mysteriöses ebay problem

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
pr0pa
Beiträge: 236
Registriert: 11.02.2003 20:13:38

mysteriöses ebay problem

Beitrag von pr0pa » 25.11.2003 22:38:20

hallo
ich habe einen dsl-linux-router.
er funktioniert.
das verwunderlicht ist, die maskierten clients können ab uns zu nicht auf
http://www.ebay.de
oder gmx.de, ich habe keine ahnung warum.

unter den clients sond linux und win-clients.

ich habe keine ahnung wo und wie ich anfangen soll den fehler zu suchen, andere beiträge sprachen vom browser cache und MTU.
ich bin wirklich verzewifelt ..

weiß jemand rat ??

danke, marian
Nach oben
Benutzeravatar
blackm
Moderator und Co-Admin
Beiträge: 5921
Registriert: 02.06.2002 15:03:17
Lizenz eigener Beiträge: MIT Lizenz

Re: mysteriöses ebay problem

Beitrag von blackm » 25.11.2003 22:40:42

pr0pa hat geschrieben:andere beiträge sprachen vom browser cache und MTU.
ich bin wirklich verzewifelt ..
Hast du das mit dem MTU schonmal ueberprueft?
Schöne Grüße

Martin

Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden
Nach oben
pr0pa
Beiträge: 236
Registriert: 11.02.2003 20:13:38

Beitrag von pr0pa » 25.11.2003 22:45:59

hmm wo genau stelle ich denn die MTU ein ? bei den clienten ?
ich habe diesen rechner aber so wie er ist von einem anderen router an den gehängt und das problem ist erst jetzt aufgetreten.
Nach oben
arzie
Beiträge: 134
Registriert: 17.02.2002 15:51:03

Beitrag von arzie » 25.11.2003 22:53:28

In deinem Iptables-Script wo du das Masquerading oder Nat machst, schreib mal folgende Zeile drueber.

$iptables -t nat -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

arzie
Nach oben
Benutzeravatar
tbals
Beiträge: 191
Registriert: 10.07.2002 11:19:23

Beitrag von tbals » 25.11.2003 23:13:40

wenn du einen dsl-anschluss hast solltest du die mtu von deinem rechner auch 1492 stellen.
z.b. per config-file

Code: Alles auswählen

iface eth0 inet static
        address 172.20.10.2
        netmask 255.255.255.0
        broadcast 172.20.10.255
        gateway 172.20.10.1 mtu 1492
dann gilt 1492 nur fuer deine default-route, alles andere geht noch mit 1500.


gruss
thomas
1985 war gestern.
Nach oben
pr0pa
Beiträge: 236
Registriert: 11.02.2003 20:13:38

Beitrag von pr0pa » 26.11.2003 16:09:07

tbals : durch eintragen in der /etc/networks/interfaces des clienten hat sich die mtu nicht ändern lassen. :-( trotzdem danke :-)

arzie : ja das scheint zu funktionieren, vielen vielen dank.

problem gelöst - verstanden habe ich das trotzdem nicht ... kann man die mtu bei server und client einstellen ?
Nach oben
pr0pa
Beiträge: 236
Registriert: 11.02.2003 20:13:38

Beitrag von pr0pa » 01.12.2003 15:47:16

es geht nicht mehr ... :-((

die mtu von ethß und eth1 sind auf 1500
die mtu von ppp0 ist auf 1454

weger router von clients kommen mit ping an http://www.gmx.de oder http://www.ebay.de ran.
komischerweise geht von router der zugriff via lynx amf ebay und gmx.

wieso geht das jetzt auf einmal nicht mehr ??
bin am verzweifeln ...
Nach oben
init 0
Beiträge: 673
Registriert: 21.10.2003 19:40:28

Beitrag von init 0 » 01.12.2003 17:34:09

Die mtu solltest du auf 1492 stellen. Bei mir stehts unter /etc/ppp/peers/t-online oder unter /etc/ppp/peers/dsl-provider.
ifconfig meint dazu

Code: Alles auswählen

ppp0      Link encap:Point-to-Point Protocol  
          inet addr:217.232.217.64  P-t-P:217.5.98.172  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:27706 errors:0 dropped:0 overruns:0 frame:0
          TX packets:45273 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3 
          RX bytes:7587742 (7.2 MiB)  TX bytes:6541294 (6.2 MiB)
Die option heisst:

Code: Alles auswählen

mtu 1492
Die MTU von der ethx bleibt bei 1500.
Nach oben
pr0pa
Beiträge: 236
Registriert: 11.02.2003 20:13:38

Beitrag von pr0pa » 01.12.2003 19:15:36

hallo, mtu 1492 steht bei mir drinne.

ein ifconfig verrät mir aber dass die mtu auf 1454 eingestellt ist ...
???

auch ein nachträgliches
ifconfig ppp0 mtu 1492
ändert zwar den wert, aber ebay geht trotzdem nicht ...
muss ich noch etwas neu starten ?
Nach oben
pr0pa
Beiträge: 236
Registriert: 11.02.2003 20:13:38

Beitrag von pr0pa » 01.12.2003 19:46:05

ein Eintrag in die
/etc/ppp/options
scheint die Sache erstmal zu lösen ... ( aus der Masquerading Howto )
hoffendlich bleibts so ..

danke für die Hilfe !
Nach oben
pr0pa
Beiträge: 236
Registriert: 11.02.2003 20:13:38

Beitrag von pr0pa » 01.12.2003 19:49:14

ein
ifconfig
bringt aber immernoch die MTU 1454 ?????
ich weiß keinen Rat !
Nach oben
crazypenguin
Beiträge: 32
Registriert: 25.06.2003 15:39:54

Beitrag von crazypenguin » 02.12.2003 13:58:53

MTU steht für Maximum Transfer Unit und gibt die maximale Größe eines Paketes in Byte an. Sollte ein Paket größer sein, wird es fragmentiert. Daß da ein kleinerer Wert steht sollte nicht stören - laß es einfach so, denn hier werden zusätzlich noch Headerinformationen rausgerechnet...
CU - Der Pinguin

these are the words of the penguin
obey them at any time or i will strike vengeance upon thee
Nach oben
pr0pa
Beiträge: 236
Registriert: 11.02.2003 20:13:38

Beitrag von pr0pa » 02.12.2003 22:42:44

das würde ich ja, wenn die clients
http://www.ebay.de
http://www.gmx.de
http://www.deutsche-bank.de
dauerhaft äffnen könnten.
manchmal scheint es aufeinmal zu gehen aber die 100451 anderen Male geht es einfach nicht.
Meine WG-Mitbewohner hauen mich langsam ...

wo kann ich den Fehler noch suchen ?
Nach oben
Benutzeravatar
pdreker
Beiträge: 8298
Registriert: 29.07.2002 21:53:30
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Nürnberg

Beitrag von pdreker » 02.12.2003 22:46:13

Code: Alles auswählen

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Das in der Firewall hat schon einiges gelöst... Damit wird die MSS (Maximum Segment Size, Datensegmentgrösse in TCP) and die PMTU (Path MTU, maximale MTU, die der gesamte Pfad von hier bis zum Remote unterstützt) angeglichen.

Ohne das gehen bei mir bestimmte Webserver nicht...

Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de
Nach oben
pr0pa
Beiträge: 236
Registriert: 11.02.2003 20:13:38

Beitrag von pr0pa » 04.12.2003 20:50:20

Ich mache das wirklich nicht mit Absicht.
ich habe die Zeile eingetragen, nach einem Neustart ging es.
Jetzt geht es nicht mehr, ich habe nichts verändert.
Hier sind mal die Firewall Scripte :
#!/bin/sh
#
#-------------------
#Abschnitt 1 : Laden der Module
#-------------------
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
echo "1">/proc/sys/net/ipv4/ip_forward
echo "1">/proc/sys/net/ipv4/ip_dynaddr
#
#-------------------
#Abschnitt 2 : bisherige Regeln l?schen und neue Standard-Policy setzten
#-------------------
iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
#
#-------------------
#Abschnitt 3 : allgemeine Regeln
#-------------------
#dns (Domain Name Server) - Aufl?sung von Domainnamen in IP-Addressen
iptables -A OUTPUT -p udp --sport 1024: --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 194.25.2.129 --sport 53 --dport 1024: -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -s 194.25.2.129 --sport 53 --dport 1024: --syn -j ACCEPT
#
#http
iptables -A OUTPUT -p tcp --sport 1024: --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 80 --dport 1024: --syn -j ACCEPT
#
#https
iptables -A OUTPUT -p tcp --sport 1024: --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --sport 443 --dport 1024: --syn -j ACCEPT
#
#loopback network interfaces
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#
#Abschnitt 4 : erweiterte Regeln
#smtp email senden
iptables -A OUTPUT -p tcp --sport 1024: --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --sport 24 --dport 1024: --syn -j ACCEPT
#pop3 email empfangen
iptables -A OUTPUT -p tcp --sport 1024: --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --sport 110 --dport 1024: --syn -j ACCEPT
#realaudio
iptables -A INPUT -p tcp --sport 554 --dport 1024: --syn -j ACCEPT
iptables -A INPUT -p udp --dport 7070 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 554 -j ACCEPT
#
#nfs

iptables -A INPUT -i eth1 -s 192.168.1.100 -p tcp --sport 602: --dport 111 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.101 -p tcp --sport 602: --dport 111 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.102 -p tcp --sport 602: --dport 111 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.110 -p tcp --sport 602: --dport 111 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.111 -p tcp --sport 602: --dport 111 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.112 -p tcp --sport 602: --dport 111 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.120 -p tcp --sport 602: --dport 111 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.121 -p tcp --sport 602: --dport 111 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.122 -p tcp --sport 602: --dport 111 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.130 -p tcp --sport 602: --dport 111 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.131 -p tcp --sport 602: --dport 111 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.132 -p tcp --sport 602: --dport 111 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.140 -p tcp --sport 602: --dport 111 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.141 -p tcp --sport 602: --dport 111 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.142 -p tcp --sport 602: --dport 111 -j ACCEPT

iptables -A INPUT -i eth1 -s 192.168.1.100 -p udp --sport 602: --dport 900: -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.101 -p udp --sport 602: --dport 900: -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.102 -p udp --sport 602: --dport 900: -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.111 -p udp --sport 602: --dport 900: -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.112 -p udp --sport 602: --dport 900: -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.120 -p udp --sport 602: --dport 900: -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.121 -p udp --sport 602: --dport 900: -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.122 -p udp --sport 602: --dport 900: -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.130 -p udp --sport 602: --dport 900: -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.131 -p udp --sport 602: --dport 900: -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.132 -p udp --sport 602: --dport 900: -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.140 -p udp --sport 602: --dport 900: -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.141 -p udp --sport 602: --dport 900: -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.142 -p udp --sport 602: --dport 900: -j ACCEPT

iptables -A INPUT -i eth1 -s 192.168.1.100 -p udp --sport 646: --dport 111 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.101 -p udp --sport 646: --dport 111 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.102 -p udp --sport 646: --dport 111 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.110 -p udp --sport 646: --dport 111 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.111 -p udp --sport 646: --dport 111 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.112 -p udp --sport 646: --dport 111 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.120 -p udp --sport 646: --dport 111 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.121 -p udp --sport 646: --dport 111 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.122 -p udp --sport 646: --dport 111 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.140 -p udp --sport 646: --dport 111 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.141 -p udp --sport 646: --dport 111 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.1.142 -p udp --sport 646: --dport 111 -j ACCEPT

iptables -A OUTPUT -o eth1 -d 192.168.1.100 -p udp --sport 1024: --dport 634: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.101 -p udp --sport 1024: --dport 634: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.102 -p udp --sport 1024: --dport 634: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.100 -p udp --sport 1024: --dport 634: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.111 -p udp --sport 1024: --dport 634: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.112 -p udp --sport 1024: --dport 634: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.120 -p udp --sport 1024: --dport 634: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.121 -p udp --sport 1024: --dport 634: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.122 -p udp --sport 1024: --dport 634: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.130 -p udp --sport 1024: --dport 634: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.131 -p udp --sport 1024: --dport 634: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.132 -p udp --sport 1024: --dport 634: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.140 -p udp --sport 1024: --dport 634: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.141 -p udp --sport 1024: --dport 634: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.142 -p udp --sport 1024: --dport 634: -j ACCEPT

iptables -A OUTPUT -o eth1 -d 192.168.1.100 -p udp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.101 -p udp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.102 -p udp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.110 -p udp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.111 -p udp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.112 -p udp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.120 -p udp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.121 -p udp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.122 -p udp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.130 -p udp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.131 -p udp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.132 -p udp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.140 -p udp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.141 -p udp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.142 -p udp --sport 111 --dport 600: -j ACCEPT

iptables -A OUTPUT -o eth1 -d 192.168.1.100 -p tcp --sport 1011 --dport 900: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.101 -p tcp --sport 1011 --dport 900: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.102 -p tcp --sport 1011 --dport 900: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.110 -p tcp --sport 1011 --dport 900: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.111 -p tcp --sport 1011 --dport 900: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.112 -p tcp --sport 1011 --dport 900: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.120 -p tcp --sport 1011 --dport 900: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.121 -p tcp --sport 1011 --dport 900: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.122 -p tcp --sport 1011 --dport 900: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.130 -p tcp --sport 1011 --dport 900: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.131 -p tcp --sport 1011 --dport 900: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.132 -p tcp --sport 1011 --dport 900: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.140 -p tcp --sport 1011 --dport 900: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.141 -p tcp --sport 1011 --dport 900: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.142 -p tcp --sport 1011 --dport 900: -j ACCEPT

iptables -A OUTPUT -o eth1 -d 192.168.1.100 -p tcp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.101 -p tcp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.102 -p tcp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.110 -p tcp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.111 -p tcp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.112 -p tcp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.120 -p tcp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.121 -p tcp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.122 -p tcp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.130 -p tcp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.131 -p tcp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.132 -p tcp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.140 -p tcp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.141 -p tcp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.1.142 -p tcp --sport 111 --dport 600: -j ACCEPT

#
#ssh nur 192.168.1.100,101,130
iptables -A INPUT -i eth1 -p tcp -s 192.168.1.130 -d 192.168.1.5 --sport 32000: --dport 22 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp -s 192.168.1.100 -d 192.168.1.5 --sport 32000: --dport 22 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp -s 192.168.1.101 -d 192.168.1.5 --sport 32000: --dport 22 -j ACCEPT

iptables -A OUTPUT -o eth1 -p tcp -s 192.168.1.5 -d 192.168.1.130 --sport 22 --dport 32000: ! --syn -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp -s 192.168.1.5 -d 192.168.1.100 --sport 22 --dport 32000: ! --syn -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp -s 192.168.1.5 -d 192.168.1.101 --sport 22 --dport 32000: ! --syn -j ACCEPT

iptables -A OUTPUT -o eth1 -p tcp -s 192.168.1.5 -d 192.168.1.130 --sport 32000: --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp -s 192.168.1.5 -d 192.168.1.100 --sport 32000: --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp -s 192.168.1.5 -d 192.168.1.101 --sport 32000: --dport 22 -j ACCEPT

iptables -A INPUT -i eth1 -p tcp -s 192.168.1.130 -d 192.168.1.5 --sport 22 --dport 32000: ! --syn -j ACCEPT
iptables -A INPUT -i eth1 -p tcp -s 192.168.1.100 -d 192.168.1.5 --sport 22 --dport 32000: ! --syn -j ACCEPT
iptables -A INPUT -i eth1 -p tcp -s 192.168.1.101 -d 192.168.1.5 --sport 22 --dport 32000: ! --syn -j ACCEPT

#telnet nur intern 192.168.1.100,101,130
iptables -A INPUT -i eth1 -p tcp -s 192.168.1.130 -d 192.168.1.5 --sport 32000: --dport 23 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp -s 192.168.1.100 -d 192.168.1.5 --sport 32000: --dport 23 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp -s 192.168.1.101 -d 192.168.1.5 --sport 32000: --dport 23 -j ACCEPT

iptables -A OUTPUT -o eth1 -p tcp -s 192.168.1.5 -d 192.168.1.130 --sport 23 --dport 32000: ! --syn -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp -s 192.168.1.5 -d 192.168.1.100 --sport 23 --dport 32000: ! --syn -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp -s 192.168.1.5 -d 192.168.1.101 --sport 23 --dport 32000: ! --syn -j ACCEPT

iptables -A OUTPUT -o eth1 -p tcp -s 192.168.1.5 -d 192.168.1.130 --sport 1024: --dport 23 -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp -s 192.168.1.5 -d 192.168.1.100 --sport 1024: --dport 23 -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp -s 192.168.1.5 -d 192.168.1.101 --sport 1024: --dport 23 -j ACCEPT

iptables -A INPUT -i eth1 -p tcp -s 192.168.1.130 -d 192.168.1.5 --sport 23 --dport 1024: ! --syn -j ACCEPT
iptables -A INPUT -i eth1 -p tcp -s 192.168.1.100 -d 192.168.1.5 --sport 23 --dport 1024: ! --syn -j ACCEPT
iptables -A INPUT -i eth1 -p tcp -s 192.168.1.101 -d 192.168.1.5 --sport 23 --dport 1024: ! --syn -j ACCEPT

#whois
iptables -A OUTPUT -p tcp --sport 1024 --dport 43 -j ACCEPT
iptables -A INPUT -p tcp --sport 43 --dport 1024: --syn -j ACCEPT

#finger
iptables -A OUTPUT -p tcp --sport 1024: --dport 79 -j ACCEPT
iptables -A INPUT -p tcp --sport 79 --dport 1024: --syn -j ACCEPT

#
#Abschnitt 5 : ICMP-Einstellungen
#
#ping
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A FORWARD -o ppp0 -p icmp --icmp-type echo-request -j ACCEPT
iptables -A FORWARD -i ppp0 -p icmp --icmp-type echo-reply -j ACCEPT

#icmp destination unrechables
iptables -A OUTPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A FORWARD -o ppp0 -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A FORWARD -i ppp0 -p icmp --icmp-type destination-unreachable -j ACCEPT

#icmp source-quench (??)
iptables -A INPUT -p icmp --icmp-type source-quench -j ACCEPT
iptables -A FORWARD -i ppp0 -p icmp --icmp-type source-quench -j ACCEPT

#icmp time-exceeded
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A FORWARD -i ppp0 -p icmp --icmp-type time-exceeded -j ACCEPT

#icmp parameter-problem
iptables -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT
iptables -A FORWARD -i ppp0 -p icmp --icmp-type parameter-problem -j ACCEPT

#externe netbios-Anfrage (Network Basic Input/Output System)
iptables -A INPUT -p udp --dport netbios-ns -j DROP
iptables -A INPUT -p udp --dport netbios-dgm -j DROP
iptables -A INPUT -p tcp --dport netbios-ssn -j DROP

#
#Abschnitt 6
#abgehende PACKETE FORWARDING Routing PAcketweiterleiting
iptables -A FORWARD -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#ankommende Packet FORWARDING ...
iptables -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#NAT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE


#icq
iptables -t nat -A PREROUTING -i 192.168.1.5 -p tcp --dport 30000:30100 -j DNAT --to 192.168.1.100
iptables -t nat -A PREROUTING -i 192.168.1.5 -p tcp --dport 30000:30010 -j DNAT --to 192.168.1.101
iptables -t nat -A PREROUTING -i 192.168.1.5 -p tcp --dport 30000:30010 -j DNAT --to 192.168.1.102
iptables -t nat -A PREROUTING -i 192.168.1.5 -p tcp --dport 30000:30010 -j DNAT --to 192.168.1.110
iptables -t nat -A PREROUTING -i 192.168.1.5 -p tcp --dport 30000:30010 -j DNAT --to 192.168.1.111
iptables -t nat -A PREROUTING -i 192.168.1.5 -p tcp --dport 30000:30010 -j DNAT --to 192.168.1.112
iptables -t nat -A PREROUTING -i 192.168.1.5 -p tcp --dport 30000:30010 -j DNAT --to 192.168.1.120
iptables -t nat -A PREROUTING -i 192.168.1.5 -p tcp --dport 30000:30010 -j DNAT --to 192.168.1.121
iptables -t nat -A PREROUTING -i 192.168.1.5 -p tcp --dport 30000:30010 -j DNAT --to 192.168.1.122
iptables -t nat -A PREROUTING -i 192.168.1.5 -p tcp --dport 30000:30010 -j DNAT --to 192.168.1.130
iptables -t nat -A PREROUTING -i 192.168.1.5 -p tcp --dport 30000:30010 -j DNAT --to 192.168.1.131
iptables -t nat -A PREROUTING -i 192.168.1.5 -p tcp --dport 30000:30010 -j DNAT --to 192.168.1.132
iptables -t nat -A PREROUTING -i 192.168.1.5 -p tcp --dport 30000:30010 -j DNAT --to 192.168.1.140
iptables -t nat -A PREROUTING -i 192.168.1.5 -p tcp --dport 30000:30010 -j DNAT --to 192.168.1.141
iptables -t nat -A PREROUTING -i 192.168.1.5 -p tcp --dport 30000:30010 -j DNAT --to 192.168.1.142

#lopster
LOPSTER="6680:6699"
LOPSTER_NET="3333,3456,4444,5555,6000,6666,6667,6699,7777,8888"

iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport $LOPSTER -j DNAT --to 192.168.1.100
iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport $LOPSTER -j DNAT --to 192.168.1.101
iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport $LOPSTER -j DNAT --to 192.168.1.102
iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport $LOPSTER -j DNAT --to 192.168.1.110
iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport $LOPSTER -j DNAT --to 192.168.1.111
iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport $LOPSTER -j DNAT --to 192.168.1.112
iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport $LOPSTER -j DNAT --to 192.168.1.120
iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport $LOPSTER -j DNAT --to 192.168.1.121
iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport $LOPSTER -j DNAT --to 192.168.1.122
iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport $LOPSTER -j DNAT --to 192.168.1.130
iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport $LOPSTER -j DNAT --to 192.168.1.131
iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport $LOPSTER -j DNAT --to 192.168.1.132
iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport $LOPSTER -j DNAT --to 192.168.1.140
iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport $LOPSTER -j DNAT --to 192.168.1.141
iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport $LOPSTER -j DNAT --to 192.168.1.142

iptables -A PREROUTING -t nat -i ppp0 -p tcp --sport $LOPSTER -j DNAT --to 192.168.1.100
iptables -A PREROUTING -t nat -i ppp0 -p tcp --sport $LOPSTER -j DNAT --to 192.168.1.101
iptables -A PREROUTING -t nat -i ppp0 -p tcp --sport $LOPSTER -j DNAT --to 192.168.1.102
iptables -A PREROUTING -t nat -i ppp0 -p tcp --sport $LOPSTER -j DNAT --to 192.168.1.110
iptables -A PREROUTING -t nat -i ppp0 -p tcp --sport $LOPSTER -j DNAT --to 192.168.1.111
iptables -A PREROUTING -t nat -i ppp0 -p tcp --sport $LOPSTER -j DNAT --to 192.168.1.112
iptables -A PREROUTING -t nat -i ppp0 -p tcp --sport $LOPSTER -j DNAT --to 192.168.1.120
iptables -A PREROUTING -t nat -i ppp0 -p tcp --sport $LOPSTER -j DNAT --to 192.168.1.121
iptables -A PREROUTING -t nat -i ppp0 -p tcp --sport $LOPSTER -j DNAT --to 192.168.1.122
iptables -A PREROUTING -t nat -i ppp0 -p tcp --sport $LOPSTER -j DNAT --to 192.168.1.130
iptables -A PREROUTING -t nat -i ppp0 -p tcp --sport $LOPSTER -j DNAT --to 192.168.1.131
iptables -A PREROUTING -t nat -i ppp0 -p tcp --sport $LOPSTER -j DNAT --to 192.168.1.132
iptables -A PREROUTING -t nat -i ppp0 -p tcp --sport $LOPSTER -j DNAT --to 192.168.1.140
iptables -A PREROUTING -t nat -i ppp0 -p tcp --sport $LOPSTER -j DNAT --to 192.168.1.141
iptables -A PREROUTING -t nat -i ppp0 -p tcp --sport $LOPSTER -j DNAT --to 192.168.1.142

iptables -A FORWARD -i ppp0 -p tcp --dport $LOPSTER -d 192.168.217.5 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --sport $LOPSTER -s 192.168.1.5 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o ppp0 -p tcp -m multiport --dport $LOPSTER_NET -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ppp0 -p tcp -m multiport --sport $LOPSTER_NET -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -o eth1 -p tcp -m multiport --dport $LOPSTER_NET -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp -m multiport --sport $LOPSTER_NET -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

#Abschnitt 7 abschlie_ende Regeln
#alles andere loggen
iptables -A INPUT -j LOG
iptables -A OUTPUT -j LOG

#ftp identifikation
iptables -A INPUT -p tcp --dport auth -j REJECT --reject-with tcp-reset
iptables -A FORWARD -i ppp0 -p tcp --dport auth -j REJECT --reject-with tcp-reset

#restliche eintreffende Packete verwerfen
iptables -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset
iptables -A OUTPUT -o udp -j REJECT
iptables -A OUTPUT -j DRO
#!/bin/sh
#
#rc.firewall-2.4
#
IPTABLES="/sbin/iptables"

EXTIF="ppp0"
INTIF="eth1"
/sbin/insmod ip_tables
/sbin/insmod ip_conntrack
/sbin/insmod ip_conntrack_ftp
/sbin/insmod ip_conntrack_irc
/sbin/insmod iptable_nat
/sbin/insmod ip_nat_ftp
echo "1">/proc/sys/net/ipv4/ip_forward
echo "1">/proc/sys/net/ipv4/ip_dynaddr
#$IPTABLES -t nat -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
$IPTABLES -I FORWARD -p TCP --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

$IPTABLES -P INPUT ACCEPT
$IPTABLES -F INPUT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F OUTPUT
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD
$IPTABLES -t nat -F
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
$IPTABLES -A FORWARD -j LOG
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERAD
bin für jede Hilfe und Vorschlag dankbar
Nach oben
pr0pa
Beiträge: 236
Registriert: 11.02.2003 20:13:38

Beitrag von pr0pa » 23.12.2003 18:17:54

hallo ..
kann es sein, dass es inzwischengar nichts mehr mit der MTU zu tun hat ?
die MTU ist auf 1454 eingestellt.
Wie gesagt geht vom Router ein Ping auf EBay nicht, aber lynx bekommt eine Verbindung.
Ich habe ab und zu probehalber Parameter in der Firewall geändert und danach ging es manchmal. Das blieb aber leider nicht so.
Mir kommt es vor, als ob ein Buffer oder so etwas gefüllt wird und es ab einem Bestimmten Zeitraum nicht geht.

Kann das Problem mit dem Routing ansich zusammenhängen.

Wie kann ich das Problem weiter eingrenzen ?

danke Marian
Nach oben
Benutzeravatar
KabelSalat
Beiträge: 167
Registriert: 15.12.2002 14:46:41
Lizenz eigener Beiträge: GNU Free Documentation License
Kontaktdaten:

Beitrag von KabelSalat » 23.12.2003 18:33:48

Hi,

ich denke mal das hat mit dem eingetragenen nameserver zu tun!

nehme da mal den von der Telekom 62.225.252.244

in die /etc/resove.conf eintragen

viel Erfolg
Nach oben
pr0pa
Beiträge: 236
Registriert: 11.02.2003 20:13:38

Beitrag von pr0pa » 30.12.2003 20:51:48

hmm ich komme über weihnachten und Silvester an den router nicht heran,
aber der DNS Server ist genau der von meinem provider und funitioniert auch, denn
mit lynx bekomme ich ja eine Verbindung.
Ich denke es muss ein Speicher sein, der voll geschrieben wird.
danke Marian
Nach oben
Antworten

Zurück zu „Netzwerk“