Squid. Was mach ich falsch?

Computer: Software & Programmierung UNIX & Linux
#1

Guten Morgen rundrum!

Ich hab hier ne ziemlich komplexe Frage zu Squid.
Die FAQ´s hab ich schon durchgewühlt ;o)
„man squid“ hat 2 Zeilen gebracht :o(
Gestern ewig rumgegoogelt, aber zu einem Ergebnis bin ich nicht gekommen. Liegt wahrscheinlich daran, daß ich kein „Linuxer“ bin…

Habe eine kleine W2K-Domäne zuhause:
1 W2K-Server mit AD, DNS, DHCP und allem drum und dran als DC,
4 - 5 W2K-Rechner (das wechselt ständig), sowie einen Knoppix-Rechner zum reinschmecken in Torvald´s Welt.
Hängen alle an nem 100er Switch.
Intern verwende ich eine 192er Adressrange.
Und dann hab ich noch meinen nach Anleitung selbstgestrickten DSL-Router als Standard-Gateway:
SuSE 7.3, Minimalinstallation ohne X, mit Masquerading und IP-Tables, 2 Nameserver sind eingetragen und liefern die Adressauflösung. IP_FORWARD = „yes“
Ist ein P90 mit 32 MB RAM und 800 MB HDD.
Der läuft und läuft und läuft.
Super.

Mein eigentliches Problem ist DNS.
Wenn ich den Clients den internen DNS (192.168.x.x) zuweise, läufts im Netz trotz der enormen Netzlast wunderbar. Will ich ins Internet, gehts natürlich nicht.
Ändere ich die DNS-Server auf den clients in „echte“, externe DNS um, funzt das I-Net so, wie es soll.
Dafür hakt es dann im internen Netz, weils der falsche DNS ist.
Trage ich beide DNS-Server ein, ändert sich nur soviel, daß die Clients mal hier oder mal da können. Aber nicht richtig gleichzeitig intern und extern.
Um dem abzuhelfen, hab ich Squid und squidGuard auf dem Router installiert. Ich will nen Proxy.
Der läuft auch.
IP-Tables ist von intern her für alle Clients auf allen Ports offen. Von außen wird alles, was nicht „established“ ist, geDROPt.
Zumindest bekomme ich, wenn ich auf W2K (mit eingetragenen externen DNS-Servern) surfe, eine Fehlermeldung vom Squid:
„Der Cache konnte die Anforderung nicht auflösen“ oder so ähnlich. Mann, war ich stolz auf mich, als ich das zum erstenmal sah!
Fehlen die externen DNS-Einträge, geht nicht mal die Fehlermeldung. „Seite nicht gefunden“ Es geht auch kein Ping nach draußen.
Ziel der ganzen Geschichte ist:
Ich will meinen Clients den internen DNS-Server zuweisen.
Über die Option „Proxyserver verwenden“ sollen sie den Proxy/Router/Firewall fragen, wie sie zu Google kommen.

Dort hab ich etliche squid.conf-Dateien gefunden. Alle noch zum editieren. Mein Linux-Wissen reicht nicht aus, um da effektiv durchzusteigen. Ich wollte eigentlich Standard-Werte verwenden.
Aber irgendwas mach ich falsch.
Was habe ich übersehen?

Ich hab in den FAQ´s folgendes gelesen:
Eine Frage zu beantworten ist wie einer hungrigen Person ein Essen zu geben; an Beispielen zu zeigen, wie man Informationen findet, heißt zu lehren, wie man ein Leben lang Essen produziert.
Mag sein. trotzdem wäre ich dankbar für aktive Hilfestellung. Wie gesagt, ich bin kein Linuxer. Ich verwende hautsächlich Windows. Das ist bei mir schon beruflich zwingend erforderlich.
Mit Linux beschäftige ich mich aus reiner Neugier. Dazu habe ich „Spiel-Maschinen“.
Hier gehts mir aber nicht um Spielen.
Freundliche Hinweise auf Seiten, wo man das Problem aus Guru-Sicht und in Guru-Sprache beschreibt, werde ich zwar befolgen (vielleicht bringts ja tatsächlich was), aber richtig helfen wird mir das nicht…

Herzlichen Dank für die Geduld, das da zu lesen,
und Grüße, Fritz

#2

Guten Morgen Fritz,

Zumindest bekomme ich, wenn ich auf W2K (mit eingetragenen
externen DNS-Servern) surfe, eine Fehlermeldung vom Squid:
„Der Cache konnte die Anforderung nicht auflösen“ oder so
ähnlich. Mann, war ich stolz auf mich, als ich das zum
erstenmal sah!

Hast Du suid auf einer Windose installiert, oder wie soll man verstehen, dass Du unter W2K den DNS eingetragen hast und dann kam die Fehlermeldung?

Ziel der ganzen Geschichte ist:
Ich will meinen Clients den internen DNS-Server zuweisen.
Über die Option „Proxyserver verwenden“ sollen sie den
Proxy/Router/Firewall fragen, wie sie zu Google kommen.

  1. Stelle sicher, dass der Rechner, auf dem der Squid läuft die Rechnernamen aus dem WWW auflösen kann (durch entprechende Einträge in der /etc/resolv(e).conf (man resolv.conf))
  2. Stelle sicher, dass Du vom squid-Rechner aus im WWW surfen kannst (wenn er keine gui hat, verwende sowas wie lynx oder wget…)
  3. Stelle sicher, dass der squid so konfiguriert ist, wie Du das willst (vor allem Port)
  4. Stelle sicher, dass in den Browsern Deiner clients die richtige IP/Rechnername des squid eingetragen ist

wenn bis hierhin alles funktioniert hat, sollte es so laufen, wie Du das willst…

micha

#3

Hallo Micha,
erstmal danke für die schnelle Antwort.

Zumindest bekomme ich, wenn ich auf W2K (mit eingetragenen
externen DNS-Servern) surfe, eine Fehlermeldung vom Squid:
„Der Cache konnte die Anforderung nicht auflösen“

Hast Du suid auf einer Windose installiert, oder wie soll man
verstehen, dass Du unter W2K den DNS eingetragen hast und dann
kam die Fehlermeldung?

Nein, hab ich nicht. Bei W2K in der TCP/IP-Konfiguration die „echten, großen“ DNS-Server im I-Net eingetragen sowie den Squid-Rechner als Proxy in den IE-Einstellungen angegeben.
Die Fehlermeldung kam im I-Explorer, als ich nach google wollte. ES war ne HTML-Fehlermeldung, definitiv vom Squid erzeugt.

  1. Stelle sicher, dass der Rechner, auf dem der Squid läuft
    die Rechnernamen aus dem WWW auflösen kann (durch entprechende
    Einträge in der /etc/resolv(e).conf (man resolv.conf))

Das muß ich heut abend mal schaun.

  1. Stelle sicher, dass Du vom squid-Rechner aus im WWW surfen
    kannst (wenn er keine gui hat, verwende sowas wie lynx oder
    wget…)

Reicht Namensauflösung beim „Ping“ auch? „Ping www.sun.de“ gibt die IP-Adresse zurück.

  1. Stelle sicher, dass der squid so konfiguriert ist, wie Du
    das willst (vor allem Port)

Port 3128.
DA hakts ja. Die squid.conf ist über 2300 Zeilen lang. Und alles auskommentiert.
Was brauch ich? Was brauch ich nicht?
Wenn ich oben was einkommentiere, was bewirkt das mit einer anderen Option, die weiter unten einkommentiert wurde?
Beißen sich die eventuell gegenseitig?
Mach ich mir damit irgendwelche Sicherheitslöcher auf?

Hatte gestern bei „squid -k reconfigure“ ne Fehlermeldung:
„Attention, unknown neighbour type ‚type‘“ (oder so ähnlich)
Das geschah, nachdem ich in der squidGuard.conf die zwei DNS-Server eingetragen habe.
Ähhh, ja. Aha. Hmm. dummguckundamkopfkratz
Gibts keine „Standard-Squid.conf“? So ähnlich wie „trag oben bei den Variablen deinen Port, Deine DNS-Server, auf die Du zugreifen willst und Deine interne IP-Range ein und fertisch…“

Kann es auch ein Rechte-Problem sein?
Daß meine Windows-User den Squid garnicht fragen dürfen?

  1. Stelle sicher, dass in den Browsern Deiner clients die
    richtige IP/Rechnername des squid eingetragen ist

Das ist sie. IP-Adresse:stuck_out_tongue:ort 3128

wenn bis hierhin alles funktioniert hat, sollte es so laufen,
wie Du das willst…

Dann schaumermal…

Und Danke für die Mühe.
GreeZ, ich

#4

Hallo Fritz,

Nein, hab ich nicht. Bei W2K in der TCP/IP-Konfiguration die
„echten, großen“ DNS-Server im I-Net eingetragen sowie den
Squid-Rechner als Proxy in den IE-Einstellungen angegeben.
Die Fehlermeldung kam im I-Explorer, als ich nach google
wollte. ES war ne HTML-Fehlermeldung, definitiv vom Squid
erzeugt.

Warum machst Du das? wenn Du wirklich mit den clients nur surfen willst, dann reicht es definitiv auf den clients Deinen internen DNS zu verwenden und den Rechner mit SQUID einen www-NameServer befragen zu lassen…

  1. Stelle sicher, dass der Rechner, auf dem der Squid läuft
    die Rechnernamen aus dem WWW auflösen kann (durch entprechende
    Einträge in der /etc/resolv(e).conf (man resolv.conf))

Das muß ich heut abend mal schaun.

  1. Stelle sicher, dass Du vom squid-Rechner aus im WWW surfen
    kannst (wenn er keine gui hat, verwende sowas wie lynx oder
    wget…)

Reicht Namensauflösung beim „Ping“ auch? „Ping www.sun.de
gibt die IP-Adresse zurück.

Jain. U.u. ist es möglich, dass Dein Paketfilter so konfiguriert ist, dass er ICMP Requests durchlässt, Port 80 aber nicht…sicher ist sicher…

  1. Stelle sicher, dass der squid so konfiguriert ist, wie Du
    das willst (vor allem Port)

Port 3128.
DA hakts ja. Die squid.conf ist über 2300 Zeilen lang. Und
alles auskommentiert.
Was brauch ich? Was brauch ich nicht?

Sorry, aber ein wenig solltest Du Dich schon mit der Konfigurationsdatei beschäftigen…liess einfach mal grob drüber und vergiss alles, was Du nicht verstehst (spiel da auch net dran rum, sondern nimm die Defaults…). Alles, was Dir was sagt kannst Du Dir näher ansehen und verstehen, wie es funktioniert. Gerade die squid.conf ist IMHO gut kommentiert…da gibt es auch undurchsichtigere Konfig-Dateien (z.B. Bind)

Wenn ich oben was einkommentiere, was bewirkt das mit einer
anderen Option, die weiter unten einkommentiert wurde?

Lesen…

Beißen sich die eventuell gegenseitig?

Lesen…

Mach ich mir damit irgendwelche Sicherheitslöcher auf?

Lesen…

Hatte gestern bei „squid -k reconfigure“ ne Fehlermeldung:
„Attention, unknown neighbour type ‚type‘“ (oder so ähnlich)
Das geschah, nachdem ich in der squidGuard.conf die zwei
DNS-Server eingetragen habe.

Was willst Du mit squidGuard?

Ähhh, ja. Aha. Hmm. dummguckundamkopfkratz
Gibts keine „Standard-Squid.conf“? So ähnlich wie „trag oben
bei den Variablen deinen Port, Deine DNS-Server, auf die Du
zugreifen willst und Deine interne IP-Range ein und
fertisch…“

Wenn 90% der Netzwerke so aussehen würden, wie Deines und genau das leisten sollen, was Deines leisten soll, gäbe es solch eine Lösung vermutlich…

Kann es auch ein Rechte-Problem sein?

IMHO: nein!

Daß meine Windows-User den Squid garnicht fragen dürfen?

Auch das kannst Du in der Config bestimmen…kannst ja mal nach ACL’s suchen…

  1. Stelle sicher, dass in den Browsern Deiner clients die
    richtige IP/Rechnername des squid eingetragen ist

Das ist sie. IP-Adresse:stuck_out_tongue:ort 3128

wenn bis hierhin alles funktioniert hat, sollte es so laufen,
wie Du das willst…

Dann schaumermal…

Kannst auch mal auf www.pro-linux.de vorbei schaun, dort ist auch eine IMHO gute SQUID-Anleitung…

micha

1 Like
#5

Danke erst mal!

Hallo Fritz,

Nein, hab ich nicht. Bei W2K in der TCP/IP-Konfiguration die
„echten, großen“ DNS-Server im I-Net eingetragen sowie den
Squid-Rechner als Proxy in den IE-Einstellungen angegeben.

Warum machst Du das? wenn Du wirklich mit den clients nur
surfen willst, dann reicht es definitiv auf den clients Deinen
internen DNS zu verwenden und den Rechner mit SQUID einen
www-NameServer befragen zu lassen…

Das hab ich auch so geplant. Aber irgendwas blockiert noch…

Reicht Namensauflösung beim „Ping“ auch? „Ping www.sun.de
gibt die IP-Adresse zurück.

Jain. U.u. ist es möglich, dass Dein Paketfilter so
konfiguriert ist, dass er ICMP Requests durchlässt, Port 80
aber nicht…sicher ist sicher…

Der Router/Firewall läuft ja schon über ein Jahr. Und funktioniert auch. Und läßt alles mit dem „Established-Flag“ rein.

Was brauch ich? Was brauch ich nicht?

Sorry, aber ein wenig solltest Du Dich schon mit der
Konfigurationsdatei beschäftigen…liess einfach mal grob
drüber und vergiss alles, was Du nicht verstehst (spiel da
auch net dran rum, sondern nimm die Defaults…). Alles, was
Dir was sagt kannst Du Dir näher ansehen und verstehen, wie es
funktioniert. Gerade die squid.conf ist IMHO gut
kommentiert…da gibt es auch undurchsichtigere Konfig-Dateien
(z.B. Bind)

apropos BIND: Sollte der installiert sein?
Wenn ich die Paketauskunft von gestern abend noch richtig im Kopf hab, ist BIND nicht installiert. Wurde bei der Abhängigkeitsprüfung aber auch nicht angemault…

Wenn ich oben was einkommentiere, was bewirkt das mit einer
anderen Option, die weiter unten einkommentiert wurde?

Lesen…

Beißen sich die eventuell gegenseitig?

Lesen…

Mach ich mir damit irgendwelche Sicherheitslöcher auf?

Lesen…

Hatte gestern bei „squid -k reconfigure“ ne Fehlermeldung:
„Attention, unknown neighbour type ‚type‘“ (oder so ähnlich)
Das geschah, nachdem ich in der squidGuard.conf die zwei
DNS-Server eingetragen habe.

Was willst Du mit squidGuard?

IMHO wird dadurch der Squid „geregelt“. Oder täusch ich mich da?

Ähhh, ja. Aha. Hmm. dummguckundamkopfkratz
Gibts keine „Standard-Squid.conf“? So ähnlich wie „trag oben
bei den Variablen deinen Port, Deine DNS-Server, auf die Du
zugreifen willst und Deine interne IP-Range ein und
fertisch…“

Wenn 90% der Netzwerke so aussehen würden, wie Deines und
genau das leisten sollen, was Deines leisten soll, gäbe es
solch eine Lösung vermutlich…

Na, dann wird´s Zeit, daß 90 % der netze so aussehen! ;o)

Kann es auch ein Rechte-Problem sein?

IMHO: nein!

Daß meine Windows-User den Squid garnicht fragen dürfen?

Auch das kannst Du in der Config bestimmen…kannst ja mal
nach ACL’s suchen…

Kannst auch mal auf www.pro-linux.de vorbei schaun, dort ist
auch eine IMHO gute SQUID-Anleitung…

Hab ich gmachd. DIE Seite merk ich mir!

Danke, jetzt werd ich erstmal heut Abend rumschrauben am Squid.
Schaumermal…

#6

Für mich sieht es so aus, als sein der Squid in Ordnung.

Wenn ich den Clients den internen DNS (192.168.x.x) zuweise,
läufts im Netz trotz der enormen Netzlast wunderbar.
Will ich ins Internet, gehts natürlich nicht.

„Der Cache konnte die Anforderung nicht auflösen“ oder so
ähnlich. Mann, war ich stolz auf mich, als ich das zum
erstenmal sah!

Es sieht mir aber nicht danach aus, als sei der Nameserver in Ordnung. So wiw ich es verstanden habe, geht die Chose nicht, wenn du deinen internen DNS nutzen willst.

In der named.conf meines alten Bind 8 steht:

 forward first;
 forwarders {
 212.125.36.1;
 };

was bedeuten soll, dass mein Nameserver nicht selbstständig die Rootserver der Welt belästigen soll, sondern Anfragen an den DNS meines Providers weitergibt. Vielleicht liegt dein Fehler an dieser Stelle.

IP-Tables ist von intern her für alle Clients auf allen Ports
offen. Von außen wird alles, was nicht „established“ ist,
geDROPt.

Es ist IMHO besser, nicht zu droppen, sondern zu rejecten. Die entsprechenden ICMP-Meldungen sind dann aussagekräftiger:

Kein Service installiert: connecion refused
Reject: Geh weg. Du hast hier nichts zu suchen
Drop: Schweigen. Stille. Keine Antwort.

Wenn ich einem auf die Ports hauen wollte, dann wäre gar keine Antwort für mich verdächtig. Denn auch der vorgelagerte Router schweigt (denn wenn da gar keine Maschine wäre, würde der Router ein destination unreachable ausgeben. Passiert aber nicht.

Jeder erkennt sofort: Aha, da ist einer, der sich verstecken will. Das ist so ähnlich, als wärest du unsichtbar und vor dir steht ein großes, laut hupendes, mit blinkenden Pfeilen bekränztes Schild mit der Aufschrift: „Hier steht ein Unsichtbarer“, während leicht bekleidete Supermodels um dich herumtanzen und mit dem Finger dorthin zeigen, wo du -durchaus unsichtbar- in diesem roten Kreis stehst :wink:

Klar, ein Reject macht mehr Traffic, weil ja eine ICMP-Antwort gegeben wird. Klar, ein Drop verhindert, dass sofort viele Details des verwendeten Betriebssystems herausgegeben werden. Aber ein Reject ist dafür Internet-konformer, während ein Drop immer an den „Super-Anti-Hacker-Stealth-Mode“ von Personal Firewalls erinnert - du erinnerst dich an das oben beschriebene Schild? Kannst du bei Symantec und bei Zone Labs kaufen :wink:.

Gruß,
Stefan

#7

Für mich sieht es so aus, als sein der Squid in Ordnung.

Wenn ich den Clients den internen DNS (192.168.x.x) zuweise,
läufts im Netz trotz der enormen Netzlast wunderbar.
Will ich ins Internet, gehts natürlich nicht.

„Der Cache konnte die Anforderung nicht auflösen“ oder so
ähnlich. Mann, war ich stolz auf mich, als ich das zum
erstenmal sah!

Es sieht mir aber nicht danach aus, als sei der Nameserver in
Ordnung. So wiw ich es verstanden habe, geht die Chose nicht,
wenn du deinen internen DNS nutzen willst.

Genau:
In den TCP-Einstellungen den IntraNet-DNS und in den IE-Einstellungen den Proxy ausgewählt, geht nix. „Die Suchseite konnte nicht geöffnet werden“ bzw. „Server nicht gefunden“.
Ich will eigntlich nur, daß der Router die externen Anfragen weiterleitet, ohne irgendwas zu cachen.

In der named.conf meines alten Bind 8 steht:

forward first;
forwarders {
212.125.36.1;
};

was bedeuten soll, dass mein Nameserver nicht selbstständig
die Rootserver der Welt belästigen soll, sondern Anfragen an
den DNS meines Providers weitergibt. Vielleicht liegt dein
Fehler an dieser Stelle.

Brauch ich eigentlich den BIND, wenn ich nur forwarden will?

IP-Tables ist von intern her für alle Clients auf allen Ports
offen. Von außen wird alles , was nicht „established“ ist,
geDROPt.

Es ist IMHO besser, nicht zu droppen, sondern zu rejecten. Die
entsprechenden ICMP-Meldungen sind dann aussagekräftiger:

Kein Service installiert: connecion refused
Reject: Geh weg. Du hast hier nichts zu suchen
Drop: Schweigen. Stille. Keine Antwort.

Wenn ich einem auf die Ports hauen wollte, dann wäre gar keine
Antwort für mich verdächtig. Denn auch der vorgelagerte Router
schweigt (denn wenn da gar keine Maschine wäre, würde der
Router ein destination unreachable ausgeben. Passiert
aber nicht.

Ich hab jetzt meine IP-Tables nicht im Kopf. Aber soweit ich weiß, hält er sich ja auf allen Ports und Protokollen still. Auch ICMP.
IMHO:
Wenn eine IP-Adresse nicht vergeben ist, oder der Rechner ausgeschaltet ist, was bekommt dann ein IP-Scanner?
[Zielhost nicht erreichbar].
Wer mit IP-Scanner über meine IP-Adresse streicht, bekommt keine Antwort. Und bekommt ein
[Zielhost nicht erreichbar].
Oder hab ich da nen Denkfehler drauf?

Jeder erkennt sofort: Aha, da ist einer, der sich verstecken
will. Das ist so ähnlich, als wärest du unsichtbar und vor dir
steht ein großes, laut hupendes, mit blinkenden Pfeilen
bekränztes Schild mit der Aufschrift: „Hier steht ein
Unsichtbarer“, während leicht bekleidete Supermodels um dich
herumtanzen

wo denn? wo sind sie denn??? her damit! ;o)

und mit dem Finger dorthin zeigen, wo du -durchaus
unsichtbar- in diesem roten Kreis stehst :wink:

Klar, ein Reject macht mehr Traffic, weil ja eine ICMP-Antwort
gegeben wird. Klar, ein Drop verhindert, dass sofort viele
Details des verwendeten Betriebssystems herausgegeben werden.
Aber ein Reject ist dafür Internet-konformer, während ein Drop
immer an den „Super-Anti-Hacker-Stealth-Mode“ von Personal
Firewalls erinnert - du erinnerst dich an das oben
beschriebene Schild? Kannst du bei Symantec und bei Zone Labs
kaufen :wink:.

Danke, und auch Grüße, Fritz

#8

DROP vs. REJECT (was: Squid. Was mach ich falsch?)
Von squid versteh ich nichts.

Es ist IMHO besser, nicht zu droppen, sondern zu rejecten. Die
entsprechenden ICMP-Meldungen sind dann aussagekräftiger:

Kein Service installiert: connecion refused

ICMP port unreachable, fuer TCP sessions noch ein RST.

Reject: Geh weg. Du hast hier nichts zu suchen

Kann man (bei netfilter) vorgeben, mit was geantwortet werden soll. Default ist (nur) port unreachable.

Drop: Schweigen. Stille. Keine Antwort.

Nun… nicht ganz.

Ich hab jetzt meine IP-Tables nicht im Kopf. Aber soweit ich
weiß, hält er sich ja auf allen Ports und Protokollen still.
Auch ICMP.

Und genau das ist schlecht. ICMP ist nichts (_sehr_ selten etwas) boeses.

Wenn eine IP-Adresse nicht vergeben ist, oder der Rechner
ausgeschaltet ist, was bekommt dann ein IP-Scanner?
[Zielhost nicht erreichbar].

ICMP host unreachable.

Wer mit IP-Scanner über meine IP-Adresse streicht, bekommt
keine Antwort. Und bekommt ein
[Zielhost nicht erreichbar].

Nein.

Oder hab ich da nen Denkfehler drauf?

Ja. Dein gateway beim provider weiss leider schon, dass Du alive bist, da es schon mal mit Deinem Rechner geredet hat. Daher ballert es Dich weiter mit requests voll. Dass Du auf manche nicht antwortest, kuemmert es nicht.

[…] während leicht bekleidete Supermodels

wo denn? wo sind sie denn??? her damit! ;o)

Das steht in der Doku von iptables. Wirklich.

HTH,
Gruss vom Frank.

#9

In den TCP-Einstellungen den IntraNet-DNS und in den
IE-Einstellungen den Proxy ausgewählt, geht nix. „Die
Suchseite konnte nicht geöffnet werden“ bzw. „Server nicht
gefunden“.

Nimm doch einfach mal einen anderen Browser. Die Fehlermeldungen des IE können einen auch in den Wahnsinn treiben.

Ich will eigntlich nur, daß der Router die externen Anfragen
weiterleitet, ohne irgendwas zu cachen.

Wozu brauchst du dann einen Squid? Prinzipiell reicht ja dann ein Eintrag, der auf den internen DNS verweist und ein Eintrag auf das Gateway / Router zum Internet. Diesen letzten Eintrag muss der DNS natürlich auch haben.

Sollen Squid und DNS auf der gleichen Maschine laufen? Ich möchte mir das besser vorstellen können.

Stefan

#10

In den TCP-Einstellungen den IntraNet-DNS und in den
IE-Einstellungen den Proxy ausgewählt, geht nix. „Die
Suchseite konnte nicht geöffnet werden“ bzw. „Server nicht
gefunden“.

Nimm doch einfach mal einen anderen Browser. Die
Fehlermeldungen des IE können einen auch in den Wahnsinn
treiben.

Ich werd´s mal mit Opera versuchen…

Ich will eigntlich nur, daß der Router die externen Anfragen
weiterleitet, ohne irgendwas zu cachen.

Wozu brauchst du dann einen Squid? Prinzipiell reicht ja dann
ein Eintrag, der auf den internen DNS verweist und ein Eintrag
auf das Gateway / Router zum Internet. Diesen letzten Eintrag
muss der DNS natürlich auch haben.

Da hakt es eben. Als DNS den Intranet-DNS, dann gehen alle Anfragen an den, und der weiß, weil er ja nur meine Zone kennt, nicht weiter.
Und der Gateway will auch irgendwie nicht fragen. Hat zwar IP_Forwarding aktiviert und zwei Nameserver aus dem WWW eingetragen, aber irgendwie läuft was schief. Ich werd aber draufkommen!

Sollen Squid und DNS auf der gleichen Maschine laufen? Ich
möchte mir das besser vorstellen können.

Nein, tun sie nicht.
Außerdem, weiß ich nicht, ob Squid die beste Lösung ist. Ich werd´s mal mit BIND und einem Cache-only DNS auf dem Gateway-Rechner versuchen. Vielleicht klappts ja dann mit den Nachbarn ;o)

Stefan

Gruß, ich