Firewall laesst ebay nicht durch

NaSowas · 8. November 2019 um 23:30

Hallo rundrum!

Ich hab mir mit SuSE 9.1 nen Router mit 2 NICs und ner selbstgestrickten Firewall aufgesetzt.
Laeuft eigentlich prima.
Aber auf ein paar Seiten komm ich nicht durch.
z.B. ebay.
Nach einiger Zeit kommt die Fehlermeldung „Objekt enthaelt keine Daten“
Oder wenn meine Frau bei „Otto“ shoppen und Geld ausgeben will, geht auch nix. Find ich gut ;o)

iptables -nL gibt folgendes aus:

Chain INPUT (policy DROP)
target prot opt source destination 
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 
ACCEPT all -- 127.0.0.1 0.0.0.0/0 
ACCEPT icmp -- 192.168.123.0/24 0.0.0.0/0 icmp type 8 
ACCEPT tcp -- 192.168.123.0/24 0.0.0.0/0 tcp dpts:1:65535 
ACCEPT udp -- 192.168.123.0/24 0.0.0.0/0 udp dpts:1:65535 
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 

Chain FORWARD (policy DROP)
target prot opt source destination 
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 
DROP all -- 192.168.123.1 0.0.0.0/0 
DROP icmp -- 192.168.123.1 0.0.0.0/0 icmp type 8 
ACCEPT icmp -- 192.168.123.0/24 0.0.0.0/0 icmp type 8 
ACCEPT tcp -- 192.168.123.0/24 0.0.0.0/0 tcp dpts:1:65535 
ACCEPT udp -- 192.168.123.0/24 0.0.0.0/0 udp dpts:1:65535 
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 

Chain OUTPUT (policy DROP)
target prot opt source destination 
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 
ACCEPT all -- 127.0.0.1 0.0.0.0/0 
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:1:65535 
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpts:1:65535 
ACCEPT tcp -- 0.0.0.0/0 192.168.123.0/24 tcp dpts:1:65535 
ACCEPT udp -- 0.0.0.0/0 192.168.123.0/24 udp dpts:1:65535 
LOG all -- 0.0.0.0/0

Info: Der 192.168.123.1 ist mein W2K-Server, den ich im I-Net mundtot gemacht habe.
Was kommt da von ebay & Co mit, daß der Router blockt???
Andre Seiten gehn ja auch!

Irgendwo fehlt noch ne Regel, aber wo?

Umgeh ich die Firewall, indem ich mich direkt ans DSL-Modem haenge, geht alles. Aber das kann ja nicht Sinn der FW sein.
Mit der hauseigenen SuSEFirewall2 klappts auch, aber ich trau nur dem Mist, den ich selbst verbockt hab.

Vielen Dank fuers lesen und nachdenken, ich weiß leider nicht mehr weiter.

Gruesze, Fritz

Der_Frank_176821 · 8. November 2019 um 23:30

Hallo rundrum!

Hi,

Ich hab mir mit SuSE 9.1 nen Router mit 2 NICs und ner
selbstgestrickten Firewall aufgesetzt.

Mit SuSE 9.1? Etwas fetteres hast Du nicht gefunden?

Aber auf ein paar Seiten komm ich nicht durch.

iptables -nL gibt folgendes aus:

Bitte -v mit angeben. Ausserdem waere es auch schon ganz nuetztlich zu wissen, was Du so in in anderen Tabellen treibst.

> Chain INPUT (policy DROP)  
> target prot opt source destination  
> ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED  
> ACCEPT all -- 127.0.0.1 0.0.0.0/0  
> ACCEPT icmp -- 192.168.123.0/24 0.0.0.0/0 icmp type 8  
> ACCEPT tcp -- 192.168.123.0/24 0.0.0.0/0 tcp dpts:1:65535

dpts:1:65535 kannst Du so eigentlich weglassen (es sei denn, Du schliesst port 0 mit voller Absicht aus).

> ACCEPT udp -- 192.168.123.0/24 0.0.0.0/0 udp dpts:1:65535  
> LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4  
>   
> Chain FORWARD (policy DROP)  
> target prot opt source destination  
> ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED  
> DROP all -- 192.168.123.1 0.0.0.0/0  
> DROP icmp -- 192.168.123.1 0.0.0.0/0 icmp type 8

Diese Regel wird niemals matchen (wahrscheinlich: genaueres erst nach -v).

> ACCEPT icmp -- 192.168.123.0/24 0.0.0.0/0 icmp type 8  
> ACCEPT tcp -- 192.168.123.0/24 0.0.0.0/0 tcp dpts:1:65535  
> ACCEPT udp -- 192.168.123.0/24 0.0.0.0/0 udp dpts:1:65535  
> LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4  
>   
> Chain OUTPUT (policy DROP)  
> target prot opt source destination  
> ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED  
> ACCEPT all -- 127.0.0.1 0.0.0.0/0  
> ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8  
> ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:1:65535  
> ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpts:1:65535  
> ACCEPT tcp -- 0.0.0.0/0 192.168.123.0/24 tcp dpts:1:65535  
> ACCEPT udp -- 0.0.0.0/0 192.168.123.0/24 udp dpts:1:65535  
> LOG all -- 0.0.0.0/0

Info: Der 192.168.123.1 ist mein W2K-Server, den ich im I-Net
mundtot gemacht habe.

DROP ist boese. Sag im wenigstens, dass er ruhig sein soll.

Was kommt da von ebay & Co mit, daß der Router blockt???

Gute Frage. Du solltest die Antwort in Deinem Logfile finden (falls Du das noch lesen kannst). Ich wuerde aber spontan eher was mit MTU oder so vermuten. So falsch sahen die Regeln nicht aus. Ausserdem ist netfilter relativ unsensibel, was Zeit angeht: bei Aussagen ala ‚nach einer Weile…‘ kann man den eigentlich ausschliessen. Genaueres mag ich aber erst mit -v sagen.

HTH,
Gruss vom Frank.

NaSowas · 8. November 2019 um 23:30

Hallo rundrum!

Hi,

Mit SuSE 9.1? Etwas fetteres hast Du nicht gefunden?

Noe. Der soll ja irgenwann PDC werden, damit ich den W2K wegschmeissen kann…

Bitte -v mit angeben. Ausserdem waere es auch schon ganz
nuetztlich zu wissen, was Du so in in anderen Tabellen
treibst.

Wie kann ich die anzeigen?

DROP ist boese. Sag im wenigstens, dass er ruhig sein soll.

Is mein ganz privater Intranet-Server. Der hat drauszen nix zu suchen…

Was kommt da von ebay & Co mit, daß der Router blockt???

Gute Frage. Du solltest die Antwort in Deinem Logfile finden
(falls Du das noch lesen kannst). Ich wuerde aber spontan
eher was mit MTU oder so vermuten. So falsch sahen die Regeln
nicht aus. Ausserdem ist netfilter relativ unsensibel, was
Zeit angeht: bei Aussagen ala ‚nach einer Weile…‘

ca 1 Minute, bis eben der Browser aufgibt.

kann man
den eigentlich ausschliessen. Genaueres mag ich aber erst mit
-v sagen.

Biddeschoeoeoen!

HTH,
Gruss vom Frank.

Hier mit -vnL:

Chain INPUT (policy DROP 1915 packets, 114K bytes)
 pkts bytes target prot opt in out source destination 
 3737 532K ACCEPT all -- \* \* 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 
 1 60 ACCEPT all -- lo \* 127.0.0.1 0.0.0.0/0 
 30 2520 ACCEPT icmp -- \* \* 192.168.123.0/24 0.0.0.0/0 icmp type 8 
 34 1612 ACCEPT tcp -- \* \* 192.168.123.0/24 0.0.0.0/0 tcp dpts:1:65535 
 1733 223K ACCEPT udp -- \* \* 192.168.123.0/24 0.0.0.0/0 udp dpts:1:65535 
 1915 114K LOG all -- \* \* 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target prot opt in out source destination 
98561 66M ACCEPT all -- \* \* 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 
 0 0 DROP all -- eth1 \* 192.168.123.1 0.0.0.0/0 
 0 0 DROP icmp -- \* \* 192.168.123.1 0.0.0.0/0 icmp type 8 
 1 28 ACCEPT icmp -- \* \* 192.168.123.0/24 0.0.0.0/0 icmp type 8 
 1752 84796 ACCEPT tcp -- \* \* 192.168.123.0/24 0.0.0.0/0 tcp dpts:1:65535 
 0 0 ACCEPT udp -- \* \* 192.168.123.0/24 0.0.0.0/0 udp dpts:1:65535 
 0 0 LOG all -- \* \* 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 

Chain OUTPUT (policy DROP 30 packets, 2520 bytes)
 pkts bytes target prot opt in out source destination 
 4433 1108K ACCEPT all -- \* \* 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 
 1 60 ACCEPT all -- \* lo 127.0.0.1 0.0.0.0/0 
 0 0 ACCEPT icmp -- \* \* 0.0.0.0/0 0.0.0.0/0 icmp type 8 
 0 0 ACCEPT tcp -- \* ppp0 0.0.0.0/0 0.0.0.0/0 tcp dpts:1:65535 
 61 4505 ACCEPT udp -- \* ppp0 0.0.0.0/0 0.0.0.0/0 udp dpts:1:65535 
 0 0 ACCEPT tcp -- \* \* 0.0.0.0/0 192.168.123.0/24 tcp dpts:1:65535 
 224 46571 ACCEPT udp -- \* \* 0.0.0.0/0 192.168.123.0/24 udp dpts:1:65535 
 30 2520 LOG all -- \* \* 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4

Vielleicht sagt´s dem Fachmann was.
Gruesze zurueck, und danke fuer die Muehe

NaSowas · 8. November 2019 um 23:30

Und das Log dazu.
Hallo Frank,

vielleicht kannst Du mir das uebersetzen:

tail /var/log/messages

12:05:15.758402 IP pxxxxxxxE.dip0.t-ipconnect.de.caiccipc \> hp-intl-de.ebay.com.http: S 1052944942:1052944942(0) win 65535 
12:05:15.999538 IP hp-intl-de.ebay.com.http \> pxxxxxxxE.dip0.t-ipconnect.de.caiccipc: S 1084440107:1084440107(0) ack 1052944943 win 65535 
12:05:16.000076 IP pxxxxxxxE.dip0.t-ipconnect.de.caiccipc \> hp-intl-de.ebay.com.http: . ack 1 win 65535
12:05:16.000948 IP pxxxxxxxE.dip0.t-ipconnect.de.caiccipc \> hp-intl-de.ebay.com.http: P 1:421(420) ack 1 win 65535
12:05:16.342572 IP hp-intl-de.ebay.com.http \> pxxxxxxxE.dip0.t-ipconnect.de.caiccipc: P 1:673(672) ack 421 win 65115
12:05:16.349993 IP hp-intl-de.ebay.com.http \> pxxxxxxxE.dip0.t-ipconnect.de.caiccipc: . 2133:2921(788) ack 421 win 65115
12:05:16.351109 IP pxxxxxxxE.dip0.t-ipconnect.de.caiccipc \> hp-intl-de.ebay.com.http: . ack 673 win 64863 
12:05:16.599071 IP hp-intl-de.ebay.com.http \> pxxxxxxxE.dip0.t-ipconnect.de.caiccipc: . 4381:5053(672) ack 421 win 65115
12:05:16.600115 IP pxxxxxxxE.dip0.t-ipconnect.de.caiccipc \> hp-intl-de.ebay.com.http: . ack 673 win 64863 
12:05:28.557800 IP 84-122-234-41.onocable.ono.com.hlibmgr \> pxxxxxxxE.dip0.t-ipconnect.de.epmap: S 669435026:669435026(0) win 16384 
12:05:28.563030 IP pxxxxxxxE.dip0.t-ipconnect.de.filenet-tms \> dns03.btx.dtag.de.domain: 63135+% [1au] PTR? 41.234.122.84.in-addr.arpa. (55)
12:05:28.671877 IP dns03.btx.dtag.de.domain \> pxxxxxxxE.dip0.t-ipconnect.de.filenet-tms: 63135 1/0/1 (99)
12:05:31.218756 IP 84-122-234-41.onocable.ono.com.hlibmgr \> pxxxxxxxE.dip0.t-ipconnect.de.epmap: S 669435026:669435026(0) win 16384 
12:06:02.341731 IP pxxxxxxxE.dip0.t-ipconnect.de.caiccipc \> hp-intl-de.ebay.com.http: F 421:421(0) ack 673 win 64863
12:06:02.373111 IP pxxxxxxxE.dip0.t-ipconnect.de.ssslog-mgr \> hp-intl-de.ebay.com.http: S 1064664394:1064664394(0) win 65535 
12:06:02.614923 IP hp-intl-de.ebay.com.http \> pxxxxxxxE.dip0.t-ipconnect.de.ssslog-mgr: S 2483169037:2483169037(0) ack 1064664395 win 65535 
12:06:02.615445 IP pxxxxxxxE.dip0.t-ipconnect.de.ssslog-mgr \> hp-intl-de.ebay.com.http: . ack 1 win 65535
12:06:02.616337 IP pxxxxxxxE.dip0.t-ipconnect.de.ssslog-mgr \> hp-intl-de.ebay.com.http: P 1:421(420) ack 1 win 65535
12:06:02.967449 IP hp-intl-de.ebay.com.http \> pxxxxxxxE.dip0.t-ipconnect.de.ssslog-mgr: P 1:673(672) ack 421 win 65115
12:06:02.974296 IP hp-intl-de.ebay.com.http \> pxxxxxxxE.dip0.t-ipconnect.de.ssslog-mgr: . 2133:2921(788) ack 421 win 65115
12:06:02.975408 IP pxxxxxxxE.dip0.t-ipconnect.de.ssslog-mgr \> hp-intl-de.ebay.com.http: . ack 673 win 64863 
12:06:03.222179 IP hp-intl-de.ebay.com.http \> pxxxxxxxE.dip0.t-ipconnect.de.ssslog-mgr: . 4381:5053(672) ack 421 win 65115
12:06:03.223227 IP pxxxxxxxE.dip0.t-ipconnect.de.ssslog-mgr \> hp-intl-de.ebay.com.http: . ack 673 win 64863 
12:06:04.914455 IP pxxxxxxxE.dip0.t-ipconnect.de.caiccipc \> hp-intl-de.ebay.com.http: F 421:421(0) ack 673 win 64863
12:06:05.156626 IP hp-intl-de.ebay.com.http \> pxxxxxxxE.dip0.t-ipconnect.de.caiccipc: . ack 422 win 65115
12:06:08.636824 IP p5499666D.dip.t-dialin.net.idware-router \> pxxxxxxxE.dip0.t-ipconnect.de.epmap: S 3666204475:3666204475(0) win 32767 
12:06:11.424519 IP p5499666D.dip.t-dialin.net.idware-router \> pxxxxxxxE.dip0.t-ipconnect.de.epmap: S 3666204475:3666204475(0) win 32767 
12:06:21.204142 IP hp-intl-de.ebay.com.http \> pxxxxxxxE.dip0.t-ipconnect.de.caiccipc: R 6513:6513(0) ack 421 win 0

Im groszen und ganzen boehmische Doerfer.

Gruesze, ich

Der_Frank_176821 · 8. November 2019 um 23:30

Hallo Frank,

Hi,

vielleicht kannst Du mir das uebersetzen:

Ja, aber das ist kein netfilter-Logfile, sondern ein tcpdump. Ich weiss nicht, was der in /var/log/messages macht.

Gruss vom Frank.

Der_Frank_176821 · 8. November 2019 um 23:31

Bitte -v mit angeben. Ausserdem waere es auch schon ganz
nuetztlich zu wissen, was Du so in in anderen Tabellen
treibst.

Wie kann ich die anzeigen?

iptables-save

oder

for table in `cat /proc/net/ip_tables_names`; do iptables -t $table -nvL; done

Ausserdem ist netfilter relativ unsensibel, was
Zeit angeht: bei Aussagen ala ‚nach einer Weile…‘

ca 1 Minute, bis eben der Browser aufgibt.

Ich meinte eher, dass es zuerst geht und dann nicht mehr. Oder hab ich das falsch verstanden?

Hier mit -vnL:

> Chain FORWARD (policy DROP 0 packets, 0 bytes)  
> pkts bytes target prot opt in out source destination  
> 98561 66M ACCEPT all -- \* \* 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED  
> 1752 84796 ACCEPT tcp -- \* \* 192.168.123.0/24 0.0.0.0/0 tcp dpts:1:65535  
> 0 0 ACCEPT udp -- \* \* 192.168.123.0/24 0.0.0.0/0 udp dpts:1:65535  
> 0 0 LOG all -- \* \* 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4

Du solltest mit diesen Regeln gluecklich sein. Der Rest liegt ausserhalb von netfilter. Wobei, so restriktiv, wie Du ICMP in Deiner INPUT behandelst… wird wohl auch das Path-MTU-Discovery daneben gehen. Ich weiss nicht genau, ob ICMP3/4 auch vom RELATED erfasst wird. Abgesehen davon funktioniert es sowieso nicht. Habe ich schon erwaehnt, dass ich ein MTU-Problem vermute?

(BTW: Du solltest mehr mit Einschraenkungen auf Interfaces arbeiten.)

HTH,
Gruss vom Frank.

NaSowas · 8. November 2019 um 23:31

Bitte -v mit angeben. Ausserdem waere es auch schon ganz
nuetztlich zu wissen, was Du so in in anderen Tabellen
treibst.

linux-srv:~ # for table in `cat /proc/net/ip_tables_names`; do iptables -t $table -nvL; done
Chain INPUT (policy DROP 84 packets, 9137 bytes)
 pkts bytes target prot opt in out source destination 
 2410 218K ACCEPT all -- \* \* 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 
 1 60 ACCEPT all -- lo \* 127.0.0.1 0.0.0.0/0 
 0 0 ACCEPT icmp -- \* \* 192.168.123.0/24 0.0.0.0/0 icmp type 8 
 6 280 ACCEPT tcp -- \* \* 192.168.123.0/24 0.0.0.0/0 tcp dpts:1:65535 
 184 22392 ACCEPT udp -- \* \* 192.168.123.0/24 0.0.0.0/0 udp dpts:1:65535 
 84 9137 LOG all -- \* \* 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target prot opt in out source destination 
 780 421K ACCEPT all -- \* \* 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 
 0 0 DROP all -- eth1 \* 192.168.123.1 0.0.0.0/0 
 0 0 DROP icmp -- \* \* 192.168.123.1 0.0.0.0/0 icmp type 8 
 0 0 ACCEPT icmp -- \* \* 192.168.123.0/24 0.0.0.0/0 icmp type 8 
 22 1056 ACCEPT tcp -- \* \* 192.168.123.0/24 0.0.0.0/0 tcp dpts:1:65535 
 0 0 ACCEPT udp -- \* \* 192.168.123.0/24 0.0.0.0/0 udp dpts:1:65535 
 0 0 LOG all -- \* \* 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target prot opt in out source destination 
 2620 938K ACCEPT all -- \* \* 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 
 1 60 ACCEPT all -- \* lo 127.0.0.1 0.0.0.0/0 
 15 1260 ACCEPT icmp -- \* \* 0.0.0.0/0 0.0.0.0/0 icmp type 8 
 0 0 ACCEPT tcp -- \* ppp0 0.0.0.0/0 0.0.0.0/0 tcp dpts:1:65535 
 98 6724 ACCEPT udp -- \* ppp0 0.0.0.0/0 0.0.0.0/0 udp dpts:1:65535 
 0 0 ACCEPT tcp -- \* \* 0.0.0.0/0 192.168.123.0/24 tcp dpts:1:65535 
 70 9636 ACCEPT udp -- \* \* 0.0.0.0/0 192.168.123.0/24 udp dpts:1:65535 
 0 0 LOG all -- \* \* 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 
Chain PREROUTING (policy ACCEPT 180 packets, 18434 bytes)
 pkts bytes target prot opt in out source destination 

Chain POSTROUTING (policy ACCEPT 19 packets, 2691 bytes)
 pkts bytes target prot opt in out source destination 
 119 7739 MASQUERADE all -- \* ppp0 0.0.0.0/0 0.0.0.0/0 

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target prot opt in out source destination 
Chain PREROUTING (policy ACCEPT 3491 packets, 672K bytes)
 pkts bytes target prot opt in out source destination 

Chain INPUT (policy ACCEPT 2686 packets, 250K bytes)
 pkts bytes target prot opt in out source destination 

Chain FORWARD (policy ACCEPT 802 packets, 422K bytes)
 pkts bytes target prot opt in out source destination 

Chain OUTPUT (policy ACCEPT 2808 packets, 959K bytes)
 pkts bytes target prot opt in out source destination 

Chain POSTROUTING (policy ACCEPT 3673 packets, 1390K bytes)
 pkts bytes target prot opt in out source destination

:

Ausserdem ist netfilter relativ unsensibel, was
Zeit angeht: bei Aussagen ala ‚nach einer Weile…‘

ca 1 Minute, bis eben der Browser aufgibt.

Ich meinte eher, dass es zuerst geht und dann nicht mehr.
Oder hab ich das falsch verstanden?

ebay läßt sich gar nicht aufrufen.
In der Statuszeile des Browsers „Warten auf www.ebay.de“
Nach 1 - 3 Minuten: MsgBox: „Das dokument enthält keine Daten“

Hier mit -vnL:

Du solltest mit diesen Regeln gluecklich sein. Der Rest liegt
ausserhalb von netfilter. Wobei, so restriktiv, wie Du ICMP
in Deiner INPUT behandelst… wird wohl auch das
Path-MTU-Discovery daneben gehen.

Der einzige, der hier nicht pingen darf, ist mein w2k-server. Der hat absolut mundtot zu sein und nur seine Arbeit zu erledigen. Alle anderen dürfen kreuz und quer…
Ich laß mich nur nicht von außen anpingen.
Wenn mich nicht alles täuscht, bin ich vom I-Net aus betrachtet relativ unsichtbar.

Ich weiss nicht genau, ob
ICMP3/4 auch vom RELATED erfasst wird. Abgesehen davon
funktioniert es sowieso nicht. Habe ich schon erwaehnt, dass
ich ein MTU-Problem vermute?

Hast Du.

 eth0 (nach extern via ppp0) 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
 eth1 (nach intern) 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
 eth1:1 (eine Spielerei mit einem internen Web-server)
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
localhost
UP LOOPBACK RUNNING MTU:16436 Metric:1
 ppp0 
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1

Das kanns imho nicht sein, sonst könnte ich das hier nicht nach w-w-w schicken…

(BTW: Du solltest mehr mit Einschraenkungen auf Interfaces
arbeiten.)

Werd´ ich mal dran rumschrauben

HTH,
Gruss vom Frank.

Gruss zurück vom Fritz.

PS: Das im vorherigen Posting war natürlich nicht aus /var/log/messages. War ein Fehler von mir.

The_CupRacer · 8. November 2019 um 23:34

Hi,

ich würde auch auf die MTU Size tippen.
Stell die doch mal von Default (1500) auf 1492… oder, wenn Du bei Arcor bist, auf 1488.

Ich weiß nicht genau, ob es bei SuSE 9.1 schon so war, aber ich denke, dass sollte in /etc/sysconfig/network/ifcfg-eth-id* möglich sein, Parameter MTU=’{Wert}’.

rcnetwork restart
…und dann mal schauen!

Gruß,
Thomas