• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Suse 9.0 als Router, Client zeigt nicht alle Internetseiten

nils-l

Member
Hallo!

Habe einen Router auf Basis einer 9.0 Suse aufgebaut. Desweiteren läuft auf dem Rechner ein Mailserver, Webserver, Samba etc.
Funktioniert auch alles prima, die angeschlossenen Clients können die Freigaben nutzen usw.
Nur einige Internetseiten (z.B. ebay.de) werden auf den Clients nicht dargestellt. Wenn ich auf dem Server einen Browser starte, kann ich die Seiten problemlos aufrufen. Dass würde ich allerdings auch gerne von den Clients aus...
Hat einer eine Idee? Alles andere, auch die meisten anderen Internetseiten funktionieren ja...

Beim start der Internetverbindung wiord folgendes Script ausgeführt ("/etc/ppp/ip-up.d/firewall"):

Code:
#!/bin/sh
#
#definierten Zustand erstellen und alle Regeln loeschen

iptables -F
iptables -t nat -F

#
#Ein Router sollte Pakete vom Typ Destination-unreachable bearbeiten

iptables -A INPUT -i ppp0 -p icmp --icmp-type destination-unreachable -j ACCEPT

#
#Edonkey-Ports oeffnen

iptables -A INPUT -i ppp0 -p tcp --dport 4661:4662 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --dport 4665 -j ACCEPT

#
#Ports fuer IRC oeffnen

iptables -A INPUT -i ppp0 -p tcp --dport 3334:3335 -j ACCEPT

#
#Kette erstellen, die neue Verbindungen blockt, es sei denn, sie kommen von innen
#oder es sind Antwortpakete (ESTABLISHED)

iptables -N block
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT
iptables -A block -j DROP

#
#Von Input und Forward Ketten zu dieser Kette springen

iptables -A INPUT -j block
iptables -A FORWARD -j block

#
# Alle ausgehenden Pakete maskieren

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

# ENDE


echo 1 > /proc/sys/net/ipv4/ip_forward
 

wenf

Hacker
wenn manche internet - seiten funktionieren, sollten alle funktioneiern (von der Firewall aus betrachtet)

darf ich dir in paar vorschläge posten :

generell würde ich alles verbieten und nur einige dienste explizit erlauben
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -X

localhost soll alles dürfen
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT

ICMP-MEldungen können dir bei Fehlern weiterhelfen; also würde ich alle ICMPs erlauben

# ICMP - Meldungen erlauben LAN - SEITE
$IPTABLES -A INPUT -p icmp -s $INTERN -d $INTIP -i $INTIF -j mysplit
$IPTABLES -A OUTPUT -p icmp -s $INTIP -d $INTERN -o $INTIF -j mysplit

# ICMP - Meldungen erlauben INTERNET - Seite
$IPTABLES -A INPUT -p icmp -s ! $INTERN -d $EXTIP -i $EXTIF -j my-ext-in
$IPTABLES -A OUTPUT -p icmp -s $EXTIP -d ! $INTERN -o $EXTIF -j my-ext-out


ich denke einige internet-seiten gehen nicht, weil keine Nameserver-regeln definiert sind
nameserver verwenden tcp und udp - portokoll deswegen matcht -m state --state NEW,ESTABLISHED,RELATED nicht

füge doch mal Nameserver - Regeln hinzu ... dann glaube ich dass es funst
 

towo

Moderator
Teammitglied
nils-l schrieb:
Hallo!

Habe einen Router auf Basis einer 9.0 Suse aufgebaut. Desweiteren läuft auf dem Rechner ein Mailserver, Webserver, Samba etc.
Funktioniert auch alles prima, die angeschlossenen Clients können die Freigaben nutzen usw.
Nur einige Internetseiten (z.B. ebay.de) werden auf den Clients nicht dargestellt. Wenn ich auf dem Server einen Browser starte, kann ich die Seiten problemlos aufrufen. Dass würde ich allerdings auch gerne von den Clients aus...
Hat einer eine Idee? Alles andere, auch die meisten anderen Internetseiten funktionieren ja...

Beim start der Internetverbindung wiord folgendes Script ausgeführt ("/etc/ppp/ip-up.d/firewall"):

Code:
#!/bin/sh
#
#definierten Zustand erstellen und alle Regeln loeschen

iptables -F
iptables -t nat -F

#
#Ein Router sollte Pakete vom Typ Destination-unreachable bearbeiten

iptables -A INPUT -i ppp0 -p icmp --icmp-type destination-unreachable -j ACCEPT

#
#Edonkey-Ports oeffnen

iptables -A INPUT -i ppp0 -p tcp --dport 4661:4662 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --dport 4665 -j ACCEPT

#
#Ports fuer IRC oeffnen

iptables -A INPUT -i ppp0 -p tcp --dport 3334:3335 -j ACCEPT

#
#Kette erstellen, die neue Verbindungen blockt, es sei denn, sie kommen von innen
#oder es sind Antwortpakete (ESTABLISHED)

iptables -N block
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT
iptables -A block -j DROP

#
#Von Input und Forward Ketten zu dieser Kette springen

iptables -A INPUT -j block
iptables -A FORWARD -j block

#
# Alle ausgehenden Pakete maskieren

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

# ENDE


echo 1 > /proc/sys/net/ipv4/ip_forward
Was hier gepostet wurde, ist zwar alles richtig, hat aber mit Deinem Problem nix zu tun, ich sage nur 3 Buchstaben: MTU. Dein Router muß die Packete "umpacken", will heissen, auf die DSL spezifische Größe von 1492 (bei T-Online und deren Resellern).
 
OP
N

nils-l

Member
wenf schrieb:
wenn manche internet - seiten funktionieren, sollten alle funktioneiern (von der Firewall aus betrachtet)
Ja das dachte ich mir auch.. deshalb bin ich auch so verwundert...

wenf schrieb:
darf ich dir in paar vorschläge posten :

generell würde ich alles verbieten und nur einige dienste explizit erlauben

Werde ich auch noch machen. Aber im moment bin ich noch nicht so fit mit iptables und bin erstmal froh, dass der Router überhaupt läuft.
Deshalb hab ich erstmal dieses Script von einer anderen Seite kopiert...

wenf schrieb:
ich denke einige internet-seiten gehen nicht, weil keine Nameserver-regeln definiert sind
nameserver verwenden tcp und udp - portokoll deswegen matcht -m state --state NEW,ESTABLISHED,RELATED nicht

füge doch mal Nameserver - Regeln hinzu ... dann glaube ich dass es funst

hm, okay... und wie? :)
 
OP
N

nils-l

Member
carsten schrieb:
doofe Frage: sind bei den Clients irgend welche aktiven Inhalte gesperrt??
Nein, da ist nichts gesperrt...
Das sind übrigens WinXp-Rechner.
Wen nich das Moden direkt anschließe gehen die Seiten auch...
 
OP
N

nils-l

Member
towo2099 schrieb:
Was hier gepostet wurde, ist zwar alles richtig, hat aber mit Deinem Problem nix zu tun, ich sage nur 3 Buchstaben: MTU. Dein Router muß die Packete "umpacken", will heissen, auf die DSL spezifische Größe von 1492 (bei T-Online und deren Resellern).

Auch von Dir vielleicht ein Tipp, wie genau? :)
Bin zwar bei einem anderem Anbieter (auch keine DTAG-Reseller), ist ja aber mal ein versuch wert...
 

wenf

Hacker
NAMESERVER (der Server will DNS auflösen)
for ns in $EXTNS
do
$IPTABLES -A OUTPUT -p TCP -s $EXTIP --sport $p_high -d $ns --dport domain -o $EXTIF -j my-ext-out
$IPTABLES -A INPUT -p TCP -s $ns --sport domain -d $EXTIP --dport $p_high -i $EXTIF -j my-ext-in
$IPTABLES -A OUTPUT -p UDP -s $EXTIP --sport $p_high -d $ns --dport domain -o $EXTIF -j my-ext-out
$IPTABLES -A INPUT -p UDP -s $ns --sport domain -d $EXTIP --dport $p_high -i $EXTIF -j my-ext-in
done


NAMESERVER von clients forward to internet
for ns in $EXTNS
do

$IPTABLES -A FORWARD -p tcp -s $INTERN --sport $p_high --dport domain -i $INTIF -o $EXTIF -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport domain -d $INTERN --dport $p_high -i $EXTIF -o $INTIF -j ACCEPT

$IPTABLES -A FORWARD -p udp -s $INTERN --sport $p_high --dport domain -i $INTIF -o $EXTIF -j ACCEPT
$IPTABLES -A FORWARD -p udp --sport domain -d $INTERN --dport $p_high -i $EXTIF -o $INTIF -j ACCEPT


done
 

towo

Moderator
Teammitglied
nils-l schrieb:
towo2099 schrieb:
Was hier gepostet wurde, ist zwar alles richtig, hat aber mit Deinem Problem nix zu tun, ich sage nur 3 Buchstaben: MTU. Dein Router muß die Packete "umpacken", will heissen, auf die DSL spezifische Größe von 1492 (bei T-Online und deren Resellern).

Auch von Dir vielleicht ein Tipp, wie genau? :)
Bin zwar bei einem anderem Anbieter (auch keine DTAG-Reseller), ist ja aber mal ein versuch wert...
Und warum verrätst Du dann Deinen ISP nicht?
Code:
iptables -A FORWARD -o ppp0 -p TCP --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
 
OP
N

nils-l

Member
okay, vielen Dabk erstmal an wenf und towo2099.
Werde beides mal ausprobieren, sobald ich wieder zu Hause an den Rechnern bin.
Mein Provider ist übrigens die Versatel, habe dort eine 2.048/256 flat...
 
Oben