[gelöst] Linux-Server im Windows-Netz "Tarnkappe"

[daiml]

Hallo Ihr lieben Fachkundigen,

ich habe ein (momentan zumindest) nicht lösbares Problem:

Linux-Server als Router
SuSE Linux 9.3 Pro
PC = P III 700,
384 MB Ram
Festplatten mit ausreichend Platz (mehrere Gigs auf den Partitionen frei)
3 Netzwerkkarten mit festen IPs
eth0 = externe RJ45 an dsl0
eth1 = interne RJ45 (nur eine Schnittstelle)
eth2 = interne BNC-Karte = lokaler Netzwerkzugang
Samba als PDC
Squid (http_access allow all)
SuSE-FireWall2
- auf den externen Schnittstellen gestartet
- Routing eingerichtet

-5- WinXP-Clients (Meine Familie) via BNC-Netzwerkkarten am Linux-Server. Dort sind die
Name-Server gem. /etc/resolv.conf enigetragen
Standard-Gateway über die IP der eth2

Samba, Squid, FireWall, alles lief tadellos (glaube ich jedenfalls)...
- die Clients konnten alle ins Internet
- einige Clients konnten sogar Online-Spiele spielen
- Der Zugriff auf die "homes"-Verzeichnisse lief fehlerfrei...
...dann kam der unausweichliche Neustart.

Nach dem Neustart setzte sich der Linux-Server die Tarnkappe auf,
- verweigerte sich gegenüber den Clients als Samba-Server
- verweigerte den Proxy-Dienst, so dass ein Internet-Zugriff für die Clients nicht mehr möglich war.
Als NewBie habe ich das Problem auch nach dem Studium des Benutzerhandbuchs, weiterer Literatur und der Forenbeiträge nicht mehr lösen können und mich nach sage und schreibe -8- Tagen Problemsuche entschlossen, Linux neu zu installieren.
Eine Reparaturinstallation brachte keine Verbesserung ... also habe ich - in dem nunmehr doch festen Vertrauen darauf, dass ich den Fehler komplett ausradieren kann, die Festplatten wieder formatiert, neu partitioniert.

Nach der Neu-Installation, Einrichten des Samba-Servers (Benutzer, Gruppen, Computer), Squid, FireWall und Routing lief der Server wieder einwandfrei; die Clients konnten auf die bis dahin installierten Dienste (Internet, FileSharing) zugreifen und nach einem Reboot kam ...
... wieder die absolute Tarnkappe!

Da ich aus dem 1. Desaster gelernt hatte, hatte ich eine komplette Sicherung vom Verzeichnis "/etc/" einschließlich aller Unterordner. Also habe ich diese Sicherung zurück gespielt ... aber !!!
Ich sitze nun heute abend schon wieder seit -8- Stunden an diesem Sch... und verliere bald die Nerven.
Wie beim vorigen mal ist es auch diesmal möglich, dass ich zwar vom Server aus die Internet-Verbindung aufbaue, das interne Netz lässt dieser Server aber nicht mehr an sich heran.
Dabei hatte ich es sogar schon geschafft, dass ich von einem Client aus Dateien (Verzeichnis mit ca. 7 GByte) in eine Freigabe auf Server verschoben habe (Partitionieren fällt allein deswegen diesmal schon aus).

Weisz jemand Rat?

Ich bin ehrlich gesagt jetzt langsam am Ende ...
... und habe von meiner ebenfalls schon entnervten Familie
schon den Gedanken angetragen bekommen,
den Gatey über einen Windows-NT-Server laufen zu lassen ...
(die habe ja seit Tagen nur stundenweise einen Internet-Zugang gehabt.)

Ich habe nachfolgend einige Protokoll-Auszüge angehängt.
Falls es bei der Problemlösung helfen könnte, poste ich die betreffenden Konfigurationsdateien
- "/etc/sysconfig/SuSEfirewall2"
- "smb.conf"
und was sonst noch so gebraucht wird.
Ich wollte meinen HIlferuf (~SCHREI) nur nicht noch länger werden lassen.

Bitte helft mir ..............

Gruß Jörg


####################################################
Der Zugriff vom Server aus auf das Internet läuft:
################################
dvd-server:~ # ping 195.135.220.3
PING 195.135.220.3 (195.135.220.3) 56(84) bytes of data.
64 bytes from 195.135.220.3: icmp_seq=1 ttl=59 time=31.4 ms
64 bytes from 195.135.220.3: icmp_seq=2 ttl=59 time=30.6 ms
64 bytes from 195.135.220.3: icmp_seq=3 ttl=59 time=30.9 ms
64 bytes from 195.135.220.3: icmp_seq=4 ttl=59 time=29.4 ms

--- 195.135.220.3 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3001ms
rtt min/avg/max/mdev = 29.451/30.625/31.426/0.759 ms
################################
dvd-server:~ # ping www.suse.de
PING turing.suse.de (195.135.220.3) 56(84) bytes of data.
64 bytes from turing.suse.de (195.135.220.3): icmp_seq=1 ttl=59 time=21.3 ms
64 bytes from turing.suse.de (195.135.220.3): icmp_seq=2 ttl=59 time=20.7 ms
64 bytes from turing.suse.de (195.135.220.3): icmp_seq=3 ttl=59 time=22.8 ms
64 bytes from turing.suse.de (195.135.220.3): icmp_seq=4 ttl=59 time=22.0 ms

--- turing.suse.de ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3002ms
rtt min/avg/max/mdev = 20.789/21.758/22.896/0.794 ms

################################
# ... ebenso wie der Aufruf der Netzwerkkarten:
# Aufruf von ping an der internen Netzwerkkarte 1:
dvd-server:~ # ping 192.168.100.2
PING 192.168.100.2 (192.168.100.2) 56(84) bytes of data.
64 bytes from 192.168.100.2: icmp_seq=1 ttl=64 time=0.121 ms
64 bytes from 192.168.100.2: icmp_seq=2 ttl=64 time=0.112 ms
64 bytes from 192.168.100.2: icmp_seq=3 ttl=64 time=0.109 ms
64 bytes from 192.168.100.2: icmp_seq=4 ttl=64 time=0.123 ms

--- 192.168.100.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 2999ms
rtt min/avg/max/mdev = 0.109/0.116/0.123/0.009 ms

################################
# Aufruf von ping an der internen Netzwerkkarte 2:
dvd-server:~ # ping 192.168.100.99
PING 192.168.100.99 (192.168.100.99) 56(84) bytes of data.
64 bytes from 192.168.100.99: icmp_seq=1 ttl=64 time=0.118 ms
64 bytes from 192.168.100.99: icmp_seq=2 ttl=64 time=0.087 ms
64 bytes from 192.168.100.99: icmp_seq=3 ttl=64 time=0.097 ms
64 bytes from 192.168.100.99: icmp_seq=4 ttl=64 time=0.103 ms
64 bytes from 192.168.100.99: icmp_seq=5 ttl=64 time=0.109 ms

--- 192.168.100.99 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 3999ms
rtt min/avg/max/mdev = 0.087/0.102/0.118/0.016 ms

################################
# jedoch der Zugriff aufs interne Netz schlägt wohl fehl.
# Aufruf von ping an der externen Netzwerkkarte:
dvd-server:~ # ping 192.168.100.1
PING 192.168.100.1 (192.168.100.1) 56(84) bytes of data.
64 bytes from 192.168.100.1: icmp_seq=1 ttl=64 time=0.115 ms
64 bytes from 192.168.100.1: icmp_seq=2 ttl=64 time=0.097 ms
64 bytes from 192.168.100.1: icmp_seq=3 ttl=64 time=0.107 ms
64 bytes from 192.168.100.1: icmp_seq=4 ttl=64 time=0.108 ms

--- 192.168.100.1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 2998ms
rtt min/avg/max/mdev = 0.097/0.106/0.115/0.014 ms
dvd-server:~ #

#########################
# Die Netzwerkkarten sind m.E. allesamt installiert:
dvd-server:~ # ifconfig
dsl0 Link encapoint-to-Point Protocol
inet addr:87.123.76.191 P-t-P:62.214.64.181 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:4339 errors:0 dropped:0 overruns:0 frame:0
TX packets:2331 errors:0 dropped:4 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:1028231 (1004.1 Kb) TX bytes:255702 (249.7 Kb)

eth0 Link encap:Ethernet HWaddr 00:30:84:0A:01:9B
inet addr:192.168.100.1 Bcast:192.168.100.255 Mask:255.255.255.0
inet6 addr: fe80::230:84ff:fe0a:19b/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:5745 errors:0 dropped:0 overruns:0 frame:0
TX packets:4589 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1247064 (1.1 Mb) TX bytes:605725 (591.5 Kb)
Interrupt:11 Base address:0x4000

eth1 Link encap:Ethernet HWaddr 00:30:84:0B:2D:7C
inet addr:192.168.100.2 Bcast:192.168.100.255 Mask:255.255.255.0
inet6 addr: fe80::230:84ff:fe0b:2d7c/64 Scope:Link
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:197 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:19767 (19.3 Kb)
Interrupt:11 Base address:0xa000

eth2 Link encap:Ethernet HWaddr 00:50:FC:36:F4:B7
inet addr:192.168.100.99 Bcast:192.168.100.255 Mask:255.255.255.0
inet6 addr: fe80::250:fcff:fe36:f4b7/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:10039 errors:0 dropped:0 overruns:0 frame:0
TX packets:201 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:697820 (681.4 Kb) TX bytes:20259 (19.7 Kb)
Interrupt:11 Base address:0xa000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:8604 errors:0 dropped:0 overruns:0 frame:0
TX packets:8604 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1883335 (1.7 Mb) TX bytes:1883335 (1.7 Mb)

########################
# im Startprotokoll "/var/log/messages" habe ich entdeckt,
# dass der Zugriff durch die Clients über die Netzwerkkarte eth2 auch erfolgt,
# jedoch offensichtlich nicht ankommt / durchgelassen wird.
Oct 18 00:06:12 dvd-server kernel: martian source 192.168.100.99 from 192.168.100.10, on dev eth2
Oct 18 00:06:12 dvd-server kernel: ll header: ff:ff:ff:ff:ff:ff:00:00:e8:8c:3b:2e:08:06
Oct 18 00:06:17 dvd-server kernel: printk: 1 messages suppressed.
Oct 18 00:06:17 dvd-server kernel: martian source 192.168.100.99 from 192.168.100.14, on dev eth2
Oct 18 00:06:17 dvd-server kernel: ll header: ff:ff:ff:ff:ff:ff:00:00:b4:bc:a4:20:08:06
Oct 18 00:06:24 dvd-server kernel: printk: 1 messages suppressed.

#########################
# Die clients lassen sich mittels "ping" vom Server nicht mehr erreichen.
# Untereinander finden sich die Clients einwandfrei.

# Rufe ich von den Clients den Linux-Server auf erscheint der Linux-Server garnicht mehr;
# so, als hätte er eine "Tarn-Kappe" auf.
# Hmmm, klingt ja zwar eigentlich nach FireWall, jedoch habe ich die FireWall auf den
# internen eth nicht gestartet. Das sieht Yast (bei der Kontrolle) auch so:

#########################

# Auch Samba scheint ein ernsthaftes Problem zu haben.
# Beim Versuch, Passworte neu aufzunehmen erschien die folgende Meldung:
dvd-server:~ # smbpasswd -a -m jvd$
No builtin nor plugin backend for /etc/samba/smbpasswd found
Loading /etc/samba/smbpasswd failed!
Failed to open passdb!

#########################
# Der Aufruf des Sambaclients am Server sah auch nicht besser aus:
dvd-server:~ # smbclient //dvd-server/root
Error connecting to 192.168.100.1 (Connection refused)

dvd-server:~ # smbclient //dvd-server/jvd
Error connecting to 192.168.100.1 (Connection refused)
Connection to dvd-server failed


#########################
# In der smbd.log sind unzählige der nachfolgenden Zeilen protokolliert.
# Sieht aus, als hätte Samba ein tatsächliches Problem:
[2005/10/17 22:14:37, 0, pid=1370, effective(0, 0), real(0, 0)] passdb/pdb_interface.c:make_pdb_methods_name(721)
No builtin nor plugin backend for /etc/samba/smbpasswd found
[2005/10/17 22:14:37, 1, pid=1370, effective(0, 0), real(0, 0)] passdb/pdb_interface.c:make_pdb_context_list(825)
Loading /etc/samba/smbpasswd failed!
# Die Datei "/etc/samba/smbpasswd" - samt der darin enthaltenen Passwort-Einträge - existiert, dass habe ich überprüft.

Obwohl lt. Systemprotokoll SAMBA als Server zur Verfügung stehen soll
(Auszug aus "/var/log/messages"):
Oct 18 00:04:11 dvd-server nmbd[11996]:
Oct 18 00:04:11 dvd-server nmbd[11996]: *****
Oct 18 00:04:11 dvd-server nmbd[11996]: [2005/10/18 00:04:11, 0, pid=11996, effective(0, 0), real(0, 0)] nmbd/nmbd_become_lmb.c:become_local_master_stage2(396)
Oct 18 00:04:11 dvd-server nmbd[11996]: *****
Oct 18 00:04:11 dvd-server nmbd[11996]:
Oct 18 00:04:11 dvd-server nmbd[11996]: Samba name server DVD-SERVER is now a local master browser for workgroup DVD-SOFTWARE on subnet 192.168.100.99

Versuche ich SMB an der Konsole neu zu starten, erfolgt der Hinweis, dass SMB nicht läuft, quittiert jedoch den Start.:
dvd-server:~ # rcsmb restart
Shutting down Samba SMB daemon Warning: daemon not running. done
Starting Samba SMB daemon done
dvd-server:~ # rcsmb restart
Shutting down Samba SMB daemon Warning: daemon not running. done
Starting Samba SMB daemon done

#########################

# Also habe ich weitere Test-Anleitungen zu Hilfe genommen:

dvd-server:~ # route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
ber023ibr001.ve * 255.255.255.255 UH 0 0 0 dsl0
192.168.100.0 * 255.255.255.0 U 0 0 0 eth0
192.168.100.0 * 255.255.255.0 U 0 0 0 eth1
192.168.100.0 * 255.255.255.0 U 0 0 0 eth2
link-local * 255.255.0.0 U 0 0 0 eth0
loopback * 255.0.0.0 U 0 0 0 lo
default ber023ibr001.ve 0.0.0.0 UG 0 0 0 dsl0

########################

dvd-server:~ # iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere
MASQUERADE all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

############################

dvd-server:~ # cat /proc/sys/net/ipv4/ip_forward
1

###########################

dvd-server:~ # iptables -L

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
input_int all -- anywhere anywhere
input_int all -- anywhere anywhere
input_ext all -- anywhere anywhere
input_ext all -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-IN-ILL-TARGET '
DROP all -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
forward_int all -- anywhere anywhere
forward_int all -- anywhere anywhere
forward_ext all -- anywhere anywhere
forward_ext all -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWD-ILL-ROUTING '
DROP all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-OUT-ERROR '

Chain forward_ext (2 references)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp echo-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp time-exceeded
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp parameter-problem
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp timestamp-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp address-mask-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp protocol-unreachable
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp redirect
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
LOG tcp -- anywhere anywhere limit: avg 3/min burst 5 tcp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-FWDext-DROP-DEFLT '
LOG icmp -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWDext-DROP-DEFLT '
LOG udp -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWDext-DROP-DEFLT '
LOG all -- anywhere anywhere limit: avg 3/min burst 5 state INVALID LOG level warning tcp-options ip-options prefix `SFW2-FWDext-DROP-DEFLT-INV '
DROP all -- anywhere anywhere

Chain forward_int (2 references)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp echo-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp time-exceeded
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp parameter-problem
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp timestamp-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp address-mask-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp protocol-unreachable
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp redirect
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
LOG tcp -- anywhere anywhere limit: avg 3/min burst 5 tcp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-FWDint-DROP-DEFLT '
LOG icmp -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWDint-DROP-DEFLT '
LOG udp -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWDint-DROP-DEFLT '
LOG all -- anywhere anywhere limit: avg 3/min burst 5 state INVALID LOG level warning tcp-options ip-options prefix `SFW2-FWDint-DROP-DEFLT-INV '
DROP all -- anywhere anywhere

Chain input_ext (2 references)
target prot opt source destination
ACCEPT udp -- anywhere anywhere PKTTYPE = broadcast udp dpt:netbios-ns
DROP all -- anywhere anywhere PKTTYPE = broadcast
ACCEPT icmp -- anywhere anywhere icmp source-quench
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp echo-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp time-exceeded
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp parameter-problem
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp timestamp-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp address-mask-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp protocol-unreachable
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp redirect
LOG tcp -- anywhere anywhere limit: avg 3/min burst 5 tcp dpt:ndl-aas flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-TCP '
ACCEPT tcp -- anywhere anywhere tcp dpt:ndl-aas
LOG tcp -- anywhere anywhere limit: avg 3/min burst 5 tcp dpt:battlenet flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-TCP '
ACCEPT tcp -- anywhere anywhere tcp dpt:battlenet
LOG tcp -- anywhere anywhere limit: avg 3/min burst 5 tcp dpt:dtspcd flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-TCP '
ACCEPT tcp -- anywhere anywhere tcp dpt:dtspcd
LOG tcp -- anywhere anywhere limit: avg 3/min burst 5 tcp dpt:http flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-TCP '
ACCEPT tcp -- anywhere anywhere tcp dpt:http
LOG tcp -- anywhere anywhere limit: avg 3/min burst 5 tcp dpt:microsoft-ds flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-TCP '
ACCEPT tcp -- anywhere anywhere tcp dpt:microsoft-ds
LOG tcp -- anywhere anywhere limit: avg 3/min burst 5 tcp dpt:netbios-dgm flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-TCP '
ACCEPT tcp -- anywhere anywhere tcp dpt:netbios-dgm
LOG tcp -- anywhere anywhere limit: avg 3/min burst 5 tcp dpt:netbios-ns flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-TCP '
ACCEPT tcp -- anywhere anywhere tcp dpt:netbios-ns
LOG tcp -- anywhere anywhere limit: avg 3/min burst 5 tcp dpt:netbios-ssn flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-TCP '
ACCEPT tcp -- anywhere anywhere tcp dpt:netbios-ssn
reject_func tcp -- anywhere anywhere tcp dpt:ident state NEW
ACCEPT udp -- anywhere anywhere udp dpt:netbios-ns
LOG tcp -- anywhere anywhere limit: avg 3/min burst 5 tcp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
LOG icmp -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
LOG udp -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
LOG all -- anywhere anywhere limit: avg 3/min burst 5 state INVALID LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT-INV '
DROP all -- anywhere anywhere

Chain input_int (2 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere

Chain reject_func (1 references)
target prot opt source destination
REJECT tcp -- anywhere anywhere reject-with tcp-reset
REJECT udp -- anywhere anywhere reject-with icmp-port-unreachable
REJECT all -- anywhere anywhere reject-with icmp-proto-unreachable
################################################

 

[Martin Breidenbach]

Poste mal die SuSEFirewall2 (bitte ohne die Kommentare da drin.... das wird sonst so lang... )

 

[daiml]

Poste mal die SuSEFirewall2 (bitte ohne die Kommentare da drin.... das wird sonst so lang... )

Hallo,

danke schon einmal für die schnelle Hilfsbereitschaft.
Ich habe natürlich sofort die unkommentierte /etc/sysconfig/SuseFireWall2 parat:

---------- schnipp ------------
FW_DEV_EXT="dsl0 eth-id-00:30:84:0a:01:9b"
FW_DEV_INT="eth-id-00:30:84:0b:2d:7c eth-id-00:50:fc:36:f4:b7"
FW_DEV_DMZ=""
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INT="no"
FW_SERVICES_EXT_TCP="3128 3724 6112 80 microsoft-ds netbios-dgm netbios-ns netbios-ssn"
FW_SERVICES_EXT_UDP="netbios-ns"
FW_SERVICES_EXT_IP=""
FW_SERVICES_EXT_RPC=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_DMZ_RPC=""
FW_SERVICES_INT_TCP="microsoft-ds netbios-dgm netbios-ns netbios-ssn"
FW_SERVICES_INT_UDP="netbios-ns"
FW_SERVICES_INT_IP=""
FW_SERVICES_INT_RPC=""
FW_SERVICES_DROP_EXT=""
FW_SERVICES_REJECT_EXT="0/0,tcp,113"
FW_SERVICES_ACCEPT_EXT=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
FW_ALLOW_INCOMING_HIGHPORTS_UDP=""
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG_LIMIT=""
FW_LOG=""
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_FW_SOURCEQUENCH=""
FW_ALLOW_FW_BROADCAST_EXT="netbios-ns"
FW_ALLOW_FW_BROADCAST_INT="netbios-ns"
FW_ALLOW_FW_BROADCAST_DMZ=""
FW_IGNORE_FW_BROADCAST_EXT="yes"
FW_IGNORE_FW_BROADCAST_INT="no"
FW_IGNORE_FW_BROADCAST_DMZ="no"
FW_ALLOW_CLASS_ROUTING=""
FW_CUSTOMRULES=""
FW_REJECT=""
FW_HTB_TUNE_DEV=""
FW_IPv6=""
FW_IPv6_REJECT_OUTGOING=""
FW_IPSEC_TRUST="no"
FW_ZONES=""
---------- schnapp ------------

Dein Footer stimmt mich ja schon wieder hoffnungsfroh

Gruß daiml

 

[mada]

Hallo,
mal eine naive Frage: hast Du mal versucht den Server einfach kurz ganz ohne Firewall zu betreiben? Deine Einstellungen gehen ja nicht verloren, und mit aktuellem Patchstand ist das Risiko schon vertretbar Is ja kein 2000er Server
Wenns dann klappt isses wohl die FW bzw. deren Einstellungen...

lg, Daniel

 

[Martin Breidenbach]

Oh ich Blindfisch... das hätte ich gleich sehen sollen...

eth0 inet addr:192.168.100.1
eth1 inet addr:192.168.100.2
eth2 inet addr:192.168.100.99

Damit ist dann ja das Routing völlig vergurkt. Du hast alle 3 Karten im gleichen Subnetz !

Schau mal hier... da steht was zum Thema 'Aufzucht und Hege mehrerer IP-Subnetze' drin:

http://www.linux-club.de/viewtopic.php?t=16741

 

[daiml]

Oh ich Blindfisch... das hätte ich gleich sehen sollen...

eth0 inet addr:192.168.100.1
eth1 inet addr:192.168.100.2
eth2 inet addr:192.168.100.99

Damit ist dann ja das Routing völlig vergurkt. Du hast alle 3 Karten im gleichen Subnetz !

Schau mal hier... da steht was zum Thema 'Aufzucht und Hege mehrerer IP-Subnetze' drin:

http://www.linux-club.de/viewtopic.php?t=16741

Den Beitrag werde ich mir gleich ansehen...
... Aber, warum funktioniert das Netz nach der Neuinstallation und versagt erst nach einem - ca. 2 Tage späteren - Reboot die Dienste.
Bis zum Reboot lief mit diesen IP-Adressen alles (wirklich ALLES; inklusive spezieller Internet-Zugriffe [mein Sohn spielte "World of Warcraft" an seinem WinXP-Client]) reibungslos.
Warum läuft´s erst nach dem Reboot schief?

Gruß daiml

 

[Martin Breidenbach]

Die Frage ist eigentlich 'Wieso funktioniert das *vor* dem Reboot?'

 

[framp]

Das Problem, dass einem die Family im Nacken sitzt kenne ich .

Warum dass nach einem reboot nicht mehr tut ist in der Tat merkwuerdig. Muesste man mal nachstellen die Config. Aber wer hat schon eine solche Testumgebung :roll:

Noch einen Tip: Denke an eine zweite Platte mit einem regelmaessig gespiegelten Backup. Das spart Nerven 8)

Ein Leidgepruefter

 

[daiml]

Hallo,
mal eine naive Frage: hast Du mal versucht den Server einfach kurz ganz ohne Firewall zu betreiben? Deine Einstellungen gehen ja nicht verloren, und mit aktuellem Patchstand ist das Risiko schon vertretbar Is ja kein 2000er Server
Wenns dann klappt isses wohl die FW bzw. deren Einstellungen...

lg, Daniel

Hallo Daniel,

das mit der FireWall habe ich schon probiert; daran liegt's nicht.
Auch wenn die FireWall ausgeschaltet ist, erhalte ich keine Antwort beim PING.

Gruß daiml

 

[daiml]

Die Frage ist eigentlich 'Wieso funktioniert das *vor* dem Reboot?'

Hallo Martin,

ich will mich noch nicht zu früh freuen,
aber nachdem ich die Netzwerkkarten wie folgt konfiguriert habe:

- eth0 = 192.168.0.1 (RJ45 zum DSL)
- eth1 = 192.168.3.1 (RJ45-Anschluss für Laptop)
- eth2 = 192.168.2.1 (BNC zum lokalen Netz)
- Client = 192.168.2.10 (zum Testen erst einmal nur ein PC umkonfiguriert)

kann ich zumindest schon mal mit dem Browser am Client in´s Internet.

Zum Testen gehört bei dieser Vorgeschichte natürlich auch ...
... dass ich den Linux-server jetzt reboote.
Wenn ich mich hier heute nicht mehr melde, dann wird´s wohl nicht geklappt haben.

Danke schon einmal für die bisher gegebenen Tips.

Gruß daiml

 

[daiml]

Hi ...

... ja es hat geklappt!

Mit der Unterteilung in mehrere Subnetz-Bereiche, bzw. ein Bereich pro Netzwerkkarte habe ich auch nach dem Reboot auf allen Clients Vollzugriff auf´s Internet.
Auch mein Sohn kann endlich wieder sein geliebtes WoW spielen.

Danke für die Hilfe. :!: :!: :!:

Das Problem mit Samba besteht zwar immer noch :? ;
das scheint scheint aber ein eigenes SAMBA-Konfigurations-Problem zu sein. Das werde ich jetzt im Samba-Forum versuchen zu klären.

Gruß daiml