sslug-teknik team mailing list archive

Thread
Date

Portforwarding: periodiske problemer

To: sslug-teknik@xxxxxxxx
From: "Henning Schou" <HS@xxxxxxxxxx>
Date: Wed, 19 Jan 2000 11:35:59 +0100
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm

Hej
Undskyld at dette fylder en del, men problemet er vist ret komplekst og kan
ikke fremprovokeres systematisk.
Vi har et problem, som vi mener KAN (må?) have relation til vores
Linuxfirewall. Har du erfaringer med port-forwarding, vil jeg være MEGET
taknemmelig for et svar på dette indlæg!

Vores opsætning:
Vi er et gymnasium tilsluttet Internettet via en router med tre interfaces:
Internetforbindelsen samt et "A-ben" og et "U-ben". På U-benet har vi lige
før jul sat en Linuxbox som firewall. Den kører kerne 2.2.12-20 (Red Hat 6.1).
På "indersiden" af firewall'en benytter vi private ip-numre. Vi bruger
derfor ip-masquerading for at give adgang indefra og ud.
Ligeledes på indersiden har vi tre servere: SMTP/POP3 (WinNT), HTTP (WinNT)
og NNTP (Linux). (Newsserveren replikerer ikke de officielle nyhedsgrupper,
men bruges til gruppekommunikation i forbindelse med et samarbejde med et
andet gymnasium). Der er adgang til serverne gennem firewall'en ved hjælp
af port-forwarding. 
Vi logger alle REJECT-regler i firewall'en.

Det virker (næsten?):
Vi har en hel skolefuld af ivrigt surfende elever, og har ikke modtaget
klager. Vi konkluderer, at masquerading fungerer fuldstændig problemløst.
Vi udveksler mail som før, og konkluderer derfor forsigtigt, at SMTP ser ud
til at fungere igennem firewall'en.

Det virker alligevel ikke (???):
MAIL:
En kollega kommer nu efter et godt stykke tid (ØV!) og fortæller, at hun
præcis samtidig med opsætningen af firewall'en begyndte at få problemer med
at hente post fra vores server via internettet. Det fungerede sommetider,
sommetider ikke. Det kan bekræftes med visse kombinationer af
Internetudbyder og mails (måske størrelsen har en betydning?) - et
eksempel: Netscape Communicator logger på serveren og melder "Henter brev 1
ud af 5", hvorefter der intet sker. Jeg prøvede dernæst med samme maskine
og samme mail-klient, men direkte på routerens A-ben. Denne gang drønede
alle 5 mails igennem som forventet.
-Men routerens A-ben sidder jo også på firewall'en yderside ???!!!???
Og der var INTET i firewall-loggen, som havde relation til disse opkoblinger. 
NEWS:
Det ser "som regel" ud til at virke, når vi selv prøver, men en kollega på
et nabogymnasium har meget bøvl med at tilgå vores private
(ikke-replikerende) newsserver. Han bruger en eller anden variant af
Outlook, men det er for billigt at lade det være HELE forklaringen.
WEB:
Vi kan ind imellem via Get2Net og StofaNet opleve, at der intet sker efter
DNS-opslaget. Serveren (eller snarere firewall'en) kan pinges uden
problemer. Samme server spytter (samtidigt) villigt siderne fra sig på
lokalnettet, og den er i øvrigt overhovedet ikke i nærheden af at køre med
fuld kapacitet. 

Hjælp!

kærlig hilsen,
Henning Schou
Tørring Amtsgymnasium

Follow ups

Re: Portforwarding: periodiske problemer
From: Jon Bendtsen, 2000-01-19