gutberle
18.10.01, 20:49
Hi,
ich nutze SuSE 7.1 mit allen verfügbaren Updates zur Zeit eigentlich nur als ISDN Gateway, mit SuSEfirewall/Masq. Ansonsten läuft schon ein DNS-Server mit einer installierten lokalen Zone für mein geplantes Mini-LAN. DNS läuft OK, das Routing auch, aber wenn ich von meinem Laptop (W2K) ins Netz will, funktioniert das immer erst nach mehreren Versuchen, resp. nach etwas Delay.
Die Firewall wird über AutoDial gestartet und sobald die Verbindung steht und die Firewall sich initialisiert hat (bis zu 12 Sekunden!!!), läuft alles bestens und sogar sicher ;-)
Die SDB sagt, die fehlgeschlagenen Zugriffe lägen vermutlich an Ports (z.B. DNS UDP), die vor dem FW-Init offen und dann für die Antwort wg. der FW plötzlich zu sind. Hab ich getestet, das ist es aber offensichtlich nicht, alle HighPorts sind erlaubt, DNS als TCP und UPD erlaubt, Routing wird nach Abbau der ippp0 Verbindung aufrechterhalten, etc.
Ich habe mit Ethereal geschaut und gesehen, daß die Anfragen (z.B. POP) VOR dem FW-Init unter meiner internen IP 192.268... ins Netz gehen, und NACH dem FW-Init trotz laufendem MASQ immer noch unter meiner internen IP rausgehen. Das hat natürlich keine Zukunft... - Unterbreche ich den POP-Zugriff und starte ihn erneut, gehen die Anfragen gemasqed ins Netz und alles läuft!
Kann mir jemand sagen, was da los ist, oder eine vernünftige Teststrategie nennen? Mir wäre es auch lieber, die Firewall beim Systemstart sofort zu aktivieren (mit den ippp0 Regeln), ich habe aber bei gesetzter statischer Adresse keinen Erfolg gehabt, weil offensichtlich der Wechsel auf die dyn IP nicht funktioniert (oder ich bin zu blöd dazu...). Ohne die statische Adresse fehlt der FW aber offensichtlich beim Boot das Device.
Ich wäre dankbar für jeden Hinweis,
Ingmar
ich nutze SuSE 7.1 mit allen verfügbaren Updates zur Zeit eigentlich nur als ISDN Gateway, mit SuSEfirewall/Masq. Ansonsten läuft schon ein DNS-Server mit einer installierten lokalen Zone für mein geplantes Mini-LAN. DNS läuft OK, das Routing auch, aber wenn ich von meinem Laptop (W2K) ins Netz will, funktioniert das immer erst nach mehreren Versuchen, resp. nach etwas Delay.
Die Firewall wird über AutoDial gestartet und sobald die Verbindung steht und die Firewall sich initialisiert hat (bis zu 12 Sekunden!!!), läuft alles bestens und sogar sicher ;-)
Die SDB sagt, die fehlgeschlagenen Zugriffe lägen vermutlich an Ports (z.B. DNS UDP), die vor dem FW-Init offen und dann für die Antwort wg. der FW plötzlich zu sind. Hab ich getestet, das ist es aber offensichtlich nicht, alle HighPorts sind erlaubt, DNS als TCP und UPD erlaubt, Routing wird nach Abbau der ippp0 Verbindung aufrechterhalten, etc.
Ich habe mit Ethereal geschaut und gesehen, daß die Anfragen (z.B. POP) VOR dem FW-Init unter meiner internen IP 192.268... ins Netz gehen, und NACH dem FW-Init trotz laufendem MASQ immer noch unter meiner internen IP rausgehen. Das hat natürlich keine Zukunft... - Unterbreche ich den POP-Zugriff und starte ihn erneut, gehen die Anfragen gemasqed ins Netz und alles läuft!
Kann mir jemand sagen, was da los ist, oder eine vernünftige Teststrategie nennen? Mir wäre es auch lieber, die Firewall beim Systemstart sofort zu aktivieren (mit den ippp0 Regeln), ich habe aber bei gesetzter statischer Adresse keinen Erfolg gehabt, weil offensichtlich der Wechsel auf die dyn IP nicht funktioniert (oder ich bin zu blöd dazu...). Ohne die statische Adresse fehlt der FW aber offensichtlich beim Boot das Device.
Ich wäre dankbar für jeden Hinweis,
Ingmar