Moin!

Ich habe gerade mal ein dringendes Problem mit meinem iptables-Script.

Ich habe hier in der Firma einen Server mit 3 Netzwerkkarten.

eth0 geht nach draussen und eth2 ist die interne schnittstelle (eth1 hat besondere aufgaben ;)

Auf dem Server kann ich in's Netz, ping und nslookup aufrufen.
Sobald ich das aber über einen Client an eth2 versuche klappt überhaupt nix mehr.
Das Surfen habe ich über einen transparenten proxy gelöst und das funktioniert, solange ich IP's benutze.
Sobald ich einen Namen eingebe bleibt alles stehen.
Irgendwie kommen keine Antworten von aussen zurück! :(

Hat jemand eine Idee, ohne das ich jetzt mein komplettes Script hier reinstelle?

Moin

Hast du in der Forward-Kette Port 53 UDP und TCP frei gegeben?

Marcus

ja, hab ich

unter der voraussetzung daß das setzen der policy auf accept alles bei dir verweigerte dann erlaubt ist, und auch funktioniert, bleibt eine fehlerquelle im script vielfältig.

ohne das script selbst wirds wohl schwierig ...

ich hoffe mal, du hast das log für iptables eingeschaltet. dann müßtest du doch eigentlich sehen, ob die antworten weggeworfen werden, oder die anfragen nach draußen.

ich habe jetzt das masquerading aktiviert ... was ich eigentlcih nicht machen wollte.
Dummerweise funktioniert jetzt mein trans. Proxy nicht mehr :( ... schließlich werden die Packete ja maskiert.

Kann man bei der MASQUERDE Regel nicht auch ports angeben?

Hallo Dodger,
irgendwie hab' ichs noch nicht ganz gerafft. Von welcher Schnittstelle aus hast Du denn in welches Netz ohne Probleme Zugang? Wer ist bei Dir für die Namensauflösung verantwortlich? Wie hast Du den Proxy in den Filter gebunden? Was hast Du dem Proxy (Squid?) zur Namensauflösung gesagt? Wie war denn vorher alles konfiguriert? Ich meine, lief schon mal was völlig ohne Probleme? Seit wann funzt es denn nicht mehr, soll heißen, nachdem Du was verändert hast?
Schreib mal 'n bißchen mehr und dann schaun mer mal, okay?
Grüßchen
Naleau

Hat sich mittlerweile geklärt.
Hab gestern abend mal so locker :mad: 2 Stunden dran gesessen und die FW komplett neu aufgesetzt.

Aber trotzdem nochmal kurz erklärt:
eth0 ist die Schnittstelle in's Internet
eth2 in's interne Netz.

Der Server ist so konfiguriert, das HTTP(S) Anforderungen auf den lokalen Squid geleitet werden, ohne den bei den Client eintragen zu müssen (transparenter Proxy). Natürlich muß Squid dementsprechend konfiguriert werden,was ich nach dem HowTo erledigt habe.
Die Naeserver holt sich Squid korrekt aus /etc/resolv.conf

Vorher lief eigentlich gar nicht's korrekt auf der Kiste, ich habe sie erst am Montag aufgesetzt. :)

Was ich gern noch hätte, wäre das einsetzen des (SuSE)ftp-proxy als transparenter Proxy ... allerdings hat das nicht geklappt und ist auch nicht so sonderlich wichtig gewesen ... allerdings die Krönung ;)

so ka ... alles gute und danke für die Hilfe

Wie man macht denn einen transparenten Proxy?

Woher soll den der Browser wissen das er über nen Proxy raus soll?

Gruß Temp

Original geschrieben von Temp
Wie man macht denn einen transparenten Proxy?


In dem man in der Firewall alles was auf Port 80 | 443 auf den Port des Proxys (bei Squid ist es 3128) umleitet.
Somit muß man im Browser nicht den Proxy eintragen, weil das quasi transparent in der FW geschieht.



Woher soll den der Browser wissen das er über nen Proxy raus soll?

Der Browser weiß nicht's davon ... deswegen ist es ja transparent. :)