sslug-teknik team mailing list archive

[Jon Bendtsen <bendtsen@xxxxxxx>]

jeg er ikke sikker paa at problemet er firewallen, men du kan jo saette
tcpdump til at koere, og saa se hvad fan der sker.

jeghar oplevet at ms programmer ikke kan hente vedhaeftelser hvis disse er
af en hvis stoerrelse. Jeg har ogsaa oplevet det med latterlige smaa
vedhaeftelser, det er dog sjaeldent.

Jeg kunne forestille mig at det der sker er at servere enden og modtager
enden tror at de er forskellige steder i overfoerslen. dette kunne vaere
opstaaet fordi nogle pakker er gaaet tabt ??

Hvis det nogle gange virker, og andre gange ikke virker, saa vil jeg
foreslaa at du koerer tcpdump og logger alt trafik paa port forwarderne.
Du kan jo evt koere det paa alle maskiner, altsaa

en mail serveren, og saa en paa indersiden af firewall og en 3. paa
ydersiden af firewallen...
De skulle meget gerne sende samme maengde data igennem.
Tilsvarende for de andre protokoller.
Naturligvis vil ip adressen skifte, men det er ogsaa lige meget, for du
taeller antallet af pakker, og saa sammen ligner du data feltet, ikke
headerne.


ion++


On Wed, 19 Jan 2000, Henning Schou wrote:

> Hej
> Undskyld at dette fylder en del, men problemet er vist ret komplekst og kan
> ikke fremprovokeres systematisk.
> Vi har et problem, som vi mener KAN (må?) have relation til vores
> Linuxfirewall. Har du erfaringer med port-forwarding, vil jeg være MEGET
> taknemmelig for et svar på dette indlæg!
> 
> Vores opsætning:
> Vi er et gymnasium tilsluttet Internettet via en router med tre interfaces:
> Internetforbindelsen samt et "A-ben" og et "U-ben". På U-benet har vi lige
> før jul sat en Linuxbox som firewall. Den kører kerne 2.2.12-20 (Red Hat 6.1).
> På "indersiden" af firewall'en benytter vi private ip-numre. Vi bruger
> derfor ip-masquerading for at give adgang indefra og ud.
> Ligeledes på indersiden har vi tre servere: SMTP/POP3 (WinNT), HTTP (WinNT)
> og NNTP (Linux). (Newsserveren replikerer ikke de officielle nyhedsgrupper,
> men bruges til gruppekommunikation i forbindelse med et samarbejde med et
> andet gymnasium). Der er adgang til serverne gennem firewall'en ved hjælp
> af port-forwarding. 
> Vi logger alle REJECT-regler i firewall'en.
> 
> Det virker (næsten?):
> Vi har en hel skolefuld af ivrigt surfende elever, og har ikke modtaget
> klager. Vi konkluderer, at masquerading fungerer fuldstændig problemløst.
> Vi udveksler mail som før, og konkluderer derfor forsigtigt, at SMTP ser ud
> til at fungere igennem firewall'en.
> 
> Det virker alligevel ikke (???):
> MAIL:
> En kollega kommer nu efter et godt stykke tid (ØV!) og fortæller, at hun
> præcis samtidig med opsætningen af firewall'en begyndte at få problemer med
> at hente post fra vores server via internettet. Det fungerede sommetider,
> sommetider ikke. Det kan bekræftes med visse kombinationer af
> Internetudbyder og mails (måske størrelsen har en betydning?) - et
> eksempel: Netscape Communicator logger på serveren og melder "Henter brev 1
> ud af 5", hvorefter der intet sker. Jeg prøvede dernæst med samme maskine
> og samme mail-klient, men direkte på routerens A-ben. Denne gang drønede
> alle 5 mails igennem som forventet.
> -Men routerens A-ben sidder jo også på firewall'en yderside ???!!!???
> Og der var INTET i firewall-loggen, som havde relation til disse opkoblinger. 
> NEWS:
> Det ser "som regel" ud til at virke, når vi selv prøver, men en kollega på
> et nabogymnasium har meget bøvl med at tilgå vores private
> (ikke-replikerende) newsserver. Han bruger en eller anden variant af
> Outlook, men det er for billigt at lade det være HELE forklaringen.
> WEB:
> Vi kan ind imellem via Get2Net og StofaNet opleve, at der intet sker efter
> DNS-opslaget. Serveren (eller snarere firewall'en) kan pinges uden
> problemer. Samme server spytter (samtidigt) villigt siderne fra sig på
> lokalnettet, og den er i øvrigt overhovedet ikke i nærheden af at køre med
> fuld kapacitet. 
> 
> Hjælp!
> 
> kærlig hilsen,
> Henning Schou
> Tørring Amtsgymnasium
> 
>