Re: w2k wird geblockt

From: Manfred Renken <lufo.renken_at_t-online.de>
Date: Mon, 3 Sep 2007 20:51:39 +0200

Hallo ,

vielen Dank an alle für die schnellen Antworten.

>
> Transparent heißt ja kapernd, also müßten dafür sowohl iptables
> konfiguriert werden also auch der Squid. Ist das wirklich was Du
> vorhast? Es ist ein Verstoß gegen IP, aber manchmal ganz nützlich. :-)
>
> Bitte zeig uns die Ausgabe von
> 1.) cat /proc/sys/net/ipv4/ip_forward
> 2.) iptables-save
> 3.) und Deine squid.conf, vielleicht sogar mit Deinen Änderungen
> gekennzeichnet

Hallo Kevin,
die iptables-Regeln hattest Du noch auf meinem sarge Rechner aufgesetzt.
Ich habe Sie auch so übernommen. Hier die gewünschten Infos:

[root_at_boss: /tmp] # cat /proc/sys/net/ipv4/ip_forward
1

[root_at_boss: /tmp] # iptables-save
# Generated by iptables-save v1.3.6 on Mon Sep 3 20:11:14 2007
*filter
:INPUT DROP [15553:1922255]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [75804:25021802]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 20 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --sport 64512:65535 --dport 64512:65535 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j DROP
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A OUTPUT -p tcp -m tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 64512:65535 --dport 64512:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Mon Sep 3 20:11:14 2007
# Generated by iptables-save v1.3.6 on Mon Sep 3 20:11:14 2007
*nat
:PREROUTING ACCEPT [849:34560]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [4925:411100]
-A PREROUTING -d ! 192.168.1.2 -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -j MASQUERADE
-A OUTPUT -p tcp -m owner --uid-owner proxy -j ACCEPT
COMMIT
# Completed on Mon Sep 3 20:11:14 2007
 

Ich vermute mal, dass der Wurm in der squid.conf steckt. Die Datei ist
sehr umfangreich, deshalb erlaube ich mir diese ausnahmsweise an meine
Mail anzuhängen.

>
> Außerdem lies bitte nochmals das empfehlenswerte Howto in
> http://tldp.org/HOWTO/TransparentProxy.html Vermutlich wird Dir der
ähmm, ist mir zwar peinlich, aber mein Englisch lässt doch sehr zu wünschen
übrig.

> Um herauszufinden ob in Deinem inneren LAN tatsächlich Masquerading nach
> draußen funktioniert, probier doch auch mal bitte von einem der inneren
> "Clients" den Aufruf von "telnet mail.typo3-vserver.com 25" o.ä. Das ist
> ein Beispiel von einer TCP-Verbindung außerhalb von Port 80, die
> zustande kommen sollte wenn das Masquerading es erlaubt. Oder

[admina_at_boss: /tmp] $ telnet mail.typo3-vserver.com 25
Trying 88.198.73.146...
Connected to mail.typo3-vserver.com.
Escape character is '^]'.
220 mail.typo3-vserver.com ESMTP Postfix (Debian/GNU)

> laternativ: Lassen sich von den Clients andere Dienste nutzen? Mails
> verschicken, ICQ connecten, etc.?

Server die auf etch laufen, wie ftp, samba, apache2, cups und Mailempfang sind o.k.
Mailversand klappt nicht.

>
> Viel Erfog, viele Grüße
>
> Kevin
>
>
 
 

-------
   Gruss,
     Manfred

My system: debian etch 4.0

Received on Mon Sep 03 2007 - 20:51:39 CEST

This archive was generated by hypermail 2.2.0 : Mon Sep 03 2007 - 20:52:03 CEST