router iptables nat squid problem

[aassaa]

Hallo Community,

ich nutze eine Suse 11 als Internet-Router. Derzeitig habe ich ein Problem mit dem NAT. Ich kann ohne squid z.B. microsoft.de/com oder eben auch speedtest.net nicht aufrufen. wobei speedtest.net auch mit squid nicht funktioniert.

Das Routing wird mittels " 1 > ip_forward" und iptables NAT realisiert. Laut google soll ich die MTU runter setzen was ich auch getan habe, es aber leider nicht hilft. Die MTU ist im Moment für dsl0 bei 1452.

Wie gesagt mit squid komme ich wenigstens auf microsoft.de/com, hat hierzu jemand noch eine Idee wo ich den Fehler suchen könnte?

Danke für Eure Hilfe.

 

[HBtux]

Das NAT scheint nicht richtig zu funktionieren oder auf einem Router stimmen die Routing-Einträge nicht.......

Es wäre aber nicht schlecht, wenn Du noch etwas genauer beschreiben würdest, wie der Linux-Router im Netz eingebunden ist....

• Hängt zwischen Linux-Router und Internet noch ein DSL-Router?
• Welche IP-Adressen haben die Netzkomponenten?
• Wie sieht das Routing auf den jeweiligen Geräten aus?

 

[aassaa]

Der Router hängt mit eht1 direkt an einem Medienwandler, LWL->Ethernet, die Einwahl erfolgt mittles ppp, daher auch dsl0. Alle anderen Protokolle sind vom Provider gefilter, es funtioniert also nur PPP.

Hier ein paar Daten:

route -n:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.40.0.2       0.0.0.0         255.255.255.255 UH    0      0        0 tun0
10.100.0.1      0.0.0.0         255.255.255.255 UH    0      0        0 dsl0
192.168.116.0   10.40.0.2       255.255.255.0   UG    0      0        0 tun0
192.168.155.0   10.40.0.2       255.255.255.0   UG    0      0        0 tun0
10.40.0.0       10.40.0.2       255.255.255.0   UG    0      0        0 tun0
192.168.40.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.41.0    10.40.0.2       255.255.255.0   UG    0      0        0 tun0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 dsl0

ifconfig:

dsl0      Link encap:Point-to-Point Protocol  
          inet addr:194.6.239.100  P-t-P:10.100.0.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1452  Metric:1
          RX packets:487415 errors:0 dropped:0 overruns:0 frame:0
          TX packets:499801 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3 
          RX bytes:213617856 (203.7 Mb)  TX bytes:127844669 (121.9 Mb)

eth0      Link encap:Ethernet  HWaddr 00:04:61:9D:50:B9  
          inet addr:192.168.40.1  Bcast:192.168.40.255  Mask:255.255.255.0
          inet6 addr: fe80::204:61ff:fe9d:50b9/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2384259 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1525709 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:2967289513 (2829.8 Mb)  TX bytes:412749455 (393.6 Mb)
          Interrupt:23 

eth1      Link encap:Ethernet  HWaddr 00:10:22:FD:DF:8A  
          inet6 addr: fe80::210:22ff:fefd:df8a/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1472  Metric:1
          RX packets:509486 errors:0 dropped:0 overruns:0 frame:0
          TX packets:502270 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:225806550 (215.3 Mb)  TX bytes:138989634 (132.5 Mb)
          Interrupt:17 Base address:0x4000 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:76549 errors:0 dropped:0 overruns:0 frame:0
          TX packets:76549 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:22998093 (21.9 Mb)  TX bytes:22998093 (21.9 Mb)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
-00  
          inet addr:10.40.0.1  P-t-P:10.40.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1400  Metric:1
          RX packets:48016 errors:0 dropped:0 overruns:0 frame:0
          TX packets:67411 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:3527391 (3.3 Mb)  TX bytes:62426246 (59.5 Mb)

iptables script:

#!/bin/bash

ip="/usr/sbin/iptables"
inet="dsl0"
intern="eth0"
lo="lo"
tun0="tun0"

if [ "$1" = "stop" ]
then

$ip -t nat -F
$ip -t mangle -F
$ip -F

fi

if [ "$1" = "start" ]
then

echo "1" > /proc/sys/net/ipv4/ip_forward

$ip -f
$ip -t mangle -F
$ip -t nat -F
$ip -L 
$ip -t mangle -L
$ip -t nat -L

$ip -t nat -A POSTROUTING -o $inet -s 192.168.40.0/24 -d 0/0 -j MASQUERADE
$ip -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

$ip -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$ip -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$ip -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$ip -A INPUT -i $intern -m state --state NEW -j ACCEPT
$ip -A FORWARD -i $intern -m state --state NEW -j ACCEPT
$ip -A OUTPUT -o $inet -m state --state NEW -j ACCEPT
$ip -A OUTPUT -o $intern -m state --state NEW -j ACCEPT
$ip -A FORWARD -o $inet -m state --state NEW -j ACCEPT
$ip -A INPUT -i $lo -m state --state NEW -j ACCEPT
$ip -A OUTPUT -o $lo -m state --state NEW -j ACCEPT
$ip -A FORWARD -i $lo -m state --state NEW -j ACCEPT
$ip -A FORWARD -o $lo -m state --state NEW -j ACCEPT
$ip -A INPUT -i $tun0 -m state --state NEW -j ACCEPT
$ip -A OUTPUT -o $tun0 -m state --state NEW -j ACCEPT
$ip -A FORWARD -i $tun0 -m state --state NEW -j ACCEPT
$ip -A FORWARD -o $tun0 -m state --state NEW -j ACCEPT

$ip -A INPUT -i $inet -p tcp --dport 22 -m state --state NEW -j ACCEPT
$ip -A INPUT -i $inet -p udp --dport 1194 -m state --state NEW -j ACCEPT

$ip -A INPUT -i $inet -p icmp -j DROP
$ip -A INPUT -i $inet -p igmp -j DROP
$ip -A INPUT -i $inet -j DROP
$ip -A INPUT -i $inet -p udp --dport 1:65535 -j DROP
$ip -A INPUT -i $inet -p tcp --dport 1:65535 -j DROP
$ip -A INPUT -i $inet -p 47 --dport 1:65535 -j DROP

$ip -t nat -A PREROUTING -p tcp --dport 2233 -j DNAT --to 192.168.40.2:2233
$ip -A FORWARD -i $inet -j DROP

fi

exit 0

 

[spoensche]

Warum nutzt du nicht einfach die SuSE- Firewall? In deiner Routing Tabelle stimmt etwas nicht. Da ist keinerlei Route für eth1, es gibt keine default Route. (Siehe letzten Eintrag in der Tabelle)