client erreicht bestimmte seiten nicht/ vom router aus unproblematisch

Post Reply
Message
Author
linkfinger

client erreicht bestimmte seiten nicht/ vom router aus unproblematisch

#1 Post by linkfinger »

Hi,

Router: SuSE 9.0, LAN läuft, T-DSL-Flat, Web läuft grundsätzlich
clients: Win-XP/2000

Ich erreiche verschiedene Websites vom client nicht. Es scheitert bereits bei der Namensauflösung. Vom Router aus kann ich problemlos auf die Seiten zugreifen.

mtu usw. habe ich schon runtergesetzt. aber es lief auch schon vorher ohne probleme vom router aus.

Wo kann ich nachsehen, was das problem ist?

linkfinger

arthur

Re: client erreicht bestimmte seiten nicht/ vom router aus unproblematisch

#2 Post by arthur »

hats du am win2k unter netzwerk=>lan=>eigenschaften oder so (sitze gerade an einer linux box) den dns server und default gateway eingetragen?

was meinst du mit "verschiedene seiten nicht"?
welche seiten machen probs und welche nicht?
welche firewall-regeln laufen auf dem router?
wie routest du über forward oder läuft ein http-proxy?

versuche mal mit tail -f /var/log/messages nachzuschauen was genau passiert wenn der client die seite aufruft.

gruß
arthur

linkfinger

Re: client erreicht bestimmte seiten nicht/ vom router aus unproblematisch

#3 Post by linkfinger »

Hi,

1. Ich habe bisher keinen zugriff mehr auf openoffice.org
2. ich forwarde
3. Die letzten einträge in /var/log/messages sind

Jan 26 14:06:30 linux kernel: SuSE-FW-ILLEGAL-TARGET IN=eth1 OUT= MAC= SRC=192.168.1.2 DST=192.168.1.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=4395 DF PROTO=UDP SPT=137 DPT=137 LEN=58
Jan 26 14:06:32 linux kernel: SuSE-FW-ILLEGAL-TARGET IN=eth1 OUT= MAC= SRC=192.168.1.2 DST=192.168.1.255 LEN=211 TOS=0x00 PREC=0x00 TTL=64 ID=4396 DF PROTO=UDP SPT=138 DPT=138 LEN=191
Jan 26 14:07:22 linux kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=152.92.9.34 DST=217.226.54.251 LEN=48 TOS=0x08 PREC=0x00 TTL=111 ID=26228 DF PROTO=TCP SPT=3153 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402)

Also, ich habe ja leider keine Ahnung und wenn ich mir das so ansehe, dann verstehe ich auch nicht viel davon, außer dass meine Netzwerkkarte, die auf mein DSL Modem zeigt ein Probl. mit der FW hat. Aber ich werde erst mal die FW ansehen. Falls Dir das hier was sagt, dann poste mir bitte. Bin dankbar für jeden Hinweis. Vermutlich habe ich irgendwas an der FW rumgeschraubt.

linkfinger

Michael

Re: client erreicht bestimmte seiten nicht/ vom router aus unproblematisch

#4 Post by Michael »

Da steht nicht ungewöhnliches. Die ersten beiden Einträge sind Broadcast-
Pakete von Deinem Windows-Client und der Dritte ist der Versuch des Rechners
"atenas.srh.uerj.br" sich gegen Deinen Port 80 (normalerweise Webserver) zu
verbinden.

Funktioniert denn die DNS-Auflösung, wenn Du vom Windows-Rechner aus Oo.org
anpingst?

Cheers

Michael

Hi Michael

Re: client erreicht bestimmte seiten nicht/ vom router aus unproblematisch

#5 Post by Hi Michael »

Wenn ich mit dem Client loslege erscheint bei Thunderbird unten links

DNS Namensauflösung .....

Dabei bleibt es auch. Sodann kommt die Meldung unbekannter Host. Ich gehe daher davon aus, dass die Namensauflösung nicht klappt.

linkfinger

arthur

Re: client erreicht bestimmte seiten nicht/ vom router aus unproblematisch

#6 Post by arthur »

mein lösungsvorschlag
1. unter win2k sart=>einstellungen=>netzwerk/dfü=>lan-verbindung=>eigenschaften
tcp/ip=>eigenschaften=>dns eintragen (z.b. 212.185.249.50 oder 194.25.2.129)
2. auf den router die firewall runterfahren und die forward- input und output-"chain" freischalten:
a) rcSuSEFirewall stop
b) iptables -F
iptables -t nat -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
3. nachschauen was passiert wenn du die seiten aufrufst
4. firewall hochfahren mit rcSuSEFirewall start
5. nachschauen was passiert wenn ...
6. wenn es an der firewall liegt dann die einstellungen überprüfen (googel mal nach susefirewall2)

gruß
arthur

ps
wenn du interesse an einen eigenen firewall skript hast dann mail mir einfach (arthur.schubert at web.de) und ich sende dir mein script mal zu. aus meiner erfahrung (hab anfang 2003 mit linux, router & co angefangen) kann ich dir nur empfehlen sich mit der thema routing, firewall und so zu bescheftigen. erspart eine menge frust.

pps
ein http-proxy (z.b. squid) ist eine schöne sache - nur so als vorschlag für weiter wintermonate :)

linkfinger

Re: client erreicht bestimmte seiten nicht/ vom router aus unproblematisch

#7 Post by linkfinger »

Ok,

habe das Posting gerade gelesen und werde mal einen Test starten, ob es funktioniert. Ergebnis kommst sodann.

linkfinger

linkfinger

Re: client erreicht bestimmte seiten nicht/ vom router aus unproblematisch

#8 Post by linkfinger »

Hi,

habe auf dem Client (XP) deine DNS Eintragungen vorgenommen. Jetzt läuft das Baby wieder einwandfrei. Hierzu eine kurze Frage. Du kannst zwei DNS Serveradressen eingeben. Ich hatte dazu zunächst die IP meines Routers und dann alternativ die von T-Online vorgeschlagene Adresse eingetragen. Das führte zu diesem Posting, weil ich bekanntlich www.openoffice.org nicht erreichen konnte. Jetzt habe ich nur die von T-Online vorgeschlagenen DNS Serveradressen eingetragen und kann die Seite wieder aufmachen. Woran liegt das? Hat der erste Server die Adresse nicht und der zweit hat sie und kann die Auflösung bewirken oder wie?

Dein Vorschlag sich mit iptables auseinanderzusetzen habe ich seufzend zur Kenntnis genommen. Ich schiebe es schon seit einiger Zeit vor mir her. Aber es muss wohl sein.

linkfinger

arthur

Re: client erreicht bestimmte seiten nicht/ vom router aus unproblematisch

#9 Post by arthur »

dein router macht nichts anderes als die pakete (tcp/ip, upd, usw.) "ans internet zu leiten". genau betrachtet tauscht er die client ip (z.b. 192.168.0.1), die zum privaten ip-bereich gehört und von internetservern fallen gelassen wird gegen die dir von t-online dynamisch zugeteilte ip aus. bei der serverantwort passiert das ganze analog nochmal - also dyn. ip => client ip. die url, die der client anfrag muss zuerst in eine ip aufgelöst werden und das machst du mit einer dns-anfrage. wenn der client nun die dns-anfrage an deinen router sendet, der kein dns-dienst anbietet kann er die url nicht auflösen und damit auch die seite nicht aufrufen. was mich aber wundert ist das er dabei nicht auf den zweiten dns zugreift (du hast ja ein alternativ dns eingetragen). <troll> windows halt <troll>
wenn du dich mit netzwerk, iptables, dns, usw. beschäftigen willst kann ich dir nur "das firewall buch" von w. barth aus der suse press empfehlen. ist zwar nicht billig (uvp 45,50 €) aber sehr informativ.


Post Reply