Re: Umstellung auf iptables
Versuch es mal damit: iptables -I FORWARD -p TCP --tcp-flags SYN,RST SYN \ -j TCPMSS --clamp-mss-to-pmtu Sebastian -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Umstellung auf iptables
Am Sonntag, 27. Januar 2002 13:32 schrieb Sebastian Heinlein: Versuch es mal damit: iptables -I FORWARD -p TCP --tcp-flags SYN,RST SYN \ -j TCPMSS --clamp-mss-to-pmtu Danke, aber was ist daran anders, als bei der Zeile, die ich in meiner letzten Mail geschrieben habe? -- Michael Pahle Website: http://www.lug-ketsch.de -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Umstellung auf iptables
Am Sonntag, 27. Januar 2002 13:37 schrieb Michael Pahle: Danke, aber was ist daran anders, als bei der Zeile, die ich in meiner letzten Mail geschrieben habe? Entschuldige; die hatte ich wohl leider überlesen. Sebastian -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Umstellung auf iptables
Hallo Michael, * Michael Pahle [EMAIL PROTECTED] [26-01-02 14:55]: Auch wenn ich mich von Clients aus per ssh einloggen will, dauert es relativ lange, bis ich nach dem Passwort gefragt werde. Das kann daran liegen, daß ssh eine DNS Namensauflösung versucht. Da du aber sicher keinen DNS-Server laufen hast, versucht ssh den Namen deines Rechners per DNS aufzulösen, bekommt irgendwann vom DNS mit, daß der Rechner nicht existiert und durchsucht die /etc/hosts. Abhilfe hat bei mir ein lokaler DNS-Server gebracht. Gruss Udo -- ComputerService Müller | You want my PGP-Key? | Key: 0xAD0EEC22 Kaspersweg 11a | mail -s get pgp-key | Tel: 0441-36167578 26131 Oldenburg| Schon fit für ¤ und ¢? | Mobil: 0162-4365411 Registrierter Linux-User #225706 auf Debian GNU/Linux 2.4.17 msg00269/pgp0.pgp Description: PGP signature
Re: Umstellung auf iptables
Hallo Boy, * Boy on Tour [EMAIL PROTECTED] [26-01-02 15:11]: Du hast ja nen komischen Realnamen.. Jörg B. Ach so, Jörg heißt du... Gruss Udo -- ComputerService Müller | You want my PGP-Key? | Key: 0xAD0EEC22 Kaspersweg 11a | mail -s get pgp-key | Tel: 0441-36167578 26131 Oldenburg| Schon fit für ¤ und ¢? | Mobil: 0162-4365411 Registrierter Linux-User #225706 auf Debian GNU/Linux 2.4.17 msg00272/pgp0.pgp Description: PGP signature
Re: Umstellung auf iptables
Am Samstag, 26. Januar 2002 15:11 schrieb Boy on Tour: ich denke , das du einfach mal in deine /etc/resolv.confvon deinem Client einen 2. Nameserver eintragen solltest bzw. den aktuellen Server aendern solltest. Wahrscheinlich liegt es daran : probier den mal aus nameserver 195.94.90.10 Danke. Ich habe aber bereits zwei drinne. Trotzdem hab ich den noch eingetragen weil er tatsächlich schneller als meine anderen ist. Aber das Problem ist deswegen nicht gelöst. Vorher mit ipchains hatte es ja auch geklappt. Und jetzt, mit iptables ist das Problem aufgetaucht. -- Michael Pahle Website: http://www.lug-ketsch.de -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Umstellung auf iptables
On Sat, Jan 26, 2002 at 02:55:14PM +0100, Michael Pahle wrote: Hi! Nun Habe ich es geschafft und kann mit iptables über meinen Server in Internet. Bis die Clients aus dem Netz antwort bekommen geht auch schnell. Nun fiel mir aber auf, daß ich beim Dowload von Dateien enorme Probleme habe. Der Download ist ganz langsam. Einiges kann ich garnicht downloaden. Ähnlich ist es mit dem Surfen. Bei manchen Seiten dauert der Aufbau unendlich lang und manchen Seiten gehen garnicht. Auch wenn ich mich von Clients aus per ssh einloggen will, dauert es relativ lange, bis ich nach dem Passwort gefragt werde. Eine Firewall habe ich noch nicht eingerichtet. Was läuft da nicht rund? Hier die Ausgaben von lsmod und iptables -L: lsmod Module Size Used byNot tainted ppp_async 6272 1 (autoclean) parport_pc 25384 1 (autoclean) lp 6656 0 (autoclean) ppp_generic17544 3 (autoclean) [ppp_async] slhc4576 0 (autoclean) [ppp_generic] ipt_MASQUERADE 1248 1 (autoclean) iptable_nat13076 0 [ipt_MASQUERADE] ip_conntrack 13036 1 [ipt_MASQUERADE iptable_nat] ip_tables 10496 4 [ipt_MASQUERADE iptable_nat] Nichts nachteiliges zu erkennen. iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination OK, damit ist alles erlaubt, zwar unsicher, aber kann den Fehler nicht erzeugen. Wie gehst du ins Netz, Analog, ISDN, *DSL? Was sagt ein `cat /proc/sys/net/ipv4/tcp_ecn`? Wenn da eine 1 zurückkommt, dann bekommst du Probleme mit Servern, die hinter Firewalls stehen, die Pakete mit der TCP-ECN Option verwerfen. Ein `echo 0 /proc/sys/net/ipv4/tcp_ecn` sollte dann helfen. Wenn du über T-DSL und Artverwandte ins Netz gehst, dann mag es noch andere Probleme geben, sollte aber eigentlich nicht auftreten bei dem Rechner, der sich einwählt, sondern bei dahinter maskierten oder gerouteten Rechnern. Reiche doch mal die Ausgabe von `ifconfig` und `route -n` rüber. Ciao -- Rainer Nagel [EMAIL PROTECTED] Duesseldorfer Linux User Group - http://www.dlug.de msg00281/pgp0.pgp Description: PGP signature
Re: Umstellung auf iptables
Am Samstag, 26. Januar 2002 16:16 schrieb Rainer Nagel: OK, damit ist alles erlaubt, zwar unsicher, aber kann den Fehler nicht erzeugen. Sicher ist das unsicher :) Was ipchains/iptables betrifft bin ich ein blutiger Anfänger. Mir geht es in erster Linie darum, daß ich meinen Server (ohne keyboard, Maus und Tastatur) nur einschalte muß und ihn dann mit meinen clients als Gateway ins internet, zum Drucken und später als Archiv für nicht benötigte Daten benutzen kann. Ich bin gerade am Einlesen in die Firewalltechniken mit iptables. Wie gehst du ins Netz, Analog, ISDN, *DSL? DSL Was sagt ein `cat /proc/sys/net/ipv4/tcp_ecn`? debbi:/home/michael# cat /proc/sys/net/ipv4/tcp_ecn 0 Reiche doch mal die Ausgabe von `ifconfig` und `route -n` rüber. debbi:/home/michael# ifconfig eth0 Protokoll:Ethernet Hardware Adresse 00:40:95:30:90:D6 inet Adresse:192.168.6.11 Bcast:192.168.6.255 Maske:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1160373 errors:0 dropped:0 overruns:0 frame:0 TX packets:366659 errors:0 dropped:0 overruns:0 carrier:0 Kollisionen:0 Sendewarteschlangenlänge:100 RX bytes:1519438595 (1.4 GiB) TX bytes:247323137 (235.8 MiB) Interrupt:5 Basisadresse:0xd000 eth1 Protokoll:Ethernet Hardware Adresse 00:40:95:30:28:9B UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:103244 errors:0 dropped:0 overruns:0 frame:0 TX packets:61829 errors:0 dropped:0 overruns:0 carrier:0 Kollisionen:35 Sendewarteschlangenlänge:100 RX bytes:136305651 (129.9 MiB) TX bytes:5359834 (5.1 MiB) Interrupt:11 Basisadresse:0xcc00 loProtokoll:Lokale Schleife inet Adresse:127.0.0.1 Maske:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:592 errors:0 dropped:0 overruns:0 frame:0 TX packets:592 errors:0 dropped:0 overruns:0 carrier:0 Kollisionen:0 Sendewarteschlangenlänge:0 RX bytes:53692 (52.4 KiB) TX bytes:53692 (52.4 KiB) ppp0 Protokoll:Punkt-zu-Punkt Verbindung inet Adresse:80.132.50.36 P-z-P:217.5.98.94 Maske:255.255.255.255 UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1492 Metric:1 RX packets:101596 errors:0 dropped:0 overruns:0 frame:0 TX packets:60182 errors:0 dropped:0 overruns:0 carrier:0 Kollisionen:0 Sendewarteschlangenlänge:3 RX bytes:133961017 (127.7 MiB) TX bytes:3936958 (3.7 MiB) debbi:/home/michael# route -n Kernel IP Routentabelle ZielRouter Genmask Flags Metric RefUse Iface 217.5.98.94 0.0.0.0 255.255.255.255 UH0 00 ppp0 192.168.6.0 0.0.0.0 255.255.255.0 U 0 00 eth0 0.0.0.0 217.5.98.94 0.0.0.0 UG0 00 ppp0 -- Michael Pahle Website: http://www.lug-ketsch.de -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Umstellung auf iptables
Hi Michael, On Sat, Jan 26, 2002 at 05:00:09PM +0100, Michael Pahle wrote: Am Samstag, 26. Januar 2002 16:16 schrieb Rainer Nagel: OK, damit ist alles erlaubt, zwar unsicher, aber kann den Fehler nicht erzeugen. Sicher ist das unsicher :) Was ipchains/iptables betrifft bin ich ein blutiger Anfänger. iptables ist leicht und einfach. Wird schon :-) Mir geht es in erster Linie darum, daß ich meinen Server (ohne keyboard, Maus und Tastatur) nur einschalte muß und ihn dann mit meinen clients als Gateway ins internet, zum Drucken und später als Archiv für nicht benötigte Daten benutzen kann. OK, so soll es ja auch funktionieren. Ich bin gerade am Einlesen in die Firewalltechniken mit iptables. Viel Spaß. Wie gehst du ins Netz, Analog, ISDN, *DSL? DSL OK, passt zu der mtu von 1492 Byte auf ppp0. Was sagt ein `cat /proc/sys/net/ipv4/tcp_ecn`? debbi:/home/michael# cat /proc/sys/net/ipv4/tcp_ecn 0 OK. Reiche doch mal die Ausgabe von `ifconfig` und `route -n` rüber. Auf das wichtige zusammengestrichen: debbi:/home/michael# ifconfig eth0 Protokoll:Ethernet Hardware Adresse 00:40:95:30:90:D6 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 eth1 Protokoll:Ethernet Hardware Adresse 00:40:95:30:28:9B UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 Sehe ich das richtig, das du die IP's von hand gelöscht hast? ppp0 Protokoll:Punkt-zu-Punkt Verbindung inet Adresse:80.132.50.36 P-z-P:217.5.98.94 Maske:255.255.255.255 UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1492 Metric:1 OK. debbi:/home/michael# route -n Kernel IP Routentabelle OK. Teste mal, ob du von dem Router selber die Schwierigkeiten auch hast. Ist recht einfach zu lösen, indem du dort einen Proxy (z.B. squid) installierst und diesen in deinem Browser nutzt. Dann ist das mtp-Problem umgangen (nicht gelöst). Wenn das hilft, dann mußst du entweder alle deine Clients auf eine mtu von 1492 einstellen, oder msclamp nutzen. Da weis ich leider nicht um die reale Implementation, aber es sollte eine DSL-FAQ dazu geben bzw. hier Hilfe. Ciao -- Rainer Nagel [EMAIL PROTECTED] freenet.de AGTel.: +49 211 53087 423 WillstätterStr. 13, D-40549 Düsseldorf Fax.: +49 211 53087 199 Vorstand: Eckhard Spoerr (Vors.), Axel Krieger Amtsgericht Hamburg Vorsitzender des Aufsichtsrates: Gerhard SchmidHRB 74048 msg00295/pgp0.pgp Description: PGP signature
Re: Umstellung auf iptables
Am Samstag, 26. Januar 2002 18:04 schrieb Rainer Nagel: Auf das wichtige zusammengestrichen: debbi:/home/michael# ifconfig eth0 Protokoll:Ethernet Hardware Adresse 00:40:95:30:90:D6 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 eth1 Protokoll:Ethernet Hardware Adresse 00:40:95:30:28:9B UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 Sehe ich das richtig, das du die IP's von hand gelöscht hast? ??? Welche IP's? Ich habe die Ausgaben der Console original mitgeschickt und nix gelöscht. ppp0 Protokoll:Punkt-zu-Punkt Verbindung inet Adresse:80.132.50.36 P-z-P:217.5.98.94 Maske:255.255.255.255 UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1492 Metric:1 OK. debbi:/home/michael# route -n Kernel IP Routentabelle OK. Teste mal, ob du von dem Router selber die Schwierigkeiten auch hast. Vom Router aus benutze ich nur dselect und das geht flott von der Hand. Ist recht einfach zu lösen, indem du dort einen Proxy (z.B. squid) installierst und diesen in deinem Browser nutzt. Die ganze Zeit habe ich Masquerading benutzt. Warum sollte ich nun wegen iptables einen proxy installieren. Geht iptables nicht mit Maquerading? Ich habe das nicht bei fli4l, bei SuSE, bei potato und nicht bei woody gebraucht. Geht das nicht anders? Dann ist das mtp-Problem umgangen (nicht gelöst). Eben das will ich gerade nicht. Wenn, soll das Problem gelöst, nicht umgangen werden. Wer sagt mir, daß mit dem proxy, den ich noch nie benutzt, gebraucht, oder gar konfiguriert habe, nicht wieder neue Probleme in einer ganz andere Richtung entstehen? ...aber es sollte eine DSL-FAQ dazu geben bzw. hier Hilfe. Werd mal danach suchen gehen, oder hast du da was bestimmtes gemeint? Auf jeden Fall: Danke für deine Hilfe :) -- Michael Pahle Website: http://www.lug-ketsch.de -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Umstellung auf iptables
Hi Michael, On Sat, Jan 26, 2002 at 06:33:29PM +0100, Michael Pahle wrote: Am Samstag, 26. Januar 2002 18:04 schrieb Rainer Nagel: Auf das wichtige zusammengestrichen: debbi:/home/michael# ifconfig eth0 Protokoll:Ethernet Hardware Adresse 00:40:95:30:90:D6 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 eth1 Protokoll:Ethernet Hardware Adresse 00:40:95:30:28:9B UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 Sehe ich das richtig, das du die IP's von hand gelöscht hast? ??? Welche IP's? Ich habe die Ausgaben der Console original mitgeschickt und nix gelöscht. Sorry, mein Fehler. Die Zeile mit der IP von eth0 habe ich gelöscht und auf eth1 ist sinnvollerweise keine drauf. Teste mal, ob du von dem Router selber die Schwierigkeiten auch hast. Vom Router aus benutze ich nur dselect und das geht flott von der Hand. OK, wohl MTU (genauer PMTUD) Problem. Ist recht einfach zu lösen, indem du dort einen Proxy (z.B. squid) installierst und diesen in deinem Browser nutzt. Die ganze Zeit habe ich Masquerading benutzt. Warum sollte ich nun wegen iptables einen proxy installieren. Geht iptables nicht mit Maquerading? Ich habe das nicht bei fli4l, bei SuSE, bei potato und nicht bei woody gebraucht. Geht das nicht anders? Doch, war nur zum Testen gemeint, ob es das Standard-PMTUD-Problem mit T-DSL ist. Dann ist das mtp-Problem umgangen (nicht gelöst). Eben das will ich gerade nicht. Wenn, soll das Problem gelöst, nicht umgangen werden. Wer sagt mir, daß mit dem proxy, den ich noch nie benutzt, gebraucht, oder gar konfiguriert habe, nicht wieder neue Probleme in einer ganz andere Richtung entstehen? Deshalb schrieb ich ja umgangen, s.o. ...aber es sollte eine DSL-FAQ dazu geben bzw. hier Hilfe. Werd mal danach suchen gehen, oder hast du da was bestimmtes gemeint? Suche mal nach T-DSL und mssclamp bzw. T-DSL und PMTUD. Ciao -- Rainer Nagel [EMAIL PROTECTED] freenet.de AGTel.: +49 211 53087 423 WillstätterStr. 13, D-40549 Düsseldorf Fax.: +49 211 53087 199 Vorstand: Eckhard Spoerr (Vors.), Axel Krieger Amtsgericht Hamburg Vorsitzender des Aufsichtsrates: Gerhard SchmidHRB 74048 msg00307/pgp0.pgp Description: PGP signature
