INet über Linux-Proxy geht, aber Ping auf externe nicht !?!

#1 Hi Leutz,

ich bin neu hier und habe festgestellt, dass dies ein hervorragendes Board bzgl. Netzwerk etc. ist. Deswegen hoffe ich, dass ihr mir auch weiterhelfen könnt: Ich habe ein Netzwerk mit einem Linux-Server, der 2 NIC's hat, die eine im LAN (192.168.68.x), die andere hängt im Internet via Telecom-Router und DSL-Modem/ATM-Port. Auf dem Server läuft Squid als Proxy. Wenn ich mich nun mit meinem Client ins Internet einwähle und den Gateway 192.168.68.3 eingebe, so klappt das hervorprächtig. Nun habe ich aber Programme, die versuchen ohne die IE-Einstellungen an Rechner im Internet heranzukommen, und dabei klappt nix, selbst wenn ich im Squid alle Ports freischalte. Deswegen habe ich bei den TCP/IP Eigenschaften den Gateway auch als Standard-Gateway eingetragen --> ohne Erfolg. Ich habe einen Rechner im Internet angePingt -> Zeitüberschreiitung. Ich habe IP-Routing enabled -> no effect. Ich habe eine Route geAdded für diesen einen speziellen Host mit dem Gateway 192.168.68.3 -> immernochnix. Wenn ich unseren Webserver allerdings nicht mit der IP der LAN-Karte, sondern mit der der Internet-Karte anpinge, so findet er ihn, genauso das Netz und die Broadcast-IP des Internet-Subnetzes, obwohl diese physisch getrennt sind. Aber schon der Ping auf den Telekom-Router scheitert kläglich. Ein Tracert zwigt, dass schon der erste Schritt, also der ping zum Gateway, nicht hinhaut. Woran kann das nur liegen ?!?!?

Bitte, bitte, bitte helft !

Danke schon mal im Voraus !

Gruß
'Fish

#2 wenn du probs hast mit software, die keine proxy einstellungen nimmt, dann versuch mal mittels iptables einen transparenten proxy einzurichten

funzt mit dem redirect target

für mehr
www.netfilter.org

greez

#3 Hmm, an iptables hatte ich auch schon gedacht, allerdings war ich mir nicht sicher wie. Mal sehen ob mir die seite weiterhilft, ich danke dir auf jeden fall erst mal ganz dolle !

Greetz
'Fish

#4 Hi
bitte schaue dir einmal die Threads die hier http://board.protecus.de/board.php?boardid=17 mit Wichtig gekennzeichnet sind an. Besonders in der Linkliste findest du einiges wie z.B. einen FirewallBuilder(IPTABLES)

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#5 Transparent Proxy mit iptables ist eine Moeglichkeit.
Allerdings gibt es Applications, die koennen nicht mit einen Proxy umgehen. Alternativ koenntest Du einen Socks Server installieren (Dante ist eine Linux Implementierung des Socks 4 und 5 Protokolls) und Deinen Client 'Socksifyen'. Oder die Applications haben sogar die Moeglichkeit einen SocksServer direkt zu definieren (z.B. ICQ, Kazaa etc). Z.B. gibt es einen freien Socks Client bei Hummingbird fuer WIN.

Da gibt es uebrigens gerade einen anderen Thread der fuer Dich auch interessant sein koennte: http://board.protecus.de/t4092.htm
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds

#6 Erstmal ist Squid ein reiner webproxy der http und ftp versteht. Und dante ist halt ein SOCKS Proxy, wenn es hier um ein Lan bei dir Privat zuhaus geht solltest du einfach NAT/MASQ nutzen.
Du kannst keine Maschinen im Netz ohne forwarding anpingen.

Warum du den Router nicht anpingen kannst weiß ich aus dem stehgreif auch nicht. Vielleicht pastest du mal deine NIC konfiguration. Ich denke mal du hast da bei ifconfig was durcheinander geschmissen. Du brauchst übrigens keine zwei NICs.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#7 @Xeper

In dem Moment wo NAT/MASQ eingesetzt wird, sollte allerdings auch ein FW am laufen sein. Das ist nicht notwendig bei einer Proxy- oder Socks Benutzung.

Kurzum: Entweder Poxy und/oder Socks und kein FW oder NAT/MASQ und FW (Mit all den FW Implikationen ...)

Bei mir sind alle drei Moeglichkeiten im EInsatz: Proxy fuer HTTP Caching mit transparent Proxy, Socks fuer 'normale' Anwendungen und NAT/MASQ & FW fuer Games. Letzteres laesst sich i.d.R. nicht ohne NAT/MASQ enablen. Allerdings habe ich schon ein parr Games gesehen, die Proxy und/oder Socks Unterstuetzung anbieten.

Letzendlich ist es eine Frage was alles ins Netz soll.
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds

#8 @Framp

Hrhr bei mir laufen auch alle drei dinge.

Aber warum muss ich wenn ich NAT/MASQ benutze zusätzliche Rules in der Firewall sätzen.
Sagen wir mal das ist nen eigenes Lan das benutzt man nur alleine, dann kann man doch mit gutem Gewissen auch MASQ einsätzen weil die Gefahr ja nur von innen kommt wenn es ein öffentliches Lan ist (zb. Schule, I-cafe) oder sehe ich das falsch? Ja gut der Proxy arbeitet ja in gewisserweise wie eine Firewall besonders ein SOCKS Proxy.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#9 >Aber warum muss ich wenn ich NAT/MASQ benutze zusätzliche Rules in der >Firewall sätzen

jo, des muss man _nicht_

>weil die Gefahr ja nur von innen kommt
a) welche gefahr?
b) bei einem LAN mit internetanbindung (was glaub ich bei interfish der fall ist) kommt die "gefahr" ja auch von außen

greez

#10 >Allerdings gibt es Applications, die koennen nicht mit einen Proxy umgehen
selbst wenn die apps nicht mit proxies können:

"The REDIRECT target is extremely good to use when we want, for example, transparent proxying, where the LAN hosts do not know about the proxy at all. " (www.netfilter.org)

greez

#11 Hm. Ist wohl richtig. MASQ/NAT braucht nicht unbedingt einen FW. Die Verbindungen werden immer nur von innen aufgebaut.
Aber warum liest man immer wieder man sollte moeglichst kein MASQ/NAT benutzen sondern Proxies bzw Socks?
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds

#12 netfilter bietet ja mit iptables die möglichkeit zu natten - logischweise braucht man dazu keine FW

meist bieten aber FW die möglichkeit an, nebenbei noch verbindungen zu natten/maskieren, was sich auch anbietet

ich denke der vorteil von proxies liegt in dem contentfilter und der geschw. gegenüber paketfiltern/stateful inspection firewalls

es gibt zwar POM implementierungen in iptables, so gut wie proxies funzen die aber im bezug auf inhaltsfilter meines wissens nach nicht, kann sich aber auch geändert haben

greez

#13 iptables ist die Firewall. Und mit Gefahr von innen meine ich halt wenn es ein public lan ist und man den Verkehr möglichst gut kontrollieren will das geht dann mit Proxys am besten weil sie in gewisserweise auch nichts anderes als Firewalls sind bzw. sie fungieren so.

Übrigens das mit REDIRECT funktioniert nicht überall! Der Proxy muss dies auch unterstüzen man nehme mal die extra commands für Squid als beispiel.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#14 Ok, Ok, nun ma langsam ...

1.) es geht nicht um ein privates, sondern um ein Firmennetz
2.) der Webserver hängt mit T-InterConnect direkt im Web, also schon nötig von wegen 2 NICs
3.) Es geht mir auch nicht wirklich um den Ping, sondern um das SAP-Logon-Programm auf den W2K-Clients. Prob dabei ist, folgende Constellation:
(SAP-Server Partnerfirma, interne IP 10.0.0.x) <-> (Webserver Partnerfirma, öffentliche IP a.b.c.d) <-> Webserver unsere Firma (öffentliche IP e.f.g.h) <-> Client unsere Firma (interne IP 192.168.68.x).
Jetzt muss man beim SAP eine Server-IP angeben, da nehmen wir doch glatt die 10.0.0.x.
Damit SAP weiß, wie es an die IP rankommt, kann man ihm einen Router mitgeben. Wenn man nun direkt im Netz steht, via Wahlleitung oder so, dann gibt man a.b.c.d an und das ganze klappt. Im internen Netz allerdings klappt es nicht, selbst wenn bei den Clients der e.f.g.h als Gateway eingetragen ist ...

#15 Nene so geht das nicht

Jetzt muss man beim SAP eine Server-IP angeben, da nehmen wir doch glatt die 10.0.0.x.
Damit SAP weiß, wie es an die IP rankommt, kann man ihm einen Router mitgeben.

Nein du gibs dem 10.0.0.x und die route muss in dem Rechner eingetragen sein wenn der gateway als default route eingetragen ist würd er das Netz finden.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode