IPTables und Masquerade

GreenBeret · 30. Oktober 2019 um 22:56

Nach 6maligem Kernel kompilieren (nein das brauch ich doch, oder nein das sollte ja als Modul…), unzähligen HOW-TOs über ISDN, PPP, Lokales Netz,… läuft nun die gesamte Hardware wie gewünscht (Dial on demand, internes Netz läuft, benötigte Module werden geladen…)
/unwichtig>

Jetzt gehts an IPTables. Das erste was ich machen wollte war normales Masquerading… also (brav wies im how-to steht):

echo 1 \> /proc/sys/net/ipv4/ip\_forward
iptables -t nat -A POSTROUTING -o ippp0 -j MASQUERADE

die Regel macht überhaupt nix also hab ich noch das interne Netz hinzugefügt und sie ersetzt durch:

iptables -t nat -A POSTROUTING -i 192.168.1.0/24 -o ippp0 -j MASQUERADE

und nun zu den fragen

1., Wie kann ich mir die NAT-Tabellen anzeigen lassen? (iptables -L zeigt nur die Packetfiltertabellen an, iptables -L nat oder POSTROUTING gibt Fehlermeldung)

2., Das Masquerading verhält sich merkwürdig:
Ping auf einen Rechner im Internet funktioniert. DNS-Anfrage und TCP-handshake auch (HTTP und POP3 getestet). Danach ist jedoch Schluss. Als Hilfe hab ich die Packete auf der Win-Box ( dem maskierten Rechner) mitgeloggt (weil ich keine Ahnung habe was auf dem Linux-Router relevant sein könnte):

eventuell Fenster breiter machen

 No. Time Source Destination Protocol Info
 1 0.000000 hopfer WS01IS01.highway.telekom.at DNS Standard query A www.linuxdoc.org
 2 0.077450 WS01IS01.highway.telekom.at hopfer DNS Standard query response CNAME linuxdoc.org A 152.19.254.81
 3 0.078977 hopfer linuxdoc.org TCP 1086 \> 80 [SYN] Seq=6150092 Ack=0 Win=8192 Len=0
 4 0.252234 linuxdoc.org hopfer TCP 80 \> 1086 [SYN, ACK] Seq=2506784143 Ack=6150093 Win=32120 Len=0
 5 0.252436 hopfer linuxdoc.org TCP 1086 \> 80 [ACK] Seq=6150093 Ack=2506784144 Win=8760 Len=0
 6 0.253348 hopfer linuxdoc.org HTTP GET / HTTP/1.1
 7 3.231045 hopfer linuxdoc.org HTTP GET / HTTP/1.1
 8 9.240819 hopfer linuxdoc.org HTTP GET / HTTP/1.1
 9 21.245356 hopfer linuxdoc.org HTTP GET / HTTP/1.1
 10 45.264460 hopfer linuxdoc.org HTTP GET / HTTP/1.1

Also Wie gesagt: DNS funktioniert, Handshake auch und die darauffolgenen Packete laufen ins Leere. (in dem Fall die HTTP-Requests)

Wer Weiss Was ?

Greenberet

Sebastian · 30. Oktober 2019 um 22:56

Jetzt gehts an IPTables.

Das habe ich hier nicht laufen. Ich werde nocheinmal drüber nachdenken, aber vielleicht solltest Du ethereal auf der Linux-Box laufen lassen und das entsprechende Netzinterface 'mal beäugen. Vielleicht gibts hier genauere Infos.

Spontan - ohne hier auf der Arbeit man pages im Rechner zu haben: „man iptables“ und logging hochsetzen, was das Zeug hält.

Aber ratlos bin ich im Augenblick nicht zulezt auch in Unkenntnis von iptables.

Se „ich hasse doch wer-meint-was.de“ bastian.

*ngrrrl*

GreenBeret · 30. Oktober 2019 um 22:57

Jetzt gehts an IPTables.

Das habe ich hier nicht laufen. Ich werde nocheinmal drüber
nachdenken, aber vielleicht solltest Du ethereal auf der
Linux-Box laufen lassen und das entsprechende Netzinterface
'mal beäugen. Vielleicht gibts hier genauere Infos.

ethereal gibts auch für die konsole?
Naja ich habs dann mit tcpdump gemacht. Bin heute draufgekommen das dasselbe Problem auch von der Linux-Box auftritt… also nix mit IPTables-Problem.

Mein erster Gedanke war irgendein Proxy oder Sicherheitsprogramm das die Packete blockt/abfängt also hab ich mal alles abgedreht was danach ausgesehen hat… hat nichts gebracht.

Dann hab ich tcpdump laufen lassen und auf einer anderen Konsole

lynx www.wer-weiss-was.de

Auch hier fragt er DNS ab, macht den Handshake aber dann steht er bei „HTTP-Request“.

tcpdump zeigt so ziemlich das gleiche wie Ethereal (DNS-abfrage, handshake)

Außerdem hab ich noch viele

ip\_hl 
dazwischen (manche auch ip\_hl 
 truncated-ip 121 bytes missing!0.66.85.27 \> 64.0.64.17: (frag 49885:169@20656+) [tos 0x9]

(in dem Fall waren die IPadressen aber 62.46.174.208 und die Ip von www.wer-weiss-was.de (194.221.234.22))

Das ganze hab ich mehrmals versucht (immer die gleichen Meldungen, einmal hat er sogar gefragt ob ich den Cookie annehmen will, danach stand er wieder…)

Spontan - ohne hier auf der Arbeit man pages im Rechner zu
haben: „man iptables“ und logging hochsetzen, was das Zeug
hält.

man iptables war das erste was ich schon gestern gemacht hab )
Wo setze ich am besten welches Logging wie hoch?

Se „ich hasse doch wer-meint-was.de“ bastian.

*ngrrrl*

Thx erstmal

Greenberet

Sebastian · 30. Oktober 2019 um 22:57

ethereal gibts auch für die konsole?

Nö. Gewonnen.

Naja ich habs dann mit tcpdump gemacht. Bin heute
draufgekommen das dasselbe Problem auch von der Linux-Box
auftritt… also nix mit IPTables-Problem.

Hmpf.

Mein erster Gedanke war irgendein Proxy oder
Sicherheitsprogramm das die Packete blockt/abfängt also hab
ich mal alles abgedreht was danach ausgesehen hat… hat nichts
gebracht.

Gut.

Dann hab ich tcpdump laufen lassen und auf einer anderen
Konsole

lynx www.wer-weiss-was.de

Auch hier fragt er DNS ab, macht den Handshake aber dann steht
er bei „HTTP-Request“.

Was passiert bei anderen Protokollen? Was passiert bei HTTP per Telnet?

tcpdump zeigt so ziemlich das gleiche wie Ethereal
(DNS-abfrage, handshake)

truncated-ip 121 bytes missing!0.66.85.27 >
64.0.64.17: (frag 49885:169@20656+) [tos 0x9]

Das könnte ein Bug von tcpdump sein. Version 3.4?

Thx erstmal

Ist noch nicht die entscheidende Idee dabei…

Du nutzt ISDN, oder?

Sebastian

GreenBeret · 30. Oktober 2019 um 22:58

Was passiert bei anderen Protokollen? Was passiert bei HTTP
per Telnet?

HTTP per telnet hab ich nicht versucht… aber POP3. Auch hier dasselbe Spielchen. DNS funktioniert, Handshake auch aber alles danach wird ignoriert (ich bekomme z.B. keine Begrüßungszeile)

tcpdump zeigt so ziemlich das gleiche wie Ethereal
(DNS-abfrage, handshake)

truncated-ip 121 bytes missing!0.66.85.27 >
64.0.64.17: (frag 49885:169@20656+) [tos 0x9]

Das könnte ein Bug von tcpdump sein. Version 3.4?

3.4a6

Thx erstmal

Ist noch nicht die entscheidende Idee dabei…

Du nutzt ISDN, oder?

Ja, hab ich das vergessen? *in die Ecke stell*
ISDN Fritz!PCI, unterstützung im Kernel aktiviert

Lade Hisax beim booten mit

hisax type=27 protocol=2

(type 27 is die Fritz!Pci und protocol 2 ist EURO)

Das Modul wird korrekt geladen und die Fritzkarte erkannt.

Bei der Installation hab ich mich an folgende Anleitung gehalten:
http://www.pl-berichte.de/t_netzwerk/debian-isdn.html
.
ppp-version: 2.4.0 und Kernel 2.4.6

Greenberet *der sicher urnervt*

micha_25b479 · 30. Oktober 2019 um 22:58

hi,

vielleicht bringt dich das hier ein wenig weiter
http://groups.google.com/groups?hl=de&safe=off&th=ff…

cu micha

GreenBeret · 30. Oktober 2019 um 22:58

Leider nicht… Bei mir läuft die gesamte DNS-auflösung und die packete danach (handshake) funktionieren auch. Außerdem hab ich keinen Proxyserver und das Problem tritt auch von der Linux-kiste auf.

Trotzdem Danke

Greenberet

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Sebastian · 30. Oktober 2019 um 22:59

Angemalte Segel und weitere Streiche…

HTTP per telnet hab ich nicht versucht… aber POP3. Auch hier
dasselbe Spielchen. DNS funktioniert, Handshake auch aber
alles danach wird ignoriert (ich bekomme z.B. keine
Begrüßungszeile)

Würg-merdig!

tcpdump zeigt so ziemlich das gleiche wie Ethereal
(DNS-abfrage, handshake)

truncated-ip 121 bytes missing!0.66.85.27 >
64.0.64.17: (frag 49885:169@20656+) [tos 0x9]

Das könnte ein Bug von tcpdump sein. Version 3.4?

3.4a6

Hmm-hmm.

Du nutzt ISDN, oder?

Ja, hab ich das vergessen?

Du hattst es angedeutet. Mit ISDN habe ich allerdings keine Erfahrung/Ahnung.

ppp-version: 2.4.0 und Kernel 2.4.6

Also nichts grob soweit ich sehe.

Greenberet *der sicher urnervt*

Nein. Deine Fehlerbeschreibungen sind so, daß man gerne hülfe. Frustrierend nur, daß mir nichts Gescheites mehr einfällt.

Vielleicht wäre doch allmählich der Zeitpunkt gekommen, eine Anfrage auf die Kernel-Mailinglsite zu setzen?

Oder 'mal zunächst in eine Newsgroup (de.comp.os.unix.linux.moderated sei hier empfohlen, sofern Du Dich mit den Gepflogenheiten im deutschsprachigen Usenet etwas auskennst).

Sebastian

GreenBeret · 30. Oktober 2019 um 22:59

Oder 'mal zunächst in eine Newsgroup
(de.comp.os.unix.linux.moderated sei hier empfohlen, sofern Du
Dich mit den Gepflogenheiten im deutschsprachigen Usenet etwas
auskennst).

hmm Also im Prinzip wie hier?. Netiquette beachten, nicht zu lange zitieren, keine sinnlosen Kommentare, FAQ lesen. Sonst noch was?

Killen die einen da wenn man mit Outlook Express postet?
(Bin eigentlich überhaupt nicht im Usenet und will mir keine Extra-Software runterladen)

Greenberet *der seit neuestem seine Shift-Taste gefunden hat*

Sebastian · 30. Oktober 2019 um 22:59

Oder 'mal zunächst in eine Newsgroup
(de.comp.os.unix.linux.moderated sei hier empfohlen, sofern Du
Dich mit den Gepflogenheiten im deutschsprachigen Usenet etwas
auskennst).

hmm Also im Prinzip wie hier?.

Etwa so, aber teilweise strenger. Du solltest Deinen richtigen Namen eintragen.

Netiquette beachten, nicht zu
lange zitieren, keine sinnlosen Kommentare, FAQ lesen. Sonst
noch was?

Newsreader richtig einstellen http://oe-faq.de.vu/

Killen die einen da wenn man mit Outlook Express postet?

Wenn man „falsch“ postet (Falsch formatiert, dumme Frage, FAQ nicht gelesen, keine RealName) ist man mausetot.

OE-Postings werden von den meisten abergelesen, in dcol.moderated alle mal.

nicht wundern, wenn es nicht sofort erscheint, die Grußße ist halt moderiert…

(Bin eigentlich überhaupt nicht im Usenet und will mir keine
Extra-Software runterladen)

Lohnt sich. Echt. Zumindest, wenn man es häufiger nutzt.

Greenberet *der seit neuestem seine Shift-Taste gefunden hat*

Das ist eine guute Voraussetzung.

Gruß,

Sebastian

Sebastian · 30. Oktober 2019 um 23:03

Oder 'mal zunächst in eine Newsgroup
(de.comp.os.unix.linux.moderated sei hier empfohlen

und führt nicht recht zu Ergebissen.

Auch wenn ich das Problem nicht einordnen kann: vielleicht mal in de.alt.comm.isdn4linux posten? (Dort lese ich aber nicht…)

Ansonsten vielleicht wirklch Kernel-Mailing-Liste?

Sebastian

GreenBeret · 30. Oktober 2019 um 23:03

und führt nicht recht zu Ergebissen.

Auch wenn ich das Problem nicht einordnen kann: vielleicht mal
in de.alt.comm.isdn4linux posten? (Dort lese ich aber
nicht…)

Ansonsten vielleicht wirklch Kernel-Mailing-Liste?

oder aufgeben?

mfg

Greenberet *der noch warten wird und dann aufgibt*

Sebastian · 30. Oktober 2019 um 23:05

Ansonsten vielleicht wirklch Kernel-Mailing-Liste?

oder aufgeben?

Für Weicheier.

Vielleicht hast Du ja tatsächlich einen Bug entdeckt und kannst mit Deiner guten Fehlerbeschreibung zur Weitrentwicklung von freier Software beitragen.

Gruß,

Sebastian

GreenBeret · 30. Oktober 2019 um 23:05

Ansonsten vielleicht wirklch Kernel-Mailing-Liste?

oder aufgeben?

Für Weicheier.

vielleicht bin ich eins? *gg*

Vielleicht hast Du ja tatsächlich einen Bug entdeckt und
kannst mit Deiner guten Fehlerbeschreibung zur
Weitrentwicklung von freier Software beitragen.

Wie schreib ich denen am besten?

Greenberet *der die Kernel mailing list nur vom hörensagen kennt*

Sebastian · 30. Oktober 2019 um 23:06

Tote Hosen und kernige Listen

Für Weicheier.

vielleicht bin ich eins? *gg*

Freundin fragen?

[Kernel-Mailing Liste]

Wie schreib ich denen am besten?

Strukturiert (für Dich wohl kein Problem) und aug englisch.

und nun?

*Aaaargh*: Leeesestoff.

http://www.tux.org/lkml/

Sebastian