routing-probleme

[jonix]

leider hab ich noch immer keine loesung zu diesem problem (firewall gegen icmp?) gefunden - auch der google schweigt sich mir gegenueber aus, netfilter.org kann mir auch net weiterhelfen
hat denn niemand eine idee, was ich noch probieren koennt?

hier noch zur info die ausgabe von ip_conntrack:

Code:

cerberos:/proc/net # cat ip_conntrack | grep 195.3.82.26
tcp      6 67 FIN_WAIT src=192.168.0.194 dst=195.3.82.26 sport=3894 dport=443 src=195.3.82.26 dst=62.99.xxx.xxx sport=443 dport=3894 [ASSURED] use=1
tcp      6 431988 ESTABLISHED src=192.168.0.194 dst=195.3.82.26 sport=3921 dport=443 src=195.3.82.26 dst=62.99.xxx.xxx sport=443 dport=3921 [ASSURED] use=1

ps: noch eine frage:

Code:

51.679923 cerberos.domain.tld -> ibucp-vip-m.blue.aol.com TCP 3522 > aol [SYN] Seq=2473699095 Ack=0 Win=64240 Len=0

was koennte denn diese zeile in der ausgabe von tethereal bedeuten?

[jonix]

so, letztes update: hab jetzt das wcmfirewall-skript in verwendung, 1:1 uebernommen mit port-forwarding der ports 25 und 80. trotzdem geht nix... mittlerweile bin ich wirklich am verzweifeln - woran kann denn das bitte noch liegen!?

die firewall haengt an einem zyxel prestige 782 (der schleift einfach alles durch), diese an einer xdsl unlimited standleitung. ausserdem laeuft am server der named (bind_9.1.3), und iptables_1.2.2

[jonix]

schaut so aus als haette ich den schuldigen gefunden (auch wenns noch nicht verifiziert und repariert ist),
und ich denk mir dass diese infos fuer den einen oder anderen zumindest interessant sein koennten:

unter http://www.sauff.com/dsl-faq/mtu-mini-faq.txt finden sich sehr interessante dinge:

Zitat:

Auswirkungen/Probleme bei zu großer MTU:
Der Server im Internet ... sendet IP-Datenpakete mit mehr als 1492 Byte.

Leider liegt zwischen diesen beiden Rechnern die "Engstelle" der
PPPoE-Verbindung, die eine (maximale) MTU von 1492 hat und deshalb
Pakete nicht weiterleiten kann, die größer als dieser MTU-Wert sind.

Da der Server aber eine groessere Default-MTU hat als 1492 schickt er
Packete die so gross sind wie seine MTU.

Normalerweise wuerde der Server jetzt ein ICMP 'Destination unreachable:
Fragmentation needed, but DF set.' bekommen und daraufhin via PMTUD [1.4]
die maximale MTU der Strecke herauszufinden. Leider meinen manche Leute,
dass ICMP boese ist (neben GMX.de gehoert da unter anderem auch microsoft.com
zu) und dass das auf der Firewall vor dem Server geblockt werden muss.

Dementsprechend bekommt der Server keine "ICMP-Fehlermeldung" und denkt
es ist alles in Ordnung. Somit gehen die zu großen Pakete auf der PPPoE-
Strecke verlohren, ohne dass dies jemand bemerkt. :-(

ich hoff dass mir inode demnaechst sagt dass dieses problem durch eine umkonfiguration
des zyxel-routers behoben werden kann! ("...Der Router kann MSS-Clamping [1.6] betreiben.
Dann sollte es ausreichen, im Router die CLAMP-MSS auf 1452 Byte [1.5] einzustellen...")

ps: warum gibts keinen smiley der daumen drueckt?

[jonix]

Mit 'ping -f -l <MTU> <Server>' hab ich den Wert, den meine MTU haben
sollte, herausgefunden, mit 'tethereal -V' die Problematik nochmals
bestaetigt, aber: Bei beiden Interfaces (extern und intern) meiner
Firewall war urspruenglich (lt YAST) fuer die MTU der Wert
'automatisch' eingetragen, lt. 'ifconfig' war somit der Standard-
Ethernet-Wert von 1500 gesetzt. Nun hab ich ein bisschen
herumgespielt und die Werte veraendert - was keine Besserung
brachte - und schlussendlich wieder auf 1500 gesetzt. Und siehe
da - es funktioniert!!

Vielen Dank auf jeden Fall nochmals fuer die Hilfe, ich weiss zwar
net warums auf einmal geht, aber was solls- zumindest hab ich
dazugelernt.