AW: Router (SuSEfirewall+Masquerading+Portforwarding) - Probs. mit gewissen Seiten (http)

From: Thomas Westerholt (Thomas.Westerholt@nwn.de)
Date: Thu Jan 11 2001 - 20:18:15 CET

  • Next message: Georg Basse: "Re: Router (SuSEfirewall+Masquerading+Portforwarding) - Probs. mit gewissen Seiten (http)"

    Hi!

    Das Masquerading hab ich nat. auch fur die Tests vollig neu gesetzt und
    alles geoffnet:
    Habe jeweils uber ipchains fur input, output und forward via "-F *type*" die
    Regeln geleert, mit "-P *type* ACCEPT" alles geoffnet und dann die Bindung
    mit forward an die internen Adressen und das externe Netz neu gesetzt.
    Das sollte ja eigentlich reichen. :(
    Aber keine Anderung, nichts...

    IPCHAINS selbst hab ich sicherheitshalber auf den neuesten Stand gebracht
    (war auch schon).

    Konnte das ev. an der Art liegen, wie sich mein Server ausgiebt, wie er
    anfragt?
    ...oder an einem Problem mit der Routing-Tabelle???

    Telnet geht auf beide Adressen nicht, egal ob vom Client oder Server. Telnet
    generell schon, nicht dass Du fragst. ;)

    Naja, falls da jemand Lust zu hat und die Information auch ausreichend ist,
    so hangt das Resultat unten drann.

    Vielen Dank fur Dein bisheriges Engagement! ;)

    Gru?,
    Thomas

    Server:
    -------

    # Ausgabe von tcpdump auf ppp0

    + ping

    www.olb.de:

    19:32:25.894858 p3EE24D52.dip.t-dialin.net > 212.6.102.5: icmp: echo request
    19:32:25.972468 212.6.102.1 > p3EE24D52.dip.t-dialin.net: icmp: host
    212.6.102.5
     unreachable - admin prohibited filter [tos 0x60]
    ...

    www.bahn.de

    19:57:24.313906 p3EE24D52.dip.t-dialin.net.1027 >
    www-proxy.OL1.srv.t-online.de.
    domain: 64859+ A? www.bahn.de. (29)
    19:57:24.345558 www-proxy.OL1.srv.t-online.de.domain >
    p3EE24D52.dip.t-dialin.ne
    t.1027: 64859 1/3/0 A www.bahn.de (124)
    19:57:24.348469 p3EE24D52.dip.t-dialin.net > www.bahn.de: icmp: echo request
    19:57:25.344863 p3EE24D52.dip.t-dialin.net > www.bahn.de: icmp: echo request
    ...

    + telnet

    www.bahn.de:

    19:59:17.234180 p3EE24D52.dip.t-dialin.net.1027 >
    www-proxy.OL1.srv.t-online.de.
    domain: 1972+ A? www.bahn.de. (29)
    19:59:17.266128 www-proxy.OL1.srv.t-online.de.domain >
    p3EE24D52.dip.t-dialin.ne
    t.1027: 1972 1/3/0 A www.bahn.de (124)
    19:59:17.269890 p3EE24D52.dip.t-dialin.net.1027 >
    www-proxy.OL1.srv.t-online.de.
    domain: 1973+ PTR? 146.236.231.194.in-addr.arpa. (46)
    19:59:17.301017 www-proxy.OL1.srv.t-online.de.domain >
    p3EE24D52.dip.t-dialin.ne
    t.1027: 1973 1/2/0 PTR www.bahn.de. (140)
    19:59:17.423027 p3EE24D52.dip.t-dialin.net.1120 > www.bahn.de.http: S
    36499364:3
    6499364(0) win 31900 <mss 1450,sackOK,timestamp 734741 0,nop,wscale 0> (DF)
    19:59:17.463246 www.bahn.de.http > p3EE24D52.dip.t-dialin.net.1120: S
    2652759997
    :2652759997(0) ack 36499365 win 15950 <mss 1450,sackOK,timestamp 598686128
    73474
    1,nop,wscale 0> (DF)
    19:59:17.463513 p3EE24D52.dip.t-dialin.net.1120 > www.bahn.de.http: . 1:1(0)
    ack
     1 win 31900 <nop,nop,timestamp 734745 598686128> (DF)

    www.olb.de:

    20:00:41.639562 p3EE24D52.dip.t-dialin.net.1027 >
    www-proxy.OL1.srv.t-online.de.
    domain: 55078+ A? www.olb.de. (28)
    20:00:41.669706 www-proxy.OL1.srv.t-online.de.domain >
    p3EE24D52.dip.t-dialin.ne
    t.1027: 55078 1/4/0 A 212.6.102.5 (156)
    20:00:41.671649 p3EE24D52.dip.t-dialin.net.1028 >
    www-proxy.OL1.srv.t-online.de.
    domain: 1117+ PTR? 5.102.6.212.in-addr.arpa. (42)
    20:00:41.675609 p3EE24D52.dip.t-dialin.net.1029 >
    www-proxy.OL1.srv.t-online.de.
    domain: 55079+ PTR? 5.102.6.212.in-addr.arpa. (42)
    20:00:41.703434 www-proxy.OL1.srv.t-online.de.domain >
    p3EE24D52.dip.t-dialin.ne
    t.1028: 1117 NXDomain 0/1/0 (109)
    20:00:41.711794 www-proxy.OL1.srv.t-online.de.domain >
    p3EE24D52.dip.t-dialin.ne
    t.1029: 55079 NXDomain 0/1/0 (109)
    20:00:41.833982 p3EE24D52.dip.t-dialin.net.1121 > 212.6.102.5.http: S
    111401301:
    111401301(0) win 31900 <mss 1450,sackOK,timestamp 743182 0,nop,wscale 0>
    (DF)
    20:00:41.908444 212.6.102.5.http > p3EE24D52.dip.t-dialin.net.1121: S
    2916315944
    :2916315944(0) ack 111401302 win 10066 <nop,nop,timestamp 3112912349
    743182,nop,
    wscale 0,mss 1450> (DF)
    20:00:41.908709 p3EE24D52.dip.t-dialin.net.1121 > 212.6.102.5.http: . 1:1(0)
    ack
     1 win 31900 <nop,nop,timestamp 743190 3112912349> (DF)

    get index.html HTTP/1.8:

    20:02:10.977755 p3EE24D52.dip.t-dialin.net.1122 > 212.6.102.5.http: P
    1:26(25) a
    ck 1 win 31900 <nop,nop,timestamp 752097 3112920015> (DF)
    20:02:11.051894 212.6.102.5.http > p3EE24D52.dip.t-dialin.net.1122: . 1:1(0)
    ack
     26 win 10066 <nop,nop,timestamp 3112921264 752097> (DF)

    # Shell-Ausgabe bei telnet auf Port 80

    telnet www.olb.de 80:

    Trying 212.6.102.5...
    Connected to www.olb.de.
    Escape character is '^]'.
    get /olb.html
    <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
    <HTML><HEAD>
    <TITLE>501 Method Not Implemented</TITLE>
    </HEAD><BODY>
    <H1>Method Not Implemented</H1>
    get to /olb.html not supported.<P>
    Invalid method in request get /olb.html<P>
    </BODY></HTML>
    Connection closed by foreign host.

    Client(W2K):
    -------

    # Ausgabe von tcpdump auf ppp0

    + ping

    www.olb.de:

    19:33:23.369549 p3EE24D52.dip.t-dialin.net > 212.6.102.5: icmp: echo request
    19:33:23.446392 212.6.102.1 > p3EE24D52.dip.t-dialin.net: icmp: host
    212.6.102.5
    unreachable - admin prohibited filter [tos 0x60]
    ...

    www.bahn.de:

    19:36:47.804863 p3EE24D52.dip.t-dialin.net > www.bahn.de: icmp: echo request
    19:36:49.055246 p3EE24D52.dip.t-dialin.net > www.bahn.de: icmp: echo request
    19:36:50.056638 p3EE24D52.dip.t-dialin.net > www.bahn.de: icmp: echo request
    19:36:51.057841 p3EE24D52.dip.t-dialin.net > www.bahn.de: icmp: echo request
    ...

    + telnet

    www.bahn.de:

    19:52:44.890723 p3EE24D52.dip.t-dialin.net.61489 > www.bahn.de.http: S
    360648075
    0:3606480750(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
    19:52:44.927226 www.bahn.de.http > p3EE24D52.dip.t-dialin.net.61489: S
    223704169
    6:2237041696(0) ack 3606480751 win 16060 <mss 1460,nop,nop,sackOK> (DF)
    19:52:44.928095 p3EE24D52.dip.t-dialin.net.61489 > www.bahn.de.http: .
    1:1(0) ac
    k 1 win 17520 (DF)

    www.olb.de:

    19:55:54.249101 p3EE24D52.dip.t-dialin.net.61495 > 212.6.102.5.http: S
    365391257
    7:3653912577(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
    19:55:54.322001 212.6.102.5.http > p3EE24D52.dip.t-dialin.net.61495: S
    287570269
    8:2875702698(0) ack 3653912578 win 8760 <mss 1460> (DF)
    19:55:54.322889 p3EE24D52.dip.t-dialin.net.61495 > 212.6.102.5.http: .
    1:1(0) ac
    k 1 win 17520 (DF)

    > -----Ursprungliche Nachricht-----
    > Von: Martin Schulze [mailto:joey@finlandia.infodrom.north.de]
    > Gesendet: Donnerstag, 11. Januar 2001 12:40
    > An: Thomas Westerholt
    > Cc: Linux-Stammtisch@infodrom.north.de
    > Betreff: Re: Router (SuSEfirewall+Masquerading+Portforwarding) - Probs.
    > mit gewissen Seiten (http)
    >
    >
    > Thomas Westerholt wrote:
    > > Moin!
    > >
    > > Ich habe bei einer |ber meinen Router stehende DSL-Verbindung (pppoed)
    > > Probleme mit dem Aufbau gewisser Seiten.
    > > Auf dem Router waltet SuSE Linux 7.0, darauf lduft die SuSEfirewall,
    > > Masquerading und Portforwarding |ber ipmasqadm. Desweiteren lduft als
    > > Workaround f|r mein momentanes Problem noch squid.
    > > Externes und internes Netz laufen |ber die gleiche Netzwerkkarte, die
    > > Trennung (extern/intern) erfolgt |ber eth0/ppp0. Ich weiss, ist
    > nicht gerade
    > > schvn, sicher, aber es soll voerst so. ;)
    > > Die Einwahl erfolgt wie obeen ersichtlich |ber T-Online (DSL)
    > >
    > > Nach aussen hin ins externe LAN ist alles offen, eingehende Ports sind
    > > generell zu, gewisse werden an einen internen Client weitergeleitet.
    > >
    > > Es geht eingentlich alles wunderbar, Masquerading und das Portforwarding
    > > laufen problemlos.
    > > Tja, bis auf einen Schvnheitsfehler:
    > >
    > > Gewisse Seiten lassen sich von einem Client nicht aufrufen. Ich bekommen
    > > allemal die Adresse aufgelvst den ersten Kontakt, ev. nen
    > Kleinen Header der
    > > HTML-Datei und das war's. :((
    > > Auf dem Server direkt lassen sich die Seiten, zumindest mit
    > lynx, vffen...
    >
    > Debugging:
    >
    > Auf dem Client-Rechner:
    >
    > 1. ping webserver
    > 2. telnet webserver 80
    > Tip: GET /seite/die/du/willst HTTP/1.0<zweimal enter>
    >
    > Parallel dazu vielleicht auf dem Server mit tcpdump verfolgen, ob die
    > Daten auch wie gew|nscht rein- und rausgehen.
    >
    > Das gleiche auf dem Server. Wo liegen die Unterschiede?
    >
    > > Nutze ich meinen (squid) oder einen externen Proxy geht es,
    > aber ich will ja
    > > wissen woran es liegt! Schlie_lich ist da was nicht in Ordnung,
    > und mir jukt
    > > es unter den Fingerndglen... ;)
    >
    > Es klingt so, als wdre Dein Masquerading irgendwie leicht f|r die Tonne.
    >
    > Gruesse,
    >
    > Joey
    >
    > --
    > GNU GPL: "The source will be with you... always."
    >

    This archive was generated by hypermail 2b30 : Thu Jan 11 2001 - 20:18:47 CET