Hi,
bei einigen Internetseiten bekomme ich in meinen Log's eine DROP Meldung bezüglich ACK siehe unten.
Laut tracert sind es z.B. hotmail, lycos und noch einige andere.
Wenn ein Client hotmail aufruft, dauert es teilweise sehr lange, wird die Seite aktuallisiert geht es.
In meinem Script, habe ich ausgehende Verbindungen erlaubt, für Rückmeldungen ESTABLISHED,RELATED gesetzt, diese funktioniert auch, denn sonst würde keine Internetseite aufrufbar sein oder ?
Jetzt habe ich im Firewallbuch (Wolfgang Barth S.233) gelesen, daß für diesen Fall der timeout dementsprechend gesetzt sein muß, nur steht da nirgends wie.
>> Offene TCP-Verbindungen <<
>Die Timeouts müssen also bei dynamischer IP-Adreßvergabe so gelegt sein, daß ein Verbindungsabbau möglich ist. <

Hat jemand einen Tip?

Gruß
Michael

Die angegebene IP hat sich mittlerweile geändert, bitte nichts mehr versuchen

Nov 3 12:37:52 host kernel: DROP: TCP IN=ippp0 OUT= MAC= SRC=213.193.0.43 DST=80.228.33.109 LEN=1500 TOS=0x00 PREC=0x00 TTL=52 ID=55578 DF PROTO=TCP SPT=80 DPT=4570 WINDOW=6432 RES=0x00 ACK URGP=0
Nov 3 12:37:52 host kernel: DROP: TCP IN=ippp0 OUT= MAC= SRC=213.193.0.43 DST=80.228.33.109 LEN=1500 TOS=0x00 PREC=0x00 TTL=52 ID=55578 DF PROTO=TCP SPT=80 DPT=4570 WINDOW=6432 RES=0x00 ACK URGP=0
Nov 3 12:38:22 host kernel: DROP: TCP IN=ippp0 OUT= MAC= SRC=213.193.0.43 DST=80.228.33.109 LEN=1500 TOS=0x00 PREC=0x00 TTL=52 ID=55579 DF PROTO=TCP SPT=80 DPT=4570 WINDOW=6432 RES=0x00 ACK URGP=0
Nov 3 12:38:22 host kernel: DROP: TCP IN=ippp0 OUT= MAC= SRC=213.193.0.43 DST=80.228.33.109 LEN=1500 TOS=0x00 PREC=0x00 TTL=52 ID=55579 DF PROTO=TCP SPT=80 DPT=4570 WINDOW=6432 RES=0x00 ACK URGP=0

Tipp:
Poste mal deine FW Script. Zudem solltest du von DROP auf REJECT wechseln (REJECT als Default Policy geht nicht, muss schon eine separate Regeln sein.

Du hast nicht angegeben, ob der am Internet hängende Computer auch die "Surfstation" darstellt.

HTH

Original geschrieben von Jinto
Tipp:
Poste mal deine FW Script. Zudem solltest du von DROP auf REJECT wechseln (REJECT als Default Policy geht nicht, muss schon eine separate Regeln sein.

Du hast nicht angegeben, ob der am Internet hängende Computer auch die "Surfstation" darstellt.

HTH

Hi Jinto, hi@all
mit dem script hast Du recht, ich war allerdings der Meinung, daß es eventuell ein allgemeines Problem sein könnte. :)
Das Script läuft auf meinem Router mit ISDN-flat, inklusive Squid als transparenter Proxy (mit squidguard)
Auf meinem internen "alles-Server" läuft sendmail, nfs, smb, dns-cache-only bind9, hylafax, apache als interner Doku-Server, ftp.
router 192.168.2.1, interner Server192.168.2.5
als Clients laufen zwei 98er und meine Linux-Wks
Auf den Linux Rechnern läuft Suse7.3 2-4.19-Kernel.

das Script ist noch immer in der "Probieren-Phase" funktioniert aber weitesgehends gut. Als Vorlage benutzte ich dieses Forum und das Firewall Buch von Suse-Press mit den darin enthaltenen Fehlern

Bin für Tip's und Anregungen immer dankbar ;)
Ich benutze bei der Konfiguration ausschließlich die Konsole, also bitte keine Tips mit yast oder X :D

Gruß in die Runde
Michael

Also ich hab mir dein Script mal angesehen, ich finds zu lang. Einige deiner Regeln können nie abgearbeitet, da sie entweder zu weit hinten stehen oder durch eine andere obsolet werden. Ich auch nicht, welcher Dienst durch die internen Clients/Server behandelt werden soll und welcher durch deinen Route abgefackelt wird. Bestes Beispiel dafür: Mail

Verwendest du wirklich ein VPN/IPsec?

Du beschränkst einige Verbindungen mit dem limit Befehl, evtl. liegts daran. Du kannst es ja mal einfach testen, indem du deine FW abschaltest.

Du solltest das Script nochmals überarbeiten.

HTH

Hi Jinto,
danke für Deine Antwort.

Das Script habe ich mehr oder weniger wegen ipsec geschrieben, voher habe ich nach Rustys schneller Anleitung alles von Außen dichtgemacht. Da ich mich schon öfter an diesem Script versucht habe, war ich froh, daß es lief und für mich auch erklärbar.
Das es Fehler enthält schließe ich natürlich nicht aus, meistens ging es darum einen Fehler zu beseitigen, bzw. einen Port "aufzumachen".

Das mit den limits wäre eventuell eine Erklärung, werds nochmal wieter ausprobieren.

Gruß
Michael

Mein Antwort war nicht böse gemeint, bitte nicht falsch verstehen.

Aber du solltest deine Anforderungen vielleicht erstmal aufschreiben und dein Script anhand diesen Anforderungen erstellen.

HTH

Original geschrieben von Jinto
Mein Antwort war nicht böse gemeint, bitte nicht falsch verstehen.

Aber du solltest deine Anforderungen vielleicht erstmal aufschreiben und dein Script anhand diesen Anforderungen erstellen.


oder 'fwbuilder' verwenden um die policy zu erstellen und sich dann das generierte file mal ansehen. so oder so kommt man um eine planung wie jinto beschrieb nicht herum. fwbuilder erleichtert die planung aber erheblich.

-j

Original geschrieben von Jinto
Mein Antwort war nicht böse gemeint, bitte nicht falsch verstehen.

Aber du solltest deine Anforderungen vielleicht erstmal aufschreiben und dein Script anhand diesen Anforderungen erstellen.

HTH

Hi Jinto,
wieso Du hast doch vernünftige Argumente gebracht. :)

Mit dem Aufschreiben hast Du schon recht, ich war nach der Anleitung im Firewallbuch gegangen, leider wie ich später merkte sind darin einige Fehler enthalten, den Rest habe aus diesem Forum, bzw. von netfilter.org.
Die Reihenfolge der Regeln bringe ich wohl immer noch durcheinander.


@ Jasper
ich hab fwbuilder nicht zum Laufen bekommen, allerdings möchte ich auch kein Tool verwenden, da ich auf diesem (vieleicht umständlichen) Weg mehr lerne.


danke und Gruß
Michael

Beitrag ist gemeldet.

hab mir dein ganzes script jetzt nciht durchgelesen weils recht lang ist,
aber hast du vllt path mtu discovery geblockt?

http://www.znep.com/~marcs/mtu/

Nach 6 Jahren dürfte der TE vermutlich zu einer Lösung gekommen sein :-P

Nach 6 Jahren dürfte der TE vermutlich zu einer Lösung gekommen sein :-P

oha is mir gar net aufgefallen *G*