Hartnäckiger Linux-Rechner :-(

[Sandmann34]

..sicherlich wurde das Thema schon einige Male durchgekaut, aber sicherlich gibt es auch immer wieder einmal "spezielle" Probleme ;-)

...jedenfalls wäre ich über jeden hilfreichen Kommentar dankbar.

Problem:

Bisher brachte uns eine Linux Suse 8.2 ins Internet. (Squid, ca. 250 Windows-Clients, 2 Netzwerkkarten - davon eine mit mehreren IP-Nummern aus dem 192.168er Netz, z.b. 192.168.2.x, 192.168.5.x, die 2te war bisher als dsl0 konfiguriert)

Nun wurde ein Hardware-Router vorgeschalten. (IP = 192.168.0.x). Eigentlich kein Prob oder? einfach das DSL0 abgeschalten, die ehemalige dsl0/eth0 umkonfiguriert auf dhcp, -erhält nun eine IP vom Hardware-Router.

Nach 6-wöchigem problemlosen Laufens! geht nun nichts mehr... (von Stunde zu Stunde wurde es schlechter). Ist die Firewall abgeschalten, geht zumindestens der IE raus, wenn die Proxy-Eintragung (eth1) stimmt. Aber:

... weder ftp noch smtp oder pop läuft.

squid - läuft
susefirewall - läuft in instanz 1 und 2, -setup beendet


Das Ändern der DNS-Einträge im YAST2 (weder externe des ISP, noch die IP des Hardware-Routers) brachten was.

...nun hab ich in der squid.conf nachgeschaut und die eine oder andere Einstellung, was DNS betrifft, geändert. Stümperhaft, ich weiß, aber so ist das nun mal ;-)
(übrigens, ist squid 2.4, wenn ich das richtig in Erinnerung habe)

Tja.. nun reißen mir alle MA mittlerweile bald den Kopf ab, weil E-Mail nicht läuft... und http nicht sauber läuft. (der Proxy wird auf Port 8080 angesprochen)

Vielleicht hat ja einer ne gute Idee?

Danke schon im Voraus!

mfG

 

[Sandmann34]

kleiner Nachtrag

..im mom läuft alles als default...
Auch das Eingeben von statischen Routen brachte nichts, vielleicht war da ein Fehler?

Bsp.

ziel: 0.0.0.0 ..... ...gateway eth0
ziel: 192.168.x.x ...gateway eth1
ziel:127.0.0.0 .......gateway lo


Wäre euch wirklich über jeden Tip dankbar, ggf. auch einen Verweis auf einen Thread hier!

thx

 

[YellowSPARC]

Schmeiss den schrottigen HW-Router raus. Entweder packt er die Vielzahl von Verbindungen nicht (meine Vermutung) oder er laesst sich von irgendwelchem Client-Side-Zeugs (UPnP etc) beeinflussen.
Wenn es natuerlich ein Firmennetz ist, wuerde ich allerdings eher jemanden konsultieren/an Deinen Platz setzen, der die notwendige Kompetenz besitzt.
eMail genuegt. Ich koste: 30EUR/h + Spesen in Berlin, ausserhalb kommen Flugticket (BC) und 100 EUR Pauschale pro Tag dazu - dafuer halte ich die Klappe und schiebe die Schuld auf ein "Transciever-Backbone-Gridlock" oder dgl.

cu

 

[Sandmann34]

Hey Danke für dein Angebot, aber wenn ich das annehme, hab ich zu den Martern meiner Kollegen auch noch die Kündigung in der Tasche

Mal im Ernst:
..ich kann den HW-Router fast ausschliessen...

Der Suse-Rechner hängt direkt am HW-Router, dort funktioniert die DNS-Auflösung und der befehl "traceroute" blitzschnell....
Auch auf den Win-Clients ist der Seitenaufbau im IE echt zügig....
Mein Prob ist mom wirklich, dass weder POP3, noch SMTP oder FTP funktionieren... Es hat wirklich den Anschein, als ob der "Suse-Router" irgendwas "dicht" macht...
Weder "tracert" noch "ping" bringen was... am SuSe, eth1, ist Schluss... bzw. kommt Meldung "Zielhost ist nicht erreichbar.."

Übrigens.. ICH wollte den SuSe im Netz behalten... Er ist in den Win-Clients "hidden" und schirmt mir die verschiedenen Netze von einander ab...

 

[devilz]

Hast du die SuSE Firewall an ? Eventl. blockt die da was?

 

[YellowSPARC]

was sagen:

route -n
netstat -arv
iptraf
iptables -L

Wie sehen die Kernelrouten aus? Kannst du evtl iptraf oder ethereal vor und nach der Susi einsetzen und sehen, wo genau der Bottleneck ist?
Falls du in den IRC kannst, kann ich dir evtl. von dort aus schneller weiterhelfen.

Momentan ist es zwar fies, so etwas zu sagen, aber du solltest Dir dringend Kenntnisse bzgl.. Netzwerkanalyse aneignen, bevor du den SysOP gibts - lass dir das bloss eine Lehre sein!

 

[Sandmann34]

Hast du die SuSE Firewall an ? Eventl. blockt die da was?

..habe die Firewall im Yast2, unter Sicherheit, gestoppt und bekomme auch die Meldung, dass die Firewall aus dem Bootprozess entfernt wurde.
Der Runlevel-Editor sagt, dass Susefirewall in Instanz 1 und 2 gestartet sind, der Punkt 3 (susefirewall-setup, oder so ähnlich) ist gestoppt.
Auch das manuelle Beenden der Firewall-Dienste im Runlevel-Editor bringt keine Abhilfe.

 

[devilz]

Schau mal bitte auf YellowSPARC's Posting ....
Eventl. bringt das Klarheit bzgl. des Problems ... ich hoffe desweiteren das du Hardware Probleme ausschließen kannst ...

 

[Sandmann34]

was sagen:

route -n
netstat -arv
iptraf
iptables -L

Wie sehen die Kernelrouten aus? Kannst du evtl iptraf oder ethereal vor und nach der Susi einsetzen und sehen, wo genau der Bottleneck ist?
Falls du in den IRC kannst, kann ich dir evtl. von dort aus schneller weiterhelfen.

Momentan ist es zwar fies, so etwas zu sagen, aber du solltest Dir dringend Kenntnisse bzgl.. Netzwerkanalyse aneignen, bevor du den SysOP gibts - lass dir das bloss eine Lehre sein!

was iptbles sagt, kann ich dir erst morgen früh mitteilen, bin ja jetzt zuhause

Mit deiner Bemerkung , was den "Sysop" betrifft, hast du sicherlich recht, aber ich bilde mir ein, ein "wenig" Wissen über Netzwerk zu haben.. (nur: SuSe ist eben kein Windoof oder Dos ... Und bisher hab ich das doch ganz gut gemanaget ..Sogar der eigentliche Admin (NT-MCSE) bei uns überlässt mir freiwillig den Proxy ..)

 

[Sandmann34]

Schau mal bitte auf YellowSPARC's Posting ....
Eventl. bringt das Klarheit bzgl. des Problems ... ich hoffe desweiteren das du Hardware Probleme ausschließen kannst ...

hab ich doch heute was bei einem Dienst über "Yellow.." gelesen, aber als "Windows-Geschädigter" hat mich der Satz geschockt, dass man die entsprechenden Dienste (ich glaub, das war im Zusammenhang mit DNS) nur mit Genehmigung einsetzen darf..

Aber DANKE für den Tip, ich werde dem mal nachgehen...

 

[YellowSPARC]

..habe die Firewall im Yast2, unter Sicherheit, gestoppt und bekomme auch die Meldung, dass die Firewall aus dem Bootprozess entfernt wurde.
Der Runlevel-Editor sagt, dass Susefirewall in Instanz 1 und 2 gestartet sind, der Punkt 3 (susefirewall-setup, oder so ähnlich) ist gestoppt.
Auch das manuelle Beenden der Firewall-Dienste im Runlevel-Editor bringt keine Abhilfe.

*BINGO*, wuerde ich sagen. Du brauchst die "Firewalldienste" alias iptables, um DNS und diejenigen Protokolle, die nicht via Proxy laufen, "durchzuleiten".
IP-Forwarding, nennt sich diese Sorte Firewallregel. Ich weiss nicht, wie das in YAST2 aussieht, aber irgendwas unter DNS-Masquerade, NAT oder Forwarding ist das was du suchst. Dort musst du der Susi sagen, dass sie Pakete vom internen Interface zum Aeussreren und zurueck uebersetzen soll.

 

[Sandmann34]

*BINGO*, wuerde ich sagen. Du brauchst die "Firewalldienste" alias iptables, um DNS und diejenigen Protokolle, die nicht via Proxy laufen, "durchzuleiten".
IP-Forwarding, nennt sich diese Sorte Firewallregel. Ich weiss nicht, wie das in YAST2 aussieht, aber irgendwas unter DNS-Masquerade, NAT oder Forwarding ist das was du suchst. Dort musst du der Susi sagen, dass sie Pakete vom internen Interface zum Aeussreren und zurueck uebersetzen soll.

Deiner Aussage nach, muss ich die Firewall also laufen lassen?? aber dann geht ja nicht mal mehr dass, was der Proxy abarbeiten soll?!?!

Wenns dir recht ist, poste ich ich morgen früh mal den iptables-auszug?

(übrigens ist unter "routing" das IP-Forwarding aktiviert)

Danke jedenfalls... Meine Vermutung, es würde was an den Sicherheitsregeln auf dem Proxy nicht stimmen, hat sich damit verhärtet.

 

[Sandmann34]

...allerding ist mir immer noch nicht klar, wie unter Linux die Vergabe von statischen Routen abläuft...

 

[devilz]

Also schau morgen mal danach und eventl. schau im YaST (is auch nur ne GUI für iptables) nach welche Dienste die offen hast und ob alle Einstellungen passen ...

Danach poste hier mal die Ausgaben, dann sehen wir ja weiter

 

[Sandmann34]

Jepp... danke euch erst einmal für eure Mühe

Übrigens.... Ich ziehe ein SuSe-Router innerhalb eines LANs immer noch der Bill-Gates-Lösung vor... Die läuft wenigstens auf Anhieb...

 

[Sandmann34]

netstat -arv:

Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
192.168.5.0 * 255.255.255.0 U 0 0 0 eth1
192.168.2.0 * 255.255.255.0 U 0 0 0 eth1
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
default . 0.0.0.0 UG 0 0 0 eth0

route -n:

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.5.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 eth0


iptables -L:

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source

iptables -L: (nach gestarteter FW)

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP all -- loopback/8 anywhere
DROP all -- anywhere loopback/8
DROP all -- Proxy.local anywhere
DROP all -- 192.168.0.101 anywhere
input_ext all -- anywhere 192.168.0.101
input_int all -- anywhere Proxy.local
DROP all -- anywhere 192.168.0.255
DROP all -- anywhere 255.255.255.255
DROP all -- anywhere 192.168.5.255
DROP all -- anywhere 255.255.255.255
DROP all -- anywhere 192.168.0.101


Habe die Sachen "Log" mal entfernt...

 

[Sandmann34]

Alles läuft wieder

nachdem ich heut noch einige "Anpassungen" in der conf der FW gemacht habe, läuft seit dem Neustart der FW alles wieder bestens.


Also noch mal Danke an alle!