shorewall netosztásra, de sok oldal nem jön be

Linux-haladó

ubuntun shorewallt használok egy ppp0 netinterface szétosztására. a linuxos kliensen elvileg minden ok, habár a skype nem működik rendesen. mivel régi 1.3as skype, ezt még nem írtam a shorewall számlájára. amsn egyébként ok.
win xp kliensen, viszont IE alatt szinte semmilyen oldal nem töltődik be, a firefoxon csak pár oldal nem jön be. se a skype, sem msn nem működik.
CLAMPMSS=Yes bekapcsolva, felkészülve potenciális agyhalott netszolgáltatóra :)
dns beállítás ok.

mi lehet a hiba?

  • 2110 megtekintés

( maniac | 2007. 11. 27., k – 22:52 )

/etc/shorewall/zones

megvan adva, hogy melyik kulso, melyikb elso interface?

/etc/shorewall/interfaces

itt megvan adva mind2 interface, hogy mit lehet?

nalam ezek vannak: eth0 detect dhcp,routefilter,tcpflags,

/etc/shorwall/masq

meg van adva, hogy melyikrol melyikre legyen masquarade?

/etc/shorewall/policy

80as portot, meg a tobbit is esetleg fogadod?

en mindent fogadok, szal nalam:

belso all ACCEPT

/etc/shorewall/shorewall.conf

itt meg IP_FORWARDING = On

egyebeknt ip cimre tudsz pingelni kulsos ipre?

lehet, hogy kene dns is oda neked, ha amugy megy, vagy megadni egy kulso dns cimet a klienseknek dhcp-n. mondjuk en feltettem dnsmasq csomagot :).

update: dhcp szerver rendesen oszt ki mindent? dns, gateway stb?

a /etc/shorewall/zones így néz ki nálam. szóval ez ok

fw firewall
net ipv4
loc ipv4
dmz ipv4

a /etc/shorewall/interfaces

net ppp0 - tcpflags,routefilter,norfc1918,nosmurfs,logmartians
loc eth2 detect tcpflags,detectnets,nosmurfs
dmz eth1 detect

routefilter nincs ugyan megadva nálam, de a shorewall.confban a ROUTE_FILTER=yes, így itt felesleges lenne. a linuxos kliens van a dmz zonaban és a winxp a loc, de amikor megfordítottam az konfigot úgy is ugyanaz maradt minden. így imho nem ezeken az opciokon múlik a dolog.

az /etc/shorwall/masq
ppp0 eth1
ppp0 eth2

itt nincs is mit állítgatni.

az /etc/shorewall/policy

loc dmz REJECT info
loc $FW REJECT info
loc all REJECT info

#
# Policies for traffic originating from the firewall ($FW)
#
# If you want open access to the Internet from your firewall, change the
# $FW to net policy to ACCEPT and remove the 'info' LOG LEVEL.

$FW net ACCEPT
$FW dmz ACCEPT
$FW loc ACCEPT
$FW all ACCEPT

#
# Policies for traffic originating from the De-Militarized Zone (dmz)
#
# If you want open access from DMZ to the Internet change the following
# policy to ACCEPT. This may be useful if you run a proxy server in
# your DMZ.
dmz net ACCEPT
dmz $FW ACCEPT
dmz loc ACCEPT
dmz all ACCEPT

#
# Policies for traffic originating from the Internet zone (net)
#
net dmz ACCEPT
net $FW ACCEPT
net loc ACCEPT
net all DROP info

# THE FOLLOWING POLICY MUST BE LAST
all all REJECT info

imho eléggé engedékeny beállítás.

az /etc/shorewall/rules

SSH/ACCEPT loc $FW
SSH/ACCEPT loc dmz
SSH/ACCEPT net $FW
#
# DMZ DNS access to the Internet
#
DNS/ACCEPT dmz net

# Reject Ping from the "bad" net zone.

Ping/REJECT net $FW

#
# Make ping work bi-directionally between the dmz, net, Firewall and local zone
# (assumes that the loc-> net policy is ACCEPT).
#

Ping/ACCEPT loc $FW
Ping/ACCEPT dmz $FW
Ping/ACCEPT loc dmz
Ping/ACCEPT dmz loc
Ping/ACCEPT dmz net

ACCEPT $FW net icmp
ACCEPT $FW loc icmp
ACCEPT $FW dmz icmp

# Uncomment this if using Proxy ARP and static NAT and you want to allow ping from
# the net zone to the dmz and loc

Ping/ACCEPT net dmz

ez is ok.

az IP_FORWARDING = On természetesen a shorewall.confban.
és amint írtam a linux kliens ok is, akkor is ha dmz, akkor is ha loc zonaban van. a winxp egyik esetben sem ok. mindkét kliens gépen külső DNS serverek vannak beállítva a netszolgáltatótól, azaz mégcsak nem is idegen szolgáltatók dnsei, és nem is a routergép dnse vacakol. bár a dnsmasq csomag fent van, csak most nem használom.

köszi a tippet, ez eddig valóban nem szerepelt benne. bár sok reményt nem fűzök hozzá, mert mint írtam amikor fordítottam a helyzeten, akkor sem változott semmi. márpedig akkor, a winxp gép a DMZben volt, arra pedig eddig is ott volt a DNS/ACCEPT.
a loc pingelhet kifele, ezt próbáltam mindkét kliensen és a pingeléssel nem is volt baj. még azokat a webservereket is tudtam pingelni, amiknek az oldalait egyébként nem tudta behozni egyik wines böngésző sem.
csak a Ping/REJECT net $FW bejegyzés tilt pingelést, de az csak a firewall külső pingelésére vonatkozik

Ping/ACCEPT loc $FW
Ping/ACCEPT dmz $FW
Ping/ACCEPT loc dmz
Ping/ACCEPT dmz loc
Ping/ACCEPT dmz net

ACCEPT $FW net icmp
ACCEPT $FW loc icmp
ACCEPT $FW dmz icmp

belül egymás és a firewall között a kölcsönös pingelés megengedett, bár már én is eléggé álmos vagyok, és a saját configomat is elnézhetem :) de egyébként sem ez a fő probléma.

( prygme | 2007. 11. 28., sze – 02:12 )

nos meglett a hiba magyarázata. eléggé vicces. a barátnőm barátnője, aki most nálunk lakik korábban koleszban lakott, és ott úgy volt beállítva a notebookján az IE, hogy belső ip cím esetén az egyetemi proxyt használja. itt eddig közvetlenül volt bedugva a kábeltvs ethernet, ezért az egyetemi proxy nem élt. de amint betettem az netet elosztó ubuntu gép mögé a notebookját az ip címe 192.168.x.xre változott, az IE azt hitte, hogy újra a koleszban van és mindent az egyetemi proxyn kereszül akart leszedni. az persze nem igen akart kiszolgálni egy külsö ipről nyomuló gépet. ez lehetett az oka az IE hibának.
a firefox viszont nem tudom miért vacakolt pár oldallal, most egyébként azzal is minden ok, ráadásul azt én telepítettem fel pár hónapja, és biztosan nincs benne beállítva proxy. nyilván a bennem levő ufo vér lehetett az ok, dühös voltam az IE miatt és a negatív energia, befolyásolta az FF kód végrehajtását :D
az msn IEt használ a passportos bejelentkezéséhez, így amiota az IE jó működik az is.
a skypenak nemtom mi lehetett a baja, egy frissítés után mindenesetre az is megjavult.