PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Win Clients hinter Suse 7.0 Router können nur www



Seiten : [1] 2

gear
12.03.02, 18:18
Folgendes Netz mach Probs:
DSL Flat an Suse 7.0 Router. Dahinter mehrere W2k clients.
Auf Router kann ich geht FTP und Nslookup ins Inet aber auf den Clients geht das nicht.
Der T-Online DNS Server steht in der resolv.conf

Auf den clients erscheint "Name kann nicht aufgelöst werden" Z.B. Beim versuch auf nen FTP zu zugreifen.
Auf dem Router geht das Problemlos. Ebenso ein Ping ist erfolglos.

Was ist hier die Barriere?

Newbie2001
12.03.02, 20:16
hast du auch auf den clients die nameserver eingetragen ?

gear
12.03.02, 21:02
Ja sind eingetragen.
Primär die Linux Kiste
Sekundär der T-Online DNS

Newbie2001
12.03.02, 22:35
Hab ich das jetzt richtig verstanden, du kannst mit den clients zwar http aber kein ftp, oder geht garnix. Wenn http geht aber ftp, hätte ich gesagt du hast die ftp-ports nicht freigeschaltet oder sowas (oder verwendest du noch nen Proxy?). Wenn keines von beidem geht würd ich mal ganz banal fragen, haste den linux-rechner als gateway eingetragen ? Oder funktioniert der Router überhaupt richtig ?

gear
12.03.02, 22:55
Also http geht auf allen Clients. Der Router ist als Gateway eingetragen. Ich nutze den Router auch als Proxy, doch FTP soll direkt gehen also ohne den Proxy.Die FTP Ports sind in der Firewall freigegeben.
Die Clients können einfach keine Hostnamen auflösen. Z.B. bei FTP oder AIM oder Morpheus..Pingen kann ich auch keine Inet Adresse z.B. Web.de
Bei Nslookup auf den Clients erscheint:

C:\>nslookup web.de
Server: router.xxxxxx.de
Address: 192.168.100.1

*** web.de wurde von router.xxxxxx.de nicht gefunden: Server
failed

(Meine Domäne hab ich durch xxxxxx ersetzt)

Torsten[EG]
13.03.02, 00:10
Und wenn Du den T-Online DNS als primären einstellst?

Wenn ich nslookup mache, erscheint

C:\>nslookup web.de
Server: issv0099.isis.de
Address: 195.158.131.2
(...)

Das ist nicht mein Router, sondern mein Provider-DNS.

gear
13.03.02, 00:19
Dann erscheint das:

C:\>nslookup web.de
DNS request timed out.
timeout was 2 seconds.
*** Der Servername für die Adresse 194.25.2.129 konnte nicht gefunden werden:
Timed out
Server: router.xxxxxxx.de
Address: 192.168.100.1

*** web.de wurde von router.xxxxxx.de nicht gefunden: Server
failed

Er versucht erst garnicht den primär DNS zu nehmen. Er nimmt immer meine Linux Kiste...Warum nur???

Torsten[EG]
13.03.02, 00:23
>DNS request timed out.
>timeout was 2 seconds.

Das kann nur zwei Sachen bedeuten:

1.) z.Zt. keine Internetverbindung
2.) DNS ist falsch eingetragen - noch einmal IP vom T-Offline-DNS überprüfen

Ping mal den T-Offline-DNS von einem Client / vom Router aus an, geht das?

gear
13.03.02, 00:26
Also ich bin im Internet...sonst könnt ich ja net hier schreiben.
Ping geht vom Router perfekt.
Bei den Clients kommt Zeitüberschreitung der Anforderung...

Torsten[EG]
13.03.02, 00:39
>Also ich bin im Internet...sonst könnt ich ja net hier schreiben.
Das wäre ja auch nur eine von 2 Möglichkeiten... ;)

>Ping geht vom Router perfekt.
>Bei den Clients kommt Zeitüberschreitung der Anforderung...
Ping mal bitte vom Client irgend einen anderen Server an (z.B. linuxforen.de). Wenn das nicht geht, kann es nur ein Problem mit der Firewall sein (anscheinend tatsächlich alle Ports bis auf 80/http gesperrt).

gear
13.03.02, 00:41
Es geht kein Ping...nirgendwo...

Aber in der Firewall config ist in beiden Richtungen der Port 21 , 20 und DNS frei....

Torsten[EG]
13.03.02, 00:48
Wenn Du die Firewall-Rules gerade erst geändert hast, hast Du schon die FW neu gestartet?

Okay okay, ist 'ne dumme Frage und ich glaube auch nicht, dass Du auf so etwas nicht selber kommst... :rolleyes:

Ich kenne jetzt Deine FW zu wenig, um genauere Aussagen über die Konfiguration dieser zu machen... Aber es weist alles darauf hin, das hier wahrscheinlich irgendwo ein kleiner Fehler liegt.

gear
13.03.02, 00:51
FW_SERVICES_EXTERNAL_TCP="5190 28800 47624 2300:2400 53 20 21 6667 119 3 1080 3128 110 25 27000:27900 1080 80 ssh"

FW_SERVICES_EXTERNAL_UDP="53 20 21 6667 119 3 110 4446 3128"
Kannste damit was anfangen?

Torsten[EG]
13.03.02, 01:20
Damit hat man von außen praktisch unbegrenzten Zugriff auf Dein Netz :D

Was ist mit den Internal Rules?

gear
13.03.02, 02:22
was meinst Du? hab ich doch geschrieben oder?

gear
13.03.02, 11:33
Noch jemand ne Idee???
Ich versteh das ganze net!

PigPen|tuX
13.03.02, 11:53
*meld*

ja ich,

hallo gear,

betreibst du auf deinem linuxserver auch einen eignen dns ???

wenn nicht, macht es keinen sind die IP des linuxserver in den DNS-Einstellungen anzugeben.

für diese lösung müsstest du in deinem falle die lmhosts pflegen auf deinen w2k-clients.

besser wäre es einen eigenen dns zu betreiben, und die auflösung intern und extern dem linux-server zu überlassen.

in der named.conf gibst du dann als forwarders die ips von t-online ein.

wichtig in der resolv.conf sollte dann so was wie

search mylan.intl
nameserver 192.168.x.x

des weitern solltest du dann in der rc.config ->yast verbieten deine resolv.conf zu überschreiben, sonst hat die auflösung auf einaml nicht mehr hin, wenn du mit yast was gebastelt hast.

daraus folgt für die w2k-clients...

in den DNS- Einstellungen nur die IP des Linuxrouter rein,

fertig.

mfg.
thom

Los_Andros
13.03.02, 12:25
Es kommt jetzt natürlich darauf an, ob Du iptables oder ipchains verwendest, aber grundsätzlich muss Du die Regeln für das externe Interface (ins www) und für das interne Interface (meist eth0, ins eigene Netz halt) setzen

Newbie2001
13.03.02, 16:25
poste doch einfach mal deine firewall.rc.config bzw. firewall2.rc.config, je nac nachdem welche du verwendest, villeicht steckt dort der Fehler

gear
13.03.02, 19:01
Wüsste echt net wo ich nich suchen soll...Also die Liux Kiste ist ein eigener DNS...Wenn ich auf ihr einen lookup auf suse.de mache, gehts suoi, das selbe auf nem Client geht in die Hose:

C:\>nslookup ns.suse.de
DNS request timed out.
timeout was 2 seconds.
*** Der Servername für die Adresse 192.168.100.1 konnte nicht gefunden werden:
Timed out
DNS request timed out.
timeout was 2 seconds.
*** Der Servername für die Adresse 194.25.2.129 konnte nicht gefunden werden:
Timed out
*** Die Standardserver sind nicht verfügbar.
Server: UnKnown
Address: 192.168.100.1

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an UnKnown
------------------------------------------------------------------------------------------
Hier die firewall.config!!
------------------------------------------------------------------------------------------
#
# 1.)
# Should the Firewall be started?
#
# This setting is done in /etc/rc.config (START_FW="yes")

#
# 2.)
# Which is the interface that points to the internet?
#
# Enter all the network devices here which are untrusted.
#
# Choice: any number of devices, seperated by a space
# e.g. "eth0", "ippp0 ippp1"
#
FW_DEV_WORLD="ppp0"
#
# You *may* configure a static IP and netmask to force rule loading even if the
# interface is not up and running: set a variable called
# FW_DEV_WORLD_[device]="IP_ADDRESS NETMASK"
# see below for an example. Otherwise automatic detection is done.
# You will still need to set FW_DEV_WORLD first!
#
#FW_DEV_WORLD_ippp0="10.0.0.1 255.255.255.0" # e.g. for exernal interface ippp0

#
# 3.)
# Which is the interface that points to the internal network?
#
# Enter all the network devices here which are trusted.
# If you are not connected to a trusted network (e.g. you have just a
# dialup) leave this empty.
#
# Choice: leave empty or any number of devices, seperated by a space
# e.g. "tr0", "eth0 eth1" or ""
#
FW_DEV_INT="eth0 eth1"
#
# You may configure a static IP and netmask to force rule loading even if the
# interface is not up and running: set a variable called
# FW_DEV_INT_[device]="IP_ADDRESS NETMASK"
# see below for an example. Otherwise automatic detection is done.
# You will still need to set FW_DEV_INT first!
#
#FW_DEV_INT_eth0="192.168.1.1 255.255.255.0" # e.g. for internal interface eth0

#
# 4.)
# Which is the interface that points to the dmz network?
#
# Enter all the network devices here which point to the dmz.
# A "dmz" is a special, seperated network, which is only connected to the
# firewall, and should be reachable from the internet to provide services,
# e.g. WWW, Mail, etc. and hence are at risk from attacks.
# See /usr/share/doc/packages/firewals/EXAMPLES for an example.
#
# Special note: You have to configure FW_FORWARD_TCP and FW_FORWARD_UDP to
# define the services which should be available to the internet and set
# FW_ROUTE to yes.
# Very special note: servers/networks in FW_MASQ_NETS may access the DMZ to
# the same extent they are allowed to access the internet! No FW_FORWARD_*
# needed ...
#
# Choice: leave empty or any number of devices, seperated by a space
# e.g. "tr0", "eth0 eth1" or ""
#
FW_DEV_DMZ=""
#
# You may configure a static IP and netmask to force rule loading even if the
# interface is not up and running: set a variable called
# FW_DEV_INT_[device]="IP_ADDRESS NETMASK"
# see below for an example. Otherwise automatic detection is done.
# You will still need to set FW_DEV_DMZ first!
#
#FW_DEV_DMZ_eth1="192.168.1.1 255.255.255.0" # e.g. for dmz interface eth1

#
# 5.)
# Should routing between the internet, dmz and internal network be activated?
# REQUIRES: FW_DEV_INT or FW_DEV_DMZ
#
# You need only set this to yes, if you either want to masquerade internal
# machines or allow access to the dmz (or internal machines, but this is not
# a good idea). This option supersedes IP_FORWARD from /etc/rc.config!
#
# Setting this option one alone doesn't do anything. Either activate
# massquerading with FW_MASQUERADE below if you want to masquerade your
# internal network to the internet, or configure FW_FORWARD_TCP and/or
# FW_FORWARD_UDP to define what is allowed to be forwarded!
#
# Choice: "yes" or "no", defaults to "no"
#
FW_ROUTE="yes"

#
# 6.)
# Do you want to masquerade internal networks to the outside?
# REQUIRES: FW_DEV_INT, FW_ROUTE
#
# "Masquerading" means that all your internal machines which use services on
# the internet seem to come from your firewall.
# Please note that it is more secure to communicate via proxies to the
# internet than masquerading
#
# Choice: "yes" or "no", defaults to "no"
#
FW_MASQUERADE="yes"
#
# Which internal computers/networks are allowed to access the internet
# directly (not via proxys on the firewall)?
# Only these networks will be allowed access and will be masqueraded!
#
# Please note this config changed in firewals-2.3: You may either use just
# hosts/nets to allow all traffic from them to the internet, or use an extended
# syntax, to restrict internet access to certain services!
#
# Choice: leave empty or any number of hosts/networks seperated by a space.
# Every host/network may get a list of allowed services, otherwise everything
# is allowed. A protocol and service is appended by a comma to the host/network.
# e.g. "10.0.0.0/8" allows the whole 10.0.0.0 network with unrestricted access
# "10.0.1.0/24,tcp,80 10.0.1.0/24,tcp,21" allows the 10.0.1.0 network to use
# www/ftp to the internet. "10.0.1.0/24,tcp,1024:65535 10.0.2.0/24" is OK too.
# You may NOT set this variable to "0/0" !
#
FW_MASQ_NETS="192.168.100/24"
#
# If you want (and you should) you may also set the FW_MASQ_DEV option, to
# specify the outgoing interface to masquerade on. (You would normally use
# the external interface(s), the FW_DEV_WORLD device(s), e.g. "ippp0")
#
FW_MASQ_DEV="$FW_DEV_WORLD" # e.g. "ippp0" or "$FW_DEV_WORLD"

#
# 7.)
# Do you want to protect the firewall from the internal network?
# REQUIRES: FW_DEV_INT
#
# If you set this to "yes", internal machines may only access services on
# the machine you explicitly allow. They will be also affected from the
# FW_AUTOPROTECT_GLOBAL_SERVICES option.
# If you set this to "no", any user can connect (and attack) any service on
# the firewall.
#
# Choice: "yes" or "no", defaults to "yes"
#
FW_PROTECT_FROM_INTERNAL="yes"

#
# 8.)
# Do you want to autoprotect all global running services?
#
# If set to "yes", all network access to services TCP and UDP on this machine
# which are not bound to a special IP address will be prevented (except to
# those which you explicitly allow, see below: FW_*_SERVICES_*)
# Example: "0.0.0.0:23" would be protected, but "10.0.0.1:53" not.
#
# Choice: "yes" or "no", defaults to "yes"
#
FW_AUTOPROTECT_GLOBAL_SERVICES="yes" # "yes" is a good choice

#
# 9.)
# Which services on the firewall should be accessible from either the internet
# (or other untrusted networks), the dmz or internal (trusted networks)?
#
# Enter all ports or known portnames below, seperated by a space.
# TCP services (e.g. SMTP, WWW) must be set in FW_SERVICES_*_TCP, and
# UDP services (e.g. syslog) must be set in FW_SERVICES_*_UDP.
# e.g. if a webserver on the firewall should be accessible from the internet:
# FW_SERVICES_EXTERNAL_TCP="www"
# e.g. if the firewall should receive syslog messages from the dmz:
# FW_SERVICES_DMZ_UDP="syslog"
#
# Choice: leave empty or any number of ports, known portnames (from
# /etc/services) and port ranges seperated by a space. Port ranges are
# written like this, from 1 to 10: "1:10"
# e.g. "", "smtp", "123 514", "3200:3299", "ftp 22 telnet 512:514"
#
FW_SERVICES_EXTERNAL_TCP="21 119 137 110 smtp 27000:27900 80" # Common: smtp domain
FW_SERVICES_EXTERNAL_UDP="80 119 110 137" # Common: domain
#
FW_SERVICES_DMZ_TCP="" # Common: smtp domain
FW_SERVICES_DMZ_UDP="" # Common: domain syslog
#
FW_SERVICES_INTERNAL_TCP="1000 20 21 6667 80 119 3 1080 3128 139 137 138 55000 27000:27900 901 110 25 53 21 ssh" # Common: ssh smtp domain
FW_SERVICES_INTERNAL_UDP="20 21 6667 80 119 3 110 4446 137 138 3128" # Common: domain

#
# 10.)
# Which services should be accessible from trusted hosts/nets on the internet?
#
# Define trusted networks on the internet, and the TCP and/or UDP services
# they are allowed to use.
#
# Choice: leave FW_TRUSTED_NETS empty or any number of computers and/or
# networks, seperated by a space. e.g. "172.20.1.1", "172.20.0.0/16"
#
FW_TRUSTED_NETS="192.168.100/24"
#
# leave FW_SERVICES_TRUSTED_* empty or any number of ports, known portnames
# (from /etc/services) and port ranges seperated by a space.
# e.g. "25", "ssh", "1:65535", "1 3:5"
#
FW_SERVICES_TRUSTED_TCP="" # Common: ssh
FW_SERVICES_TRUSTED_UDP="" # Common: syslog time ntp

#
# 11.)
# How is access allowed to high (unpriviliged [above 1023]) ports?
#
# You may either allow everyone from anyport access to your highports ("yes"),
# disallow anyone ("no"), anyone who comes from a defined port (portnumber or
# known portname) [note that this is easy to circumvent!], or just your
# defined nameservers ("dns").
# Note that if you want to use normal (active) ftp, you have to set the TCP
# option to ftp-data. If you use passive ftp, you don't need that.
# Note that you can't use rpc requests (e.g. rpcinfo, showmount) as root
# from a firewall using this script.
#
# Choice: "yes", "no", "dns", portnumber or known portname, defaults to "no"
#
FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" # Common: "ftp-data" (sadly!)
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" # Common: "dns"

#
# 12.)
# Are you running some of the services below?
# They need special attention - otherwise they won´t work!
#
# Set services you are running to "yes", all others to "no", defaults to "no"
#
FW_SERVICE_DNS="yes" # if yes, FW_SERVICES_*_TCP needs to have port 53
# (or "domain") set to allow incoming queries.
# also FW_ALLOW_INCOMING_HIGHPORTS_UDP needs to be "yes"
FW_SERVICE_DHCLIENT="no" # if you use dhclient to get an ip address
# you have to set this to "yes" !
FW_SERVICE_DHCPD="no" # set to "yes" if this server is a DHCP server
FW_SERVICE_SAMBA="yes" # set to "yes" if this server uses samba as client
# or server. As a server, you still have to set
# FW_SERVICES_{WORLD,DMZ,INT}_TCP="139"
# Everyone may send you udp 137/138 packets if set
# to yes!
# (note: samba on the firewall is not a good idea!)

#
# 13.)
# Which services accessed from the internet should be allowed to the
# dmz (or internal network - if it is not masqueraded)?
# REQUIRES: FW_ROUTE
#
# With this option you may allow access to e.g. your mailserver. The
# machines must have valid, non-private, IP addresses which were assigned to
# you by your ISP. This opens a direct link to your network, so only use
# this option for access to your dmz!!!!
#
# Choice: leave empty (good choice!) or use the following explained syntax
# of forwarding rules, seperated each by a space.
# A forwarding rule consists of 1) source IP/net, 2) destination IP (dmz/intern)
# and 3) destination port, seperated by a comma (","), e.g.
# "4.0.0.0/8,1.1.1.1,22",
# "4.4.4.4/12,20.20.20.20,22 12.12.12.12/12,20.20.20.20,22"
#
FW_FORWARD_TCP="" # Beware to use this!
FW_FORWARD_UDP="" # Beware to use this!

#
# 14.)
# Which services accessed from the internet should be allowed to masqueraded
# servers (on the internal network or dmz)?
# REQUIRES: FW_ROUTE, FW_MASQUERADE
#
# With this option you may allow access to e.g. your mailserver. The
# machines must be in a masqueraded segment and may not have public IP addesses!
#
# Please note that this should *not* be used for security reasons! You are
# opening a hole to your precious internal network. If e.g. the webserver there
# is compromised - your full internal network is compromised!!
#
# Choice: leave empty (good choice!) or use the following explained syntax
# of forward masquerade rules, seperated each by a space.
# A forward masquerade rule consists of 1) source IP/net, 2) destination IP
# (dmz/intern) and 3) destination port, seperated by a comma (","), e.g.
# "4.0.0.0/8,1.1.1.1,22",
# "4.4.4.4/12,20.20.20.20,22 12.12.12.12/12,20.20.20.20,22"
#
FW_FORWARD_MASQ_TCP="" # Beware to use this!
FW_FORWARD_MASQ_UDP="" # Beware to use this!

#
# 15.)
# Which accesses to services should be redirected to a localport on the
# firewall machine?
#
# This can be used to force all internal users to surf via your squid proxy,
# or transparently redirect incoming webtraffic to a secure webserver.
#
# Choice: leave empty or use the following explained syntax of redirecting
# rules, seperated by a space.
# A redirecting rule consists of 1) source IP/net, 2) destination IP/net,
# 3) original destination port and 4) local port to redirect the traffic to,
# seperated by a colon. e.g. "10.0.0.0/8,0/0,80,3128 0/0,172.20.1.1,80,8080"
#
FW_REDIRECT_TCP=""
FW_REDIRECT_UDP=""

#
# 16.)
# Which logging level should be enforced?
# You can define to log packets which were accepted or denied.
# You can also the set log level, the critical stuff or everything.
# Note that logging *_ALL is only for debugging purpose ...
#
# Choice: "yes" or "no", FW_LOG_*_CRIT defaults to "yes",
# FW_LOG_*_ALL defaults to "no"
#
FW_LOG_DENY_CRIT="yes"
FW_LOG_DENY_ALL="yes"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="yes"

#
# 17.)
# Do you want to enable additional kernel TCP/IP security features?
# If set to yes, some obscure kernel options are set.
# (icmp_ignore_bogus_error_responses, icmp_echoreply_rate,
# icmp_destunreach_rate, icmp_paramprob_rate, icmp_timeexeed_rate,
# ip_local_port_range, log_martians, mc_forwarding, mc_forwarding,
# rp_filter, routing flush)
# Tip: Set this to "no" until you have verified that you have got a
# configuration which works for you. Then set this to "yes" and keep it
# if everything still works. (It should!) ;-)
#
# Choice: "yes" or "no", defaults to "yes"
#
FW_KERNEL_SECURITY="yes"

#
# 18.)
# Keep the routing set on, if the firewall rules are unloaded?
# REQUIRES: FW_ROUTE
#
# If you are using diald, or automatic dialing via ISDN, if packets need
# to be sent to the internet, you need to turn this on. The script will then
# not turn off routing and masquerading when stopped.
# You *might* also need this if you have got a DMZ.
# Please note that this is *insecure*! If you unload the rules, but are still
# connected, you might your internal network open to attacks!
# The better solution is to remove "/sbin/SuSEfirewall stop" or
# "/sbin/init.d/firewall stop" from the ip-down script!
#
#
# Choices "yes" or "no", defaults to "no"
#
FW_STOP_KEEP_ROUTING_STATE="no"

#
# 19.)
# Allow (or don't) ICMP echo pings on either the firewall or the dmz from
# the internet?
# REQUIRES: FW_ROUTE for FW_ALLOW_PING_DMZ
#
# Choice: "yes" or "no", defaults to "no"
#
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"

##
# END of rc.firewall
##

# #
#-------------------------------------------------------------------------#
# #
# EXPERT OPTIONS - all others please don't change these! #
# #
#-------------------------------------------------------------------------#
# #

#
# 20.)
# Allow (or don't) ICMP time-to-live-exceeded to be send from your firewall.
# This is used for traceroutes to your firewall (or traceroute like tools).
#
# Please note that the unix traceroute only works if you say "yes" to
# FW_ALLOW_INCOMING_HIGHPORTS_UDP, and windows traceroutes only if you say
# "yes" to FW_ALLOW_PING_FW
#
# Choice: "yes" or "no", defaults to "no"
#
FW_ALLOW_FW_TRACEROUTE="yes"

#
# 21.)
# Allow ICMP sourcequench from your ISP?
# If set to yes, the firewall will notice when connection is choking, however
# this opens yourself to a denial of service attack. Choose your poison.
#
# Choice: "yes" or "no", defaults to "yes"
#
FW_ALLOW_FW_SOURCEQUENCH="yes"

#
# 22.)
# Which masquerading modules should be loaded?
# REQUIRES: FW_ROUTE, FW_MASQUERADE
#
# (omit the path or "ip_masq_" prefix as well as the ".o" suffix!)
#
FW_MASQ_MODULES="autofw cuseeme ftp irc mfw portfw quake raudio user vdolive"

gear
13.03.02, 23:36
Nochmal vereinfachter:
Auf dem W2k client erscheint bei ping heise.de folgendes:
C:\>ping heise.de

Ping heise.de [193.99.144.71] mit 32 Bytes Daten:

Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 193.99.144.71:
Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4 (100% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms

Also kann er den Namen auflösen aber es kommt keine Ping-Antwort auf dem Client an. Das selbe passiert, wenn ich mit CuteFTP auf meinen Webspace-FTP zugreifen will. Erzeigt mir die IP an aber sagt, er könne keine Verbindung aufbauen.

rabenkind
14.03.02, 00:06
hi gear

#
FW_MASQ_NETS="192.168.100/24"
#

das sollte so sein FW_MASQ_NETS="192.168.100.0/24"

und bei den anderen netzwerk angaben genauso

die notation von ip-adressen für netzwerke werden im "four dottet quad" format geschrieben
also 3.3.3.3/24

gruß michael

gear
14.03.02, 00:20
Danke...aber keider keine veränderung nachdem ich die firewall neu gestartet habe

Torsten[EG]
14.03.02, 00:26
Original geschrieben von gear
Also kann er den Namen auflösen aber es kommt keine Ping-Antwort auf dem Client an. Das selbe passiert, wenn ich mit CuteFTP auf meinen Webspace-FTP zugreifen will. Erzeigt mir die IP an aber sagt, er könne keine Verbindung aufbauen.

DNS funzt, also liegt EINDEUTIG ein Problem mit der Firewall vor. Wie ist der IP-Bereich Deines internen Netzes? Und dann poste noch einmal, was jetzt aktuell bei FW_MASQ_NETS="..." steht.

gear
14.03.02, 00:27
#
FW_ROUTE="yes"

#
# 6.)
# Do you want to masquerade internal networks to the outside?
# REQUIRES: FW_DEV_INT, FW_ROUTE
#
# "Masquerading" means that all your internal machines which use services on
# the internet seem to come from your firewall.
# Please note that it is more secure to communicate via proxies to the
# internet than masquerading
#
# Choice: "yes" or "no", defaults to "no"
#
FW_MASQUERADE="yes"
#
# Which internal computers/networks are allowed to access the internet
# directly (not via proxys on the firewall)?
# Only these networks will be allowed access and will be masqueraded!
#
# Please note this config changed in firewals-2.3: You may either use just
# hosts/nets to allow all traffic from them to the internet, or use an extended
# syntax, to restrict internet access to certain services!
#
# Choice: leave empty or any number of hosts/networks seperated by a space.
# Every host/network may get a list of allowed services, otherwise everything
# is allowed. A protocol and service is appended by a comma to the host/network.
# e.g. "10.0.0.0/8" allows the whole 10.0.0.0 network with unrestricted access
# "10.0.1.0/24,tcp,80 10.0.1.0/24,tcp,21" allows the 10.0.1.0 network to use
# www/ftp to the internet. "10.0.1.0/24,tcp,1024:65535 10.0.2.0/24" is OK too.
# You may NOT set this variable to "0/0" !
#
FW_MASQ_NETS="192.168.100.0/24"
#
# If you want (and you should) you may also set the FW_MASQ_DEV option, to
# specify the outgoing interface to masquerade on. (You would normally use
# the external interface(s), the FW_DEV_WORLD device(s), e.g. "ippp0")
#
FW_MASQ_DEV="$FW_DEV_WORLD" # e.g. "ippp0" or "$FW_DEV_WORLD"

Torsten[EG]
14.03.02, 00:30
Wenn Deine Rechner tatsächlich alle ein IP wie 192.168.100.* haben, dann versuch einmal

FW_MASQ_NETS="192.168.100.0/8"

gear
14.03.02, 00:33
Nope! Also nslookup geht mittlerweile auf den clients aber kein ping, kein traceroute, kein ftp etc....

rabenkind
14.03.02, 00:50
hi gear

hatte eben nur bis zu dem punkt gelesen jetzt habe ich mal weiter durchgesehen, wenig zeit im moment "prüfungs stress"

1. Frage hast du zwei netzwerkkarten die ins interne netz zeigen
FW_DEV_INT="eth0 eth1" ist das richtig und gewollt?

2. nächster eintrag dazu du hast nur einem von beiden eine IP zugewiesen, wenn denke ich müssen beide eine haben.

zu 7.) warum musst du dich vor dem internen netz schützen? können da leute dran die sich auf deinen server hacken würden ansonsten macht das wenig sinn.

gear
14.03.02, 01:01
der router verfügt über zwei interne und eine externe NIC´s.
eth0 192.168.100.1
eth1 192.168.100.2
eth2 DSL

interner Schutz, weil sich "fremde" im internen Netz bewegen.

Gibt es ne Möglichkeit die Ipchains auf "Null" zu bringen und sich neu anhand der Firewall-Einstellungen zu konfigurieren?

Los_Andros
14.03.02, 08:47
Hi,
Du hast als externes Interface ppp0 angegeben, stimmt das??
FW_DEV_WORLD="ppp0"

müsste das nicht eth2 heissen, dieses Device zeigt doch ins externe Netz?