Webserver hinter Router nicht erreichbar

**datag** · 20.07.09, 00:46

Ich habe ein etwas seltsames Problem: Hinter meinem Router sind einige Webserver von den Workstations "nicht erreichbar". Kandidaten sind z.B. :
- www.microsoft.com (ich will dort eigentlich garnicht hin

- noch nie erreichbar gewesen)
- www.break.com (geht hin und wieder)
- www.bahn.de (ging früher überhaupt nicht, jetzt öfter)
Hier ein Beispiel, wie sich das bei www.microsoft.com auswirkt:

Code:

dominik@pc3800 ~ $ wget www.microsoft.com
--2009-07-20 01:43:09--  http://www.microsoft.com/
Auflösen des Hostnamen »www.microsoft.com«.... 65.55.12.249, 65.55.21.250
Verbindungsaufbau zu www.microsoft.com|65.55.12.249|:80... verbunden.
HTTP Anforderung gesendet, warte auf Antwort... 302 Found
Platz: /en/us/default.aspx[folge]
--2009-07-20 01:43:09--  http://www.microsoft.com/en/us/default.aspx
Wiederverwendung der bestehenden Verbindung zu www.microsoft.com:80.
HTTP Anforderung gesendet, warte auf Antwort... ^C    # test abgebrochen...
dominik@pc3800 ~ $

Zu meinem Setup:
Ein Mini-ITX board als mein Server und Router; es läuft ein gentoo System. An einem Netzwerkinterface ist ein DSL-Modem direkt angeschlossen. Das darauf "gemappte" ppp-Interface hat eine MTU von 1492 (dies sollte ja genau dieses Problem vermeiden). Weiterhin wird iptables mit port-forwarding/NAT genutzt. Die Konfiguration von iptables ist mehr oder weniger default for einen home-router. Ich hatte neulich einmal folgende rule hinzugefügt, jedoch ohne Erfolg:

Code:

iptables -A FORWARD -o ppp0 -p TCP --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Mein ISP ist m-net.

Hat jemand auch schon einmal eine derartige Erfahrung gemacht? Kann mir jemand einen Tipp geben? Wie debuggen, wie den Fehler eingrenzen? Bin für jede Hilfe dankbar.

Edit:
Ich habe gerade nach weiterer Suche folgenden Thread gefunden, der quasi 1:1 mein Problem trifft: http://www.linuxforen.de/forums/showthread.php?t=260773
Hier hat wohl die Geschichte mit clamp-mss-to-pmtu zum Erfolg geführt... bei mir allerdings ist diese Rule ja schon enthalten. Oder stimmt die Rule nicht? Im thread wurde folgende erwähnt (noch nicht getestet):

Code:

iptables -I FORWARD 1 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Was bedeutet die 1 dort? Muss diese Rule an den Anfang oder ans Ende? Interface angeben oder nicht?

Edit: Habe obige Rule nun 1:1 ausprobiert und es funktioniert... Wahnsinn. Mich würde trotzdem interessieren, wo das Problem lag. Kann mir das jemand genauer erklären? Und auch der Unterschied der Rules... und macht die Reihenfolge hier einen Unterschied?

Last edit: Ich nehme an, dass die 1 ein Tippfehler war. Ich habe zusätzlich noch das interface ppp0 angegeben und es funktioniert damit auch. Es scheint die Reihenfolge zu sein

**netlinker** · 22.07.09, 04:30

HI datag,

natürlich ist die Reihenfolge der Rules wichtig.
Diese werden ja Top-Down abgerabeitet.
Sprich, wenn du ein Accept vor dieser Rule hattest, so diese Rule nie abgearbeitet.

Ein Accept, Deny oder Reject ist ja ein finales Kommando in der Regelabarbeitung, sprich die Regelabareitung wir mit solch einem Kommando beendet und das Paket wird dann halt geforwarded oder verworfen. Alles was danach kommt interessiert nicht mehr.

Gruß nl

**datag** · 22.07.09, 15:31

Hi netlinker,

eigentlich klar. Ich hatte nicht bedacht, dass meine ACCEPT-regeln bei der Abarbeitung ja einen break bewirken. Danke nochmal für deine Erläuterung.

Bin auf jeden Fall froh, endlich wieder auf alle Server draufzukommen (inkl. microsoft.com .... auf der ich eigentlich nichts zu suchen habe

).