardware ist dann ca:
CPU: P1 133 - Celeron 333
RAM: 32 - 256 MB
HDD: 1 - 10 GB
Netzwerkkarten: Diverse 3Com, Intel, Realtek Clones mit 10 oder 100Mbit/s
Das reicht als Router für DSL auch bei 6000kbit/s lange aus. Ausserdem ist das Webinterface etwas sehr nettes.
|
BigJuri
Reservoir Dog
|
@Crash Override: Stehst du eigentlich bei einem der IPCop-Entwickler auf der Lohnliste? Egal wo das eigentliche Problem liegt, überall empfiehlst du den Einsatz von IPCop.
Die Distri ist zwar nicht schlecht, aber es gibt durchaus Alternativen bzw. wollen die Leute ja vielleicht einfach nur das Problem bei ihrer bestehenden Firewall lösen und nicht gleich ganz umsteigen.
|
Crash Override
BOfH
|
Was heiist hier Lohnliste? Ich entwickle manchmal kleinigkeiten dafür, supporte ihn kostenplichtig in meiner Umgebung und kostenlos im Forum. Einen Entwickler kenne ich privat, sowie die meisten sehr aktiven sowie admins und mods im ipcop-forum. Und ich bin der Meinung das wir da eine sehr gute Software zusammengebastelt haben.
|
DJ_Cyberdance
Here to stay
|
Und ich bin der Meinung das wir da eine sehr gute Software zusammengebastelt haben. Das ist schön. IpCop ist auch eine nette Sache. Aber IMO wirklich overkill wenns um die Lösung dieses Problems geht. Mit Kanonen auf Spatzen zu schießen ist schließlich auch nicht nötig.
|
Anmeldung