Ankündigung

Einklappen
Keine Ankündigung bisher.

WG als Router mit Absicherung des heimischen Netzes

Einklappen
Dieses Thema ist geschlossen.
X
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    #16
    Zitat von makki Beitrag anzeigen
    Ein zweites Interface per USB geht natürlich aber das ist keine Lösung sondern ein Workaround..
    unabhängig von der Lösung:
    Da Ihr keins im Shop habt, kannst Du mir ein auf Anhieb funktionierendes empfehlen ?

    - was sagt "arp -a" -> Prüfen
    Code:
    arp -a -v
    Printserver.speedport.ip (192.168.2.10) auf 00:09:5b:2c:18:b0 [ether] auf eth0
    speedport.ip (192.168.2.2) auf 00:1f:3f:62:5a:df [ether] auf eth0
    MC300.speedport.ip (192.168.2.102) auf 00:1e:6b:32:1c:2c [ether] auf eth0
    . (192.168.2.135) auf 00:19:99:92:ee:08 [ether] auf eth0
    Einträge: 4   Ignoriert: 0   Gefunden: 4
    das zeigt aber nicht die Probleme

    Hintergrund:

    Eigentlich sollte das WG auf die x.x.x.1,
    da sagt aber der T-Com Router beim Eintragen des Portforwardings (UDP,1194)
    dass diese IP von ihm belegt wird - er hat aber die x.x.x.2!

    Im Router ist DHCP abgeschaltet (sag das Web-Interface zumindest)
    Das Wiregate ist DHCP Server und Gateway für das gesamte Netz.


    Kurzfassung:
    • die DHCP Daten werden nicht sauber übernommen und es kommt zu Fehlern in der Erreichbarkeit.
    • ohne WG als DHCP Server lief das Netz einwandfrei - in der Testumgebung hinter einem weiteren Firewall auch.
    • Kurisosität am Rande: in den Win-PC wird der DHCP mit einem völlig anderen Andressraum 169.x.x.x angegeben...
      eigentlich sollte der auf 192.168.2.4 laufen (braucht der eine eigene Adress-Angabe in der conf ?)

    anbei DHCP-conf
    Code:
    option domain-name "egal";
    option domain-name-servers 192.168.2.2;
    option routers 192.168.2.4;
    default-lease-time 3600;
    max-lease-time 604800;
    
    # local
    subnet 192.168.2.0 netmask 255.255.255.0 {
        authoritative;
        deny client-updates;
        allow unknown-clients;
        ddns-updates off;
        range 192.168.2.100 192.168.2.128;
        }
    
    host server1 {
        hardware ethernet 00:E0:18:02:8C:DC;
        fixed-address 192.168.2.5;
        }
    host MC300 {
        hardware ethernet 00:1E:6B:32:1C:2C;
        fixed-address 192.168.2.102;
        }
    host Printserver {
        hardware ethernet 00:09:5B:2C:18:B0;
        fixed-address 192.168.2.99;
        }
    ..weitere Clients..
    Imho ist es definitiv der T-COM Router der hier nicht sauber läuft und den würde ich gerne mittels eines eigenen Interfaces wegsperren, dann ist auf jeden Fall Ruhe !

    Michael

    Kommentar


      #17
      USB-Ethernet: ich hab mal so ein paar billig-Dinger ausprobiert, die gingen eigentlich alle. Ohne Gewähr, weil die Hersteller teils fröhlich die Chipsätze ändern: z.B. Tecline 45400008 mit ADMTEK ADM8515

      Aber wäre es nicht einfacher die T-Offline-Kiste zu entsorgen und einen simpelst Inet-Router ohne komische macken hinzustellen? sowas kostet ja nicht die Welt..

      Edit/PS: Wenn ich von der Sales-Abteilung wäre müsste ich nun natürlich einen IP-Extender verkaufen, der kann das alles Klasse inkl. Vlans&Co
      Vlan wäre auch noch eine ernste Option, so der Switch es kann..

      Makki
      EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
      -> Bitte KEINE PNs!

      Kommentar


        #18
        Zitat von makki Beitrag anzeigen
        Aber wäre es nicht einfacher die T-Offline-Kiste zu entsorgen ...
        naja, hängt halt noch die T-Home Schachtel dran, die braucht QoS
        -> kein zwingendes Gegenargument, kann aber den gleichen Aufwand produzieren wie die zweite Schnittstelle (die kostet aber nur ~12,-)

        Wenn ich von der Sales-Abteilung wäre ... IP-Extender ... kann das alles Klasse
        Hey Werner...


        geht natürlich auch, aber ich seh das längst als sportliche Übung

        Plan A ist die zweite Schnittstelle, hat den Charmanten Vorteil das dann wirklich kein Weg vorbei führt - Die Sperrregeln sind nämlich auch mau

        Plan B vielleicht der Einsatz eines anderen Routers oder die AVM Firmware flashen, mal sehen....


        Ich denke mal das bekomm ich schon hin, das Clamav Problem bereitet mir mehr Bauchweh...

        ciao
        Michael

        Kommentar


          #19
          Zitat von geologe Beitrag anzeigen
          naja, hängt halt noch die T-Home Schachtel dran, die braucht QoS
          Naja, ich hatte (2007) schon selbst T-Home IPTV und mache im beruflichen Alltag QoS auf Männer-Routern -> das hat mit QoS ehrlichgesagt recht wenig zu tun, mal zufällig&pauschal Multicast auf einem Port zu priorisieren, Kindergarten, geht ohne mindestens genausogut; weil wer soll die 50Mbit hintendran bitte zulöten wenns die Struktur eh nicht hergibt (wir haben/sind selbst ISP-Gate , also ungefäh weiss ich schon worum es geht )

          aber ich seh das längst als sportliche Übung
          Dann ist ja gut Denn ohne den Ehrgeiz zur sportlichen Übung muss man das eigentlich schnell abschreiben.. Aber sowas gibts, kenn ich gut: passierte mit idm WP oder Russound (x2!) ähnlich.. wenn man das halt will ists so, und wenn zwei WE hops gehen

          das Clamav Problem bereitet mir mehr Bauchweh...
          Den neuen hab ich mir noch nicht angesehen aber Tipp: der 0.94 aus volatile geht solange wunderbar, Warnungen hin oder her.. Genau dafür liebe ich Debian: es geht..

          Makki
          EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
          -> Bitte KEINE PNs!

          Kommentar


            #20
            Hi Makki,

            zur Clamav 0.97.2

            Zitat von makki Beitrag anzeigen
            Den neuen hab ich mir noch nicht angesehen aber Tipp: der 0.94 aus volatile geht solange wunderbar, Warnungen hin oder her..
            auch in Anbetracht der noch nicht gelieferten zweiten Schnittstelle befass ich mich nur mit dem CLAMAV Problem.

            kurzer Einschub,
            ein schnell installiertes Testsystem (Debian squeeze) auf einem steinalt Rechner (P4 irgendwas, ausnahmsweise mal keine VM) läuft mit squid 3, dansguardian und clamav auf anhieb - hier wird die clamav 0.97 auch ohne volatile repository installiert

            deswegen und aufgrund Deiner Antwort hab ich (nach vollbackup hda2) nochmal dansguardian mit Clamav, samt config und allen Abhängigkeiten deinstalliert (apt-get remove --purge ...., auch ein apt-get autoremove)

            und hab danach das volatile Repository auskommentiert

            apt-get install dansguardian (zieht clamav sowieso mit)

            logverbose in freshclam.conf auf true

            /etc/init.d/clamav-freshclam restart

            und jetzt das freshclam log:
            Code:
            --------------------------------------
            Current working dir is /var/lib/clamav/
            freshclam daemon 0.94.2 (OS: linux-gnu, ARCH: i386, CPU: i486)
            Max retries == 5
            ClamAV update process started at Sun Sep 11 11:42:11 2011
            Using IPv6 aware code
            Querying current.cvd.clamav.net
            TTL: 156
            Software version from DNS: 0.97.2
            main.cvd version from DNS: 53
            main.cvd is up to date (version: 53, sigs: 846214, f-level: 53, builder: sven)
            WARNING: Current functionality level = 38, recommended = 53
            Please check if ClamAV tools are linked against the proper version of libclamav
            DON'T PANIC! Read http://www.clamav.net/support/faq
            daily.cvd version from DNS: 13600
            Retrieving http://db.local.clamav.net/daily-8684.cdiff
            Trying to download http://db.local.clamav.net/daily-8684.cdiff (IP: 195.30.97.3)
            WARNING: getfile: daily-8684.cdiff not found on remote server (IP: 195.30.97.3)
            WARNING: getpatch: Can't download daily-8684.cdiff from db.local.clamav.net
            Retrieving http://db.local.clamav.net/daily-8684.cdiff
            Trying to download http://db.local.clamav.net/daily-8684.cdiff (IP: 195.30.97.3)
            WARNING: getfile: daily-8684.cdiff not found on remote server (IP: 195.30.97.3)
            WARNING: getpatch: Can't download daily-8684.cdiff from db.local.clamav.net
            Retrieving http://db.local.clamav.net/daily-8684.cdiff
            Trying to download http://db.local.clamav.net/daily-8684.cdiff (IP: 195.30.97.3)
            WARNING: getfile: daily-8684.cdiff not found on remote server (IP: 195.30.97.3)
            WARNING: getpatch: Can't download daily-8684.cdiff from db.local.clamav.net
            Retrieving http://db.local.clamav.net/daily-8684.cdiff
            Trying to download http://db.local.clamav.net/daily-8684.cdiff (IP: 195.30.97.3)
            WARNING: getfile: daily-8684.cdiff not found on remote server (IP: 195.30.97.3)
            WARNING: getpatch: Can't download daily-8684.cdiff from db.local.clamav.net
            Retrieving http://db.local.clamav.net/daily-8684.cdiff
            Trying to download http://db.local.clamav.net/daily-8684.cdiff (IP: 195.30.97.3)
            WARNING: getfile: daily-8684.cdiff not found on remote server (IP: 195.30.97.3)
            WARNING: getpatch: Can't download daily-8684.cdiff from db.local.clamav.net
            WARNING: Incremental update failed, trying to download daily.cvd
            Retrieving http://db.local.clamav.net/daily.cvd
            Trying to download http://db.local.clamav.net/daily.cvd (IP: 195.30.97.3)
            Downloading daily.cvd [100%]
            daily.cvd updated (version: 13600, sigs: 190348, f-level: 60, builder: guitar)
            WARNING: Your ClamAV installation is OUTDATED!
            WARNING: Current functionality level = 38, recommended = 60
            DON'T PANIC! Read http://www.clamav.net/support/faq
            Database updated (1036562 signatures) from db.local.clamav.net (IP: 195.30.97.3)
            WARNING: Clamd was NOT notified: Can't connect to clamd through /var/run/clamav/clamd.ctl
            --------------------------------------
            wieso läuft bei Dir die 0.94 noch ??????

            ich probier nochmal das upgrade auf 0.97...


            bei Gelegenheit wäre die Info nützlich wie ich ein hda2 Backup wieder einspielen kann (geht wohl kaum vom laufenden System)

            am einfachsten wäre ein gezielter Neustart mit Notsystem, und dann mit Putty rein und dd if=[backup] of=/dev/hda2 - geht das ?


            Nachtrag zum ClamAV Problem -> hier
            Code:
            When using clamav as the AV content filter, dansguardin fails to start.  ...  This has been fixed in a later version, bug 524688, but is not in lenny.
            
            ...
            
            There is a dansguardian package in volatile linked against the latest clamav. Please use this and [COLOR=Red]thank the clamav developers for destroying the db.[/COLOR]
            so, eigentlich sollte das mit der dansguardian 2.9.9.4-1+lenny1+volatile1 erledigt sein,
            nur, genau die ist jetzt drauf und es geht doch nicht...

            Code:
             /etc/init.d/dansguardian restart
            Restarting DansGuardian: Restarting DansGuardian: :LibClamAV Warning: ***********************************************************
            LibClamAV Warning: ***  This version of the ClamAV engine is outdated.     ***
            LibClamAV Warning: *** DON'T PANIC! Read http://www.clamav.net/support/faq ***
            LibClamAV Warning: ***********************************************************
            /etc/init.d/dansguardian: line 46:  3995 Speicherzugriffsfehler  start-stop-daemon --start --quiet --pidfile /var/run/$NAME.pid --exec $DAEMON
            [COLOR=Red] failed![/COLOR]
            
            mit 
              clamav                               0.97.2+dfsg-1~lenny1       anti-virus utility for Unix - command-line i
              clamav-base                       0.97.2+dfsg-1~lenny1       anti-virus utility for Unix - base package
              clamav-freshclam                0.97.2+dfsg-1~lenny1       anti-virus utility for Unix - virus database
            
              dansguardian                      2.9.9.4-1+lenny1+volatile1 Web content filtering
            
              libc6                                    2.7-18lenny7                    GNU C Library: Shared libraries
              libclamav5                           0.94.dfsg.2-1lenny2          anti-virus utility for Unix - library
              libclamav6                           0.97.2+dfsg-1~lenny1       anti-virus utility for Unix - library
            die alte libclamav5 0.94.dfsg.2-1lenny2 halte ich für fehl am Platz, bekomme sie aber auch nicht weg...

            apt-get remove libclamav5 -> Paket libclamav5 ist nicht installiert, wird also auch nicht entfernt


            Makki, könntest Du bitte mal nachschauen welche libclamav Du auf dem laufenden System hast ?


            ciao
            Michael

            Kommentar


              #21
              Sorry, Urlaub

              0.96.5+dfsg-1~volatile1

              Also eher beta-volatile - aber das ist das was ich an Debian so liebe: es geht über jahre hinweg, selbst in "volatile"..
              Wilde Backports kann man machen, tue ich ja auch mal gerne, aber dann ist halt meist schluss mit stabil..
              Da muss man halt dann jede dependency im Blick haben..

              Makki
              EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
              -> Bitte KEINE PNs!

              Kommentar


                #22
                Zitat von makki Beitrag anzeigen
                Sorry, Urlaub

                0.96.5+dfsg-1~volatile1
                Hi Makki,

                danke für die Info.

                werd mal schauen ob ich die Version noch gezielt inst. bekomme

                Ich bin mittlerweile mit usb->eth Adapter, Squid3 und Shorewall am werkeln - so dass clamav derzeit wieder warten muss, bis die vordringlichen Hausaufgaben gelöst sind....

                Alles wirklich Wichtige läuft bereits, bin gerade am aktivieren des transparent forwardings zum Squid - in den iptables.up.rules lief es schon, aber jetzt schau ich mal ob das im Shorewall nicht alles zentral zu verwalten ist (ja klar ist es...)

                Ich hatte mal nach gezielter Aktivierung des Notsystems gefragt um ein Backup einspielen zu können - bis jetzt war das zwar nicht nötig, aber ich wüsste es gern, da nach Murphy bestimmt mal irgendwann Nachts um 2 passiert...

                ciao
                Michael

                Kommentar


                  #23
                  Squid3 und Shorewall

                  Hi,

                  ich hab da noch ein kleines fieses Problem:

                  Ich kann zwar auf den proxy per man-config zugreifen (Port 3128), jedoch klappt der redirect nicht, bzw er kommt nicht beim squid an

                  vor der shorewall konfig ging das schon, nun vermute ich ein problem mit dem masquerading auf eth0 und tun+

                  Legende:
                  loc = eth0: internes netz
                  net = eth1: geht auf Telekom Router
                  vpn = tun+: VPN Verbindung
                  fw = WG lokal

                  /etc/shorewall/rules
                  Code:
                  #ACTION       SOURCE    DEST    PROTO    DEST         SOURCE    ORIGINAL    RATE    USER/
                  #                      PORT        PORT    DEST       LIMIT    GROUP
                  REDIRECT:info     loc    3128    tcp    80                
                  
                  ACCEPT            fw     net    tcp    www
                  ACCEPT:info       loc    net    icmp
                  ACCEPT            loc    all    udp    1194
                  ACCEPT:info       loc    net    tcp    443,995,25,21
                  ACCEPT:info       loc     fw     udp     53
                  ACCEPT            fw     net     udp     53
                  ACCEPT            loc     fw     tcp     10000
                  ACCEPT            loc     fw     tcp     80
                  ACCEPT            loc     fw    tcp     22
                  /etc/shorewall/masq
                  Code:
                  eth1 eth0
                  eth1 tun0


                  /etc/shorewall/interfaces
                  Code:
                  net eth1 detect routefilter,tcpflags
                  loc eth0 detect dhcp
                  vpn tun+
                  der VPB Port wird hier geöffnet:

                  /etc/shorewall/tunnels
                  Code:
                  openvpn:1194     net  0.0.0.0/0


                  /etc/shorewall/policy
                  Code:
                  net all DROP
                  loc all REJECT
                  loc fw ACCEPT
                  vpn all ACCEPT
                  loc vpn ACCEPT
                  fw all ACCEPT
                  all all REJECT

                  und das wird dann in den IPTABLES daraus

                  da steht zwar wahnsinnig viel, aber die Umsetzung des redirect oder forward seh ich nicht, nur die Zugriffserlaubnis auf den Proxy (rot)

                  Code:
                  Chain INPUT (policy DROP)
                  target     prot opt source               destination         
                  LOG        all  --  anywhere             anywhere            state NEW LOG level alert prefix `Shorewall:filter:INPUT:' 
                  ACCEPT     all  --  anywhere             anywhere            
                  eth1_in    all  --  anywhere             anywhere            
                  eth0_in    all  --  anywhere             anywhere            
                  tun_in     all  --  anywhere             anywhere            
                  ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
                  Drop       all  --  anywhere             anywhere            
                  LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:INPUT:DROP:' 
                  DROP       all  --  anywhere             anywhere            
                  
                  Chain FORWARD (policy DROP)
                  target     prot opt source               destination         
                  LOG        all  --  anywhere             anywhere            state NEW LOG level alert prefix `Shorewall:filter:FORWARD:' 
                  eth1_fwd   all  --  anywhere             anywhere            
                  eth0_fwd   all  --  anywhere             anywhere            
                  tun_fwd    all  --  anywhere             anywhere            
                  ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
                  Drop       all  --  anywhere             anywhere            
                  LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:FORWARD:DROP:' 
                  DROP       all  --  anywhere             anywhere            
                  
                  Chain OUTPUT (policy DROP)
                  target     prot opt source               destination         
                  LOG        all  --  anywhere             anywhere            state NEW LOG level alert prefix `Shorewall:filter:OUTPUT:' 
                  ACCEPT     all  --  anywhere             anywhere            
                  eth1_out   all  --  anywhere             anywhere            
                  eth0_out   all  --  anywhere             anywhere            
                  tun_out    all  --  anywhere             anywhere            
                  ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
                  ACCEPT     all  --  anywhere             anywhere            
                  
                  Chain Drop (3 references)
                  target     prot opt source               destination         
                  reject     tcp  --  anywhere             anywhere            tcp dpt:auth 
                  dropBcast  all  --  anywhere             anywhere            
                  ACCEPT     icmp --  anywhere             anywhere            icmp fragmentation-needed 
                  ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded 
                  dropInvalid  all  --  anywhere             anywhere            
                  DROP       udp  --  anywhere             anywhere            multiport dports loc-srv,microsoft-ds 
                  DROP       udp  --  anywhere             anywhere            udp dpts:netbios-ns:netbios-ssn 
                  DROP       udp  --  anywhere             anywhere            udp spt:netbios-ns dpts:1024:65535 
                  DROP       tcp  --  anywhere             anywhere            multiport dports loc-srv,netbios-ssn,microsoft-ds 
                  DROP       udp  --  anywhere             anywhere            udp dpt:1900 
                  dropNotSyn  tcp  --  anywhere             anywhere            
                  DROP       udp  --  anywhere             anywhere            udp spt:domain 
                  
                  Chain Reject (1 references)
                  target     prot opt source               destination         
                  reject     tcp  --  anywhere             anywhere            tcp dpt:auth 
                  dropBcast  all  --  anywhere             anywhere            
                  ACCEPT     icmp --  anywhere             anywhere            icmp fragmentation-needed 
                  ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded 
                  dropInvalid  all  --  anywhere             anywhere            
                  reject     udp  --  anywhere             anywhere            multiport dports loc-srv,microsoft-ds 
                  reject     udp  --  anywhere             anywhere            udp dpts:netbios-ns:netbios-ssn 
                  reject     udp  --  anywhere             anywhere            udp spt:netbios-ns dpts:1024:65535 
                  reject     tcp  --  anywhere             anywhere            multiport dports loc-srv,netbios-ssn,microsoft-ds 
                  DROP       udp  --  anywhere             anywhere            udp dpt:1900 
                  dropNotSyn  tcp  --  anywhere             anywhere            
                  DROP       udp  --  anywhere             anywhere            udp spt:domain 
                  
                  Chain dropBcast (2 references)
                  target     prot opt source               destination         
                  DROP       all  --  anywhere             anywhere            PKTTYPE = broadcast 
                  DROP       all  --  anywhere             anywhere            PKTTYPE = multicast 
                  
                  Chain dropInvalid (2 references)
                  target     prot opt source               destination         
                  DROP       all  --  anywhere             anywhere            state INVALID 
                  
                  Chain dropNotSyn (2 references)
                  target     prot opt source               destination         
                  DROP       tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN 
                  
                  Chain dynamic (6 references)
                  target     prot opt source               destination         
                  
                  Chain eth0_fwd (1 references)
                  target     prot opt source               destination         
                  dynamic    all  --  anywhere             anywhere            state INVALID,NEW 
                  loc2net    all  --  anywhere             anywhere            
                  loc2vpn    all  --  anywhere             anywhere            
                  
                  Chain eth0_in (1 references)
                  target     prot opt source               destination         
                  dynamic    all  --  anywhere             anywhere            state INVALID,NEW 
                  ACCEPT     udp  --  anywhere             anywhere            udp dpts:bootps:bootpc 
                  loc2fw     all  --  anywhere             anywhere            
                  
                  Chain eth0_out (1 references)
                  target     prot opt source               destination         
                  ACCEPT     udp  --  anywhere             anywhere            udp dpts:bootps:bootpc 
                  fw2all     all  --  anywhere             anywhere            
                  
                  Chain eth1_fwd (1 references)
                  target     prot opt source               destination         
                  dynamic    all  --  anywhere             anywhere            state INVALID,NEW 
                  tcpflags   tcp  --  anywhere             anywhere            
                  net2all    all  --  anywhere             anywhere            
                  net2all    all  --  anywhere             anywhere            
                  
                  Chain eth1_in (1 references)
                  target     prot opt source               destination         
                  dynamic    all  --  anywhere             anywhere            state INVALID,NEW 
                  tcpflags   tcp  --  anywhere             anywhere            
                  net2fw     all  --  anywhere             anywhere            
                  
                  Chain eth1_out (1 references)
                  target     prot opt source               destination         
                  fw2net     all  --  anywhere             anywhere            
                  
                  Chain fw2all (3 references)
                  target     prot opt source               destination         
                  ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
                  ACCEPT     all  --  anywhere             anywhere            
                  
                  Chain fw2net (1 references)
                  target     prot opt source               destination         
                  ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
                  ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www 
                  ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain 
                  ACCEPT     udp  --  anywhere             anywhere            udp dpt:openvpn 
                  fw2all     all  --  anywhere             anywhere            
                  
                  Chain loc2all (1 references)
                  target     prot opt source               destination         
                  ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
                  Reject     all  --  anywhere             anywhere            
                  reject     all  --  anywhere             anywhere            
                  
                  Chain[COLOR=Red] loc2fw [/COLOR](1 references)
                  target     prot opt source               destination         
                  ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
                  [COLOR=Red]ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:3128 [/COLOR]
                  ACCEPT     udp  --  anywhere             anywhere            udp dpt:openvpn 
                  LOG        udp  --  anywhere             anywhere            udp dpt:domain LOG level info prefix `Shorewall:loc2fw:ACCEPT:' 
                  ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain 
                  ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:webmin 
                  ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www 
                  ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh 
                  ACCEPT     all  --  anywhere             anywhere            
                  
                  Chain loc2net (1 references)
                  target     prot opt source               destination         
                  ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
                  LOG        icmp --  anywhere             anywhere            LOG level info prefix `Shorewall:loc2net:ACCEPT:' 
                  ACCEPT     icmp --  anywhere             anywhere            
                  ACCEPT     udp  --  anywhere             anywhere            udp dpt:openvpn 
                  LOG        tcp  --  anywhere             anywhere            multiport dports https,pop3s,smtp,ftp LOG level info prefix `Shorewall:loc2net:ACCEPT:' 
                  ACCEPT     tcp  --  anywhere             anywhere            multiport dports https,pop3s,smtp,ftp 
                  loc2all    all  --  anywhere             anywhere            
                  
                  Chain loc2vpn (1 references)
                  target     prot opt source               destination         
                  ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
                  ACCEPT     udp  --  anywhere             anywhere            udp dpt:openvpn 
                  ACCEPT     all  --  anywhere             anywhere            
                  
                  Chain logdrop (0 references)
                  target     prot opt source               destination         
                  LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:logdrop:DROP:' 
                  DROP       all  --  anywhere             anywhere            
                  
                  Chain logflags (5 references)
                  target     prot opt source               destination         
                  LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:logflags:DROP:' 
                  DROP       all  --  anywhere             anywhere            
                  
                  Chain logreject (0 references)
                  target     prot opt source               destination         
                  LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:logreject:REJECT:' 
                  reject     all  --  anywhere             anywhere            
                  
                  Chain net2all (3 references)
                  target     prot opt source               destination         
                  ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
                  Drop       all  --  anywhere             anywhere            
                  DROP       all  --  anywhere             anywhere            
                  
                  Chain net2fw (1 references)
                  target     prot opt source               destination         
                  ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
                  ACCEPT     udp  --  anywhere             anywhere            udp dpt:openvpn 
                  net2all    all  --  anywhere             anywhere            
                  
                  Chain reject (8 references)
                  target     prot opt source               destination         
                  DROP       all  --  anywhere             anywhere            PKTTYPE = broadcast 
                  DROP       all  --  anywhere             anywhere            PKTTYPE = multicast 
                  DROP       all  --  255.255.255.255      anywhere            
                  DROP       all  --  base-address.mcast.net/4  anywhere            
                  DROP       igmp --  anywhere             anywhere            
                  REJECT     tcp  --  anywhere             anywhere            reject-with tcp-reset 
                  REJECT     udp  --  anywhere             anywhere            reject-with icmp-port-unreachable 
                  REJECT     icmp --  anywhere             anywhere            reject-with icmp-host-unreachable 
                  REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 
                  
                  Chain shorewall (0 references)
                  target     prot opt source               destination         
                  
                  Chain smurfs (0 references)
                  target     prot opt source               destination         
                  LOG        all  --  169.254.255.255      anywhere            LOG level info prefix `Shorewall:smurfs:DROP:' 
                  DROP       all  --  169.254.255.255      anywhere            
                  LOG        all  --  192.168.77.255       anywhere            LOG level info prefix `Shorewall:smurfs:DROP:' 
                  DROP       all  --  192.168.77.255       anywhere            
                  LOG        all  --  169.254.255.255      anywhere            LOG level info prefix `Shorewall:smurfs:DROP:' 
                  DROP       all  --  169.254.255.255      anywhere            
                  LOG        all  --  192.168.2.255        anywhere            LOG level info prefix `Shorewall:smurfs:DROP:' 
                  DROP       all  --  192.168.2.255        anywhere            
                  LOG        all  --  255.255.255.255      anywhere            LOG level info prefix `Shorewall:smurfs:DROP:' 
                  DROP       all  --  255.255.255.255      anywhere            
                  LOG        all  --  base-address.mcast.net/4  anywhere            LOG level info prefix `Shorewall:smurfs:DROP:' 
                  DROP       all  --  base-address.mcast.net/4  anywhere            
                  
                  Chain tcpflags (2 references)
                  target     prot opt source               destination         
                  logflags   tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG 
                  logflags   tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE 
                  logflags   tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN,RST 
                  logflags   tcp  --  anywhere             anywhere            tcp flags:FIN,SYN/FIN,SYN 
                  logflags   tcp  --  anywhere             anywhere            tcp spt:0 flags:FIN,SYN,RST,ACK/SYN 
                  
                  Chain tun_fwd (1 references)
                  target     prot opt source               destination         
                  dynamic    all  --  anywhere             anywhere            state INVALID,NEW 
                  vpn2all    all  --  anywhere             anywhere            
                  vpn2all    all  --  anywhere             anywhere            
                  
                  Chain tun_in (1 references)
                  target     prot opt source               destination         
                  dynamic    all  --  anywhere             anywhere            state INVALID,NEW 
                  vpn2all    all  --  anywhere             anywhere            
                  
                  Chain tun_out (1 references)
                  target     prot opt source               destination         
                  fw2all     all  --  anywhere             anywhere            
                  
                  Chain vpn2all (3 references)
                  target     prot opt source               destination         
                  ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
                  ACCEPT     all  --  anywhere             anywhere
                  falls ein Linux Netzwerkprofi mitliest wäre ich für einen Tip echt dankbar


                  ich dachte die IPTABLES so ansatzweise verstanden zu haben, aber das was Shorewall daraus macht is scho a weng konfus oder ?



                  ciao
                  Michael


                  Kommentar


                    #24
                    Hallo Michael,

                    kannst Du mal kurz die beiden Befehle
                    Code:
                    netstat -npat|grep :3128
                    iptables -t nat -L
                    ausführen und die Ergebnisse posten und/oder erklären, was Du mit
                    vor der shorewall konfig ging das schon
                    meinst.
                    Hattest Du die Umleitung vorher selbst per iptables eingetragen?

                    Grüße,

                    Mathias

                    Kommentar


                      #25

                      kannst Du mal kurz ... Ergebnisse posten
                      Hallo Mathias,

                      danke, dass Du Dich meiner annimmst, ich brauch ein wenig Hilfe auf den rechten Weg

                      Hattest Du die Umleitung vorher selbst per iptables eingetragen?
                      ja genau das, das war aber vor der USB-Netzwerkkarte, also das gesamte netz an eth0 und sah so in der /etc/iptables.up.rules aus
                      Code:
                      -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
                      und nun die Ergebnisse Deiner Anfragen

                      netstat -npat|grep :3128
                      Code:
                      tcp        0      0 192.168.2.4:3128        0.0.0.0:*               LISTEN      2994/(squid)
                      ich vermute es ging Dir darum zu schauen ob Squid auf Port 3128 horcht, ja tut er - manuell im Browser eingetragen gehts ja auch

                      Squid3 läuft und funktioniert auch, daran liegt es definitiv nicht


                      iptables -t nat -L

                      Code:
                      Chain PREROUTING (policy ACCEPT)
                      target     prot opt source               destination
                      LOG        all  --  anywhere             anywhere            state NEW LOG level alert prefix `Shorewall:nat:PREROUTING:'
                      loc_dnat   all  --  anywhere             anywhere
                      
                      Chain POSTROUTING (policy ACCEPT)
                      target     prot opt source               destination
                      LOG        all  --  anywhere             anywhere            state NEW LOG level alert prefix `Shorewall:nat:POSTROUTING:'
                      eth1_masq  all  --  anywhere             anywhere
                      
                      Chain OUTPUT (policy ACCEPT)
                      target     prot opt source               destination
                      LOG        all  --  anywhere             anywhere            state NEW LOG level alert prefix `Shorewall:nat:OUTPUT:'
                      
                      Chain eth1_masq (1 references)
                      target     prot opt source               destination
                      MASQUERADE  all  --  192.168.2.0/24       anywhere
                      MASQUERADE  all  --  link-local/16        anywhere
                      MASQUERADE  all  --  192.168.102.2        anywhere
                      MASQUERADE  all  --  192.168.102.0/24     anywhere
                      
                      Chain loc_dnat (1 references)
                      target     prot opt source               destination
                      LOG        tcp  --  anywhere             anywhere            tcp dpt:www LOG level info prefix `Shorewall:loc_dnat:REDIRECT:'
                      [COLOR=Red]REDIRECT   tcp  --  anywhere             anywhere            tcp dpt:www redir ports 3128[/COLOR]
                      könnte es sein - mich hat der Verdacht ohnehin schon beschlichen - das der redirekt in eine Endlosschleife gerät, also auch die Anfrage vom Squid redirected wird ?

                      Allerdings waren meine Versuche fw (oder IP 192.168.2.4) vom redirect auszuschliessen bisher erfolglos, da das jeweils nicht zulässige Optionen im Shorewall waren.

                      Nachtrag:
                      hatte masq auch schon mal abgeschaltet um das zu testen, ohne Erfolg (ist ja derzeit, so lange das WG noch nicht die Einwahl mit Modem am DSL macht, eigentlich noch nicht nötig).



                      besten Dank für Deine Mühe (im Voraus)
                      Michael

                      Kommentar


                        #26
                        Zitat von geologe Beitrag anzeigen
                        REDIRECT:info loc 3128 tcp 80
                        Moin,
                        sach mal so auf den ersten Blick: Kannes sein das in der Zeile ein Ziel fehlt?

                        Ich meine das hinter die 80 noch ein "-" und das Interface oder IP kommen muß. Also zwei weitere Parameter in der Zeile.
                        cu
                        Andreas


                        Aus dem Norden? Schau mal rein, Stammtisch-Nord!

                        Kommentar


                          #27
                          Zitat von geologe Beitrag anzeigen
                          ich vermute es ging Dir darum zu schauen ob Squid auf Port 3128 horcht, ja tut er - manuell im Browser eingetragen gehts ja auch
                          Nein, nicht ganz. Ich wollte wissen auf welcher Ip-Adresse er läuft .
                          Schau mal im log nach, wo deine Anfragen landen. Ich vermute die landen ebend nicht in der loc2fw Kette.
                          Daneben kannst Du mit der Option -v auch die Zähler der Pakete, die durch die einzelnen Regeln gegangen sind anschauen.
                          Code:
                          //erstmal zähler löschen
                          iptables -Z ; iptables -Z -t nat
                          //jetzt versuchen im www zu surfen und dann
                          iptables -L -v ; iptables -L -v -t nat
                          Dann sollte schnell ersichtlich sein, wo die Pakete hingehen.

                          Grüße,

                          Mathias

                          Kommentar


                            #28
                            Zitat von arosy Beitrag anzeigen
                            Moin,
                            sach mal so auf den ersten Blick: Kannes sein das in der Zeile ein Ziel fehlt?
                            Die aktuelle shorewall manpage sagt: source port und original destination sind optional.

                            Kommentar


                              #29
                              Zitat von roestle Beitrag anzeigen
                              Schau mal im log nach, wo deine Anfragen landen. Ich vermute die landen ebend nicht in der loc2fw Kette.
                              Hallo Mathias,

                              anbei beide outputs - der Zugriff auf's WG erfolgte durch VPN, also davon nicht irritieren lassen

                              iptables -L -v
                              Code:
                              Chain INPUT (policy DROP 0 packets, 0 bytes)
                               pkts bytes target     prot opt in     out     source               destination         
                                100  5558 LOG        all  --  any    any     anywhere             anywhere            state NEW LOG level alert prefix `Shorewall:filter:INPUT:' 
                                204 12946 ACCEPT     all  --  lo     any     anywhere             anywhere            
                                 93 24036 eth1_in    all  --  eth1   any     anywhere             anywhere            
                                 76  4166 eth0_in    all  --  eth0   any     anywhere             anywhere            
                                 31  2072 tun_in     all  --  tun+   any     anywhere             anywhere            
                                  0     0 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
                                  0     0 Drop       all  --  any    any     anywhere             anywhere            
                                  0     0 LOG        all  --  any    any     anywhere             anywhere            LOG level info prefix `Shorewall:INPUT:DROP:' 
                                  0     0 DROP       all  --  any    any     anywhere             anywhere            
                              
                              Chain FORWARD (policy DROP 0 packets, 0 bytes)
                               pkts bytes target     prot opt in     out     source               destination         
                                  0     0 LOG        all  --  any    any     anywhere             anywhere            state NEW LOG level alert prefix `Shorewall:filter:FORWARD:' 
                                  0     0 eth1_fwd   all  --  eth1   any     anywhere             anywhere            
                                  0     0 eth0_fwd   all  --  eth0   any     anywhere             anywhere            
                                  0     0 tun_fwd    all  --  tun+   any     anywhere             anywhere            
                                  0     0 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
                                  0     0 Drop       all  --  any    any     anywhere             anywhere            
                                  0     0 LOG        all  --  any    any     anywhere             anywhere            LOG level info prefix `Shorewall:FORWARD:DROP:' 
                                  0     0 DROP       all  --  any    any     anywhere             anywhere            
                              
                              Chain OUTPUT (policy DROP 0 packets, 0 bytes)
                               pkts bytes target     prot opt in     out     source               destination         
                                 68  4692 LOG        all  --  any    any     anywhere             anywhere            state NEW LOG level alert prefix `Shorewall:filter:OUTPUT:' 
                                204 12946 ACCEPT     all  --  any    lo      anywhere             anywhere            
                                 74  7800 eth1_out   all  --  any    eth1    anywhere             anywhere            
                                 73  6862 eth0_out   all  --  any    eth0    anywhere             anywhere            
                                 19  1964 tun_out    all  --  any    tun+    anywhere             anywhere            
                                  0     0 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
                                  0     0 ACCEPT     all  --  any    any     anywhere             anywhere            
                              
                              Chain Drop (3 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                  0     0 reject     tcp  --  any    any     anywhere             anywhere            tcp dpt:auth 
                                  2    72 dropBcast  all  --  any    any     anywhere             anywhere            
                                  0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp fragmentation-needed 
                                  0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp time-exceeded 
                                  0     0 dropInvalid  all  --  any    any     anywhere             anywhere            
                                  0     0 DROP       udp  --  any    any     anywhere             anywhere            multiport dports loc-srv,microsoft-ds 
                                  0     0 DROP       udp  --  any    any     anywhere             anywhere            udp dpts:netbios-ns:netbios-ssn 
                                  0     0 DROP       udp  --  any    any     anywhere             anywhere            udp spt:netbios-ns dpts:1024:65535 
                                  0     0 DROP       tcp  --  any    any     anywhere             anywhere            multiport dports loc-srv,netbios-ssn,microsoft-ds 
                                  0     0 DROP       udp  --  any    any     anywhere             anywhere            udp dpt:1900 
                                  0     0 dropNotSyn  tcp  --  any    any     anywhere             anywhere            
                                  0     0 DROP       udp  --  any    any     anywhere             anywhere            udp spt:domain 
                              
                              Chain Reject (1 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                  0     0 reject     tcp  --  any    any     anywhere             anywhere            tcp dpt:auth 
                                  0     0 dropBcast  all  --  any    any     anywhere             anywhere            
                                  0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp fragmentation-needed 
                                  0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp time-exceeded 
                                  0     0 dropInvalid  all  --  any    any     anywhere             anywhere            
                                  0     0 reject     udp  --  any    any     anywhere             anywhere            multiport dports loc-srv,microsoft-ds 
                                  0     0 reject     udp  --  any    any     anywhere             anywhere            udp dpts:netbios-ns:netbios-ssn 
                                  0     0 reject     udp  --  any    any     anywhere             anywhere            udp spt:netbios-ns dpts:1024:65535 
                                  0     0 reject     tcp  --  any    any     anywhere             anywhere            multiport dports loc-srv,netbios-ssn,microsoft-ds 
                                  0     0 DROP       udp  --  any    any     anywhere             anywhere            udp dpt:1900 
                                  0     0 dropNotSyn  tcp  --  any    any     anywhere             anywhere            
                                  0     0 DROP       udp  --  any    any     anywhere             anywhere            udp spt:domain 
                              
                              Chain dropBcast (2 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                  0     0 DROP       all  --  any    any     anywhere             anywhere            PKTTYPE = broadcast 
                                  2    72 DROP       all  --  any    any     anywhere             anywhere            PKTTYPE = multicast 
                              
                              Chain dropInvalid (2 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                  0     0 DROP       all  --  any    any     anywhere             anywhere            state INVALID 
                              
                              Chain dropNotSyn (2 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                  0     0 DROP       tcp  --  any    any     anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN 
                              
                              Chain dynamic (6 references)
                               pkts bytes target     prot opt in     out     source               destination         
                              
                              Chain eth0_fwd (1 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                  0     0 dynamic    all  --  any    any     anywhere             anywhere            state INVALID,NEW 
                                  0     0 loc2net    all  --  any    eth1    anywhere             anywhere            
                                  0     0 loc2vpn    all  --  any    tun+    anywhere             anywhere            
                              
                              Chain eth0_in (1 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                 76  4166 dynamic    all  --  any    any     anywhere             anywhere            state INVALID,NEW 
                                  0     0 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpts:bootps:bootpc 
                                 76  4166 loc2fw     all  --  any    any     anywhere             anywhere            
                              
                              Chain eth0_out (1 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                  0     0 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpts:bootps:bootpc 
                                 73  6862 fw2all     all  --  any    any     anywhere             anywhere            
                              
                              Chain eth1_fwd (1 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                  0     0 dynamic    all  --  any    any     anywhere             anywhere            state INVALID,NEW 
                                  0     0 tcpflags   tcp  --  any    any     anywhere             anywhere            
                                  0     0 net2all    all  --  any    eth0    anywhere             anywhere            
                                  0     0 net2all    all  --  any    tun+    anywhere             anywhere            
                              
                              Chain eth1_in (1 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                  2    72 dynamic    all  --  any    any     anywhere             anywhere            state INVALID,NEW 
                                  0     0 tcpflags   tcp  --  any    any     anywhere             anywhere            
                                 93 24036 net2fw     all  --  any    any     anywhere             anywhere            
                              
                              Chain eth1_out (1 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                 74  7800 fw2net     all  --  any    any     anywhere             anywhere            
                              
                              Chain fw2all (3 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                 92  8826 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
                                  1    76 ACCEPT     all  --  any    any     anywhere             anywhere            
                              
                              Chain fw2net (1 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                 28  4428 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
                                  0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:www 
                                 45  3296 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:domain 
                                  0     0 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:openvpn 
                                  1    76 fw2all     all  --  any    any     anywhere             anywhere            
                              
                              Chain loc2all (1 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                  0     0 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
                                  0     0 Reject     all  --  any    any     anywhere             anywhere            
                                  0     0 reject     all  --  any    any     anywhere             anywhere            
                              
                              Chain loc2fw (1 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                  0     0 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
                                 [COLOR=Red]48  2432 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:3128 [/COLOR]
                                  0     0 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:openvpn 
                                 27  1656 LOG        udp  --  any    any     anywhere             anywhere            udp dpt:domain LOG level info prefix `Shorewall:loc2fw:ACCEPT:' 
                                 27  1656 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:domain 
                                  0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:webmin 
                                  0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:www 
                                  0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:ssh 
                                  1    78 ACCEPT     all  --  any    any     anywhere             anywhere            
                              
                              Chain loc2net (1 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                  0     0 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
                                  0     0 LOG        icmp --  any    any     anywhere             anywhere            LOG level info prefix `Shorewall:loc2net:ACCEPT:' 
                                  0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            
                                  0     0 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:openvpn 
                                  0     0 LOG        tcp  --  any    any     anywhere             anywhere            multiport dports https,pop3s,smtp,ftp LOG level info prefix `Shorewall:loc2net:ACCEPT:' 
                                  0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            multiport dports https,pop3s,smtp,ftp 
                                  0     0 loc2all    all  --  any    any     anywhere             anywhere            
                              
                              Chain loc2vpn (1 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                  0     0 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
                                  0     0 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:openvpn 
                                  0     0 ACCEPT     all  --  any    any     anywhere             anywhere            
                              
                              Chain logdrop (0 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                  0     0 LOG        all  --  any    any     anywhere             anywhere            LOG level info prefix `Shorewall:logdrop:DROP:' 
                                  0     0 DROP       all  --  any    any     anywhere             anywhere            
                              
                              Chain logflags (5 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                  0     0 LOG        all  --  any    any     anywhere             anywhere            LOG level info prefix `Shorewall:logflags:DROP:' 
                                  0     0 DROP       all  --  any    any     anywhere             anywhere            
                              
                              Chain logreject (0 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                  0     0 LOG        all  --  any    any     anywhere             anywhere            LOG level info prefix `Shorewall:logreject:REJECT:' 
                                  0     0 reject     all  --  any    any     anywhere             anywhere            
                              
                              Chain net2all (3 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                  0     0 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
                                  2    72 Drop       all  --  any    any     anywhere             anywhere            
                                  0     0 DROP       all  --  any    any     anywhere             anywhere            
                              
                              Chain net2fw (1 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                 91 23964 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
                                  0     0 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:openvpn 
                                  2    72 net2all    all  --  any    any     anywhere             anywhere            
                              
                              Chain reject (8 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                  0     0 DROP       all  --  any    any     anywhere             anywhere            PKTTYPE = broadcast 
                                  0     0 DROP       all  --  any    any     anywhere             anywhere            PKTTYPE = multicast 
                                  0     0 DROP       all  --  any    any     255.255.255.255      anywhere            
                                  0     0 DROP       all  --  any    any     base-address.mcast.net/4  anywhere            
                                  0     0 DROP       igmp --  any    any     anywhere             anywhere            
                                  0     0 REJECT     tcp  --  any    any     anywhere             anywhere            reject-with tcp-reset 
                                  0     0 REJECT     udp  --  any    any     anywhere             anywhere            reject-with icmp-port-unreachable 
                                  0     0 REJECT     icmp --  any    any     anywhere             anywhere            reject-with icmp-host-unreachable 
                                  0     0 REJECT     all  --  any    any     anywhere             anywhere            reject-with icmp-host-prohibited 
                              
                              Chain shorewall (0 references)
                               pkts bytes target     prot opt in     out     source               destination         
                              
                              Chain smurfs (0 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                  0     0 LOG        all  --  any    any     169.254.255.255      anywhere            LOG level info prefix `Shorewall:smurfs:DROP:' 
                                  0     0 DROP       all  --  any    any     169.254.255.255      anywhere            
                                  0     0 LOG        all  --  any    any     192.168.77.255       anywhere            LOG level info prefix `Shorewall:smurfs:DROP:' 
                                  0     0 DROP       all  --  any    any     192.168.77.255       anywhere            
                                  0     0 LOG        all  --  any    any     169.254.255.255      anywhere            LOG level info prefix `Shorewall:smurfs:DROP:' 
                                  0     0 DROP       all  --  any    any     169.254.255.255      anywhere            
                                  0     0 LOG        all  --  any    any     192.168.2.255        anywhere            LOG level info prefix `Shorewall:smurfs:DROP:' 
                                  0     0 DROP       all  --  any    any     192.168.2.255        anywhere            
                                  0     0 LOG        all  --  any    any     255.255.255.255      anywhere            LOG level info prefix `Shorewall:smurfs:DROP:' 
                                  0     0 DROP       all  --  any    any     255.255.255.255      anywhere            
                                  0     0 LOG        all  --  any    any     base-address.mcast.net/4  anywhere            LOG level info prefix `Shorewall:smurfs:DROP:' 
                                  0     0 DROP       all  --  any    any     base-address.mcast.net/4  anywhere            
                              
                              Chain tcpflags (2 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                  0     0 logflags   tcp  --  any    any     anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG 
                                  0     0 logflags   tcp  --  any    any     anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE 
                                  0     0 logflags   tcp  --  any    any     anywhere             anywhere            tcp flags:SYN,RST/SYN,RST 
                                  0     0 logflags   tcp  --  any    any     anywhere             anywhere            tcp flags:FIN,SYN/FIN,SYN 
                                  0     0 logflags   tcp  --  any    any     anywhere             anywhere            tcp spt:0 flags:FIN,SYN,RST,ACK/SYN 
                              
                              Chain tun_fwd (1 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                  0     0 dynamic    all  --  any    any     anywhere             anywhere            state INVALID,NEW 
                                  0     0 vpn2all    all  --  any    eth1    anywhere             anywhere            
                                  0     0 vpn2all    all  --  any    eth0    anywhere             anywhere            
                              
                              Chain tun_in (1 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                  0     0 dynamic    all  --  any    any     anywhere             anywhere            state INVALID,NEW 
                                 31  2072 vpn2all    all  --  any    any     anywhere             anywhere            
                              
                              Chain tun_out (1 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                 19  1964 fw2all     all  --  any    any     anywhere             anywhere            
                              
                              Chain vpn2all (3 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                 31  2072 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
                                  0     0 ACCEPT     all  --  any    any     anywhere             anywhere
                              iptables -L -v -t
                              Code:
                              Chain PREROUTING (policy ACCEPT 76 packets, 27943 bytes)
                               pkts bytes target     prot opt in     out     source               destination         
                                124 30375 LOG        all  --  any    any     anywhere             anywhere            state NEW LOG level alert prefix `Shorewall:nat:PREROUTING:' 
                                 75  4288 loc_dnat   all  --  eth0   any     anywhere             anywhere            
                              
                              Chain POSTROUTING (policy ACCEPT 92 packets, 6304 bytes)
                               pkts bytes target     prot opt in     out     source               destination         
                                 92  6304 LOG        all  --  any    any     anywhere             anywhere            state NEW LOG level alert prefix `Shorewall:nat:POSTROUTING:' 
                                 60  4384 eth1_masq  all  --  any    eth1    anywhere             anywhere            
                              
                              Chain OUTPUT (policy ACCEPT 92 packets, 6304 bytes)
                               pkts bytes target     prot opt in     out     source               destination         
                                 92  6304 LOG        all  --  any    any     anywhere             anywhere            state NEW LOG level alert prefix `Shorewall:nat:OUTPUT:' 
                              
                              Chain eth1_masq (1 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                  0     0 MASQUERADE  all  --  any    any     192.168.2.0/24       anywhere            
                                  0     0 MASQUERADE  all  --  any    any     link-local/16        anywhere            
                                  0     0 MASQUERADE  all  --  any    any     192.168.102.2        anywhere            
                                  0     0 MASQUERADE  all  --  any    any     192.168.102.0/24     anywhere            
                              
                              Chain loc_dnat (1 references)
                               pkts bytes target     prot opt in     out     source               destination         
                                 48  2432 LOG        tcp  --  any    any     anywhere             anywhere            tcp dpt:www LOG level info prefix `Shorewall:loc_dnat:REDIRECT:' 
                                [COLOR=Red] 48  2432 REDIRECT   tcp  --  any    any     anywhere             anywhere            tcp dpt:www redir ports 3128 [/COLOR]
                              aha... 48 Pakete richtig umgeleitet zum SQUID und dort auch eingegangen.. und dann ?????

                              anbei noch ein Schnipsel aus der /var/log/kern.log
                              192.168.77.101 ist die IP-TV Kiste (auf eth1, hängt am T-COM Router)
                              192.168.2.135 der Rechner auf dem der Surfversuch stattfand


                              Code:
                              Sep 22 10:22:00 wiregate233 kernel: [239475.345929] Shorewall:mangle:PREROUTING:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=195.71.11.67 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=5499 DF PROTO=TCP SPT=49432 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
                              Sep 22 10:22:00 wiregate233 kernel: [239475.381115] Shorewall:nat:PREROUTING:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=195.71.11.67 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=5499 DF PROTO=TCP SPT=49432 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
                              Sep 22 10:22:00 wiregate233 kernel: [239475.407719] Shorewall:loc_dnat:REDIRECT:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=195.71.11.67 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=5499 DF PROTO=TCP SPT=49432 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
                              
                              Sep 22 10:22:00 wiregate233 kernel: [239475.407839] Shorewall:mangle:INPUT:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=169.254.10.59 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=5499 DF PROTO=TCP SPT=49432 DPT=3128 WINDOW=8192 RES=0x00 SYN URGP=0
                              Sep 22 10:22:00 wiregate233 kernel: [239475.434461] Shorewall:filter:INPUT:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=169.254.10.59 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=5499 DF PROTO=TCP SPT=49432 DPT=3128 WINDOW=8192 RES=0x00 SYN URGP=0
                              
                              Sep 22 10:22:00 wiregate233 kernel: [239475.958546] Shorewall:mangle:PREROUTING:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=195.71.11.67 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=5500 DF PROTO=TCP SPT=49432 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
                              Sep 22 10:22:00 wiregate233 kernel: [239475.993630] Shorewall:nat:PREROUTING:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=195.71.11.67 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=5500 DF PROTO=TCP SPT=49432 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
                              Sep 22 10:22:00 wiregate233 kernel: [239476.020214] Shorewall:loc_dnat:REDIRECT:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=195.71.11.67 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=5500 DF PROTO=TCP SPT=49432 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
                              
                              Sep 22 10:22:00 wiregate233 kernel: [239476.020336] Shorewall:mangle:INPUT:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=169.254.10.59 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=5500 DF PROTO=TCP SPT=49432 DPT=3128 WINDOW=8192 RES=0x00 SYN URGP=0
                              Sep 22 10:22:00 wiregate233 kernel: [239476.046947] Shorewall:filter:INPUT:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=169.254.10.59 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=5500 DF PROTO=TCP SPT=49432 DPT=3128 WINDOW=8192 RES=0x00 SYN URGP=0
                              
                              Sep 22 10:22:01 wiregate233 kernel: [239476.582540] Shorewall:mangle:PREROUTING:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=195.71.11.67 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=5501 DF PROTO=TCP SPT=49432 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
                              Sep 22 10:22:01 wiregate233 kernel: [239476.617743] Shorewall:nat:PREROUTING:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=195.71.11.67 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=5501 DF PROTO=TCP SPT=49432 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
                              Sep 22 10:22:01 wiregate233 kernel: [239476.644407] Shorewall:loc_dnat:REDIRECT:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=195.71.11.67 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=5501 DF PROTO=TCP SPT=49432 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
                              
                              Sep 22 10:22:01 wiregate233 kernel: [239476.644529] Shorewall:mangle:INPUT:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=169.254.10.59 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=5501 DF PROTO=TCP SPT=49432 DPT=3128 WINDOW=8192 RES=0x00 SYN URGP=0
                              Sep 22 10:22:01 wiregate233 kernel: [239476.671199] Shorewall:filter:INPUT:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=169.254.10.59 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=5501 DF PROTO=TCP SPT=49432 DPT=3128 WINDOW=8192 RES=0x00 SYN URGP=0
                              
                              Sep 22 10:22:01 wiregate233 kernel: [239476.965534] Shorewall:mangle:PREROUTING:IN=eth1 OUT= MAC=01:00:5e:7f:ff:fa:00:1e:6b:32:1c:2c:08:00 SRC=192.168.77.101 DST=239.255.255.250 LEN=553 TOS=0x00 PREC=0x60 TTL=1 ID=57265 PROTO=UDP SPT=1066 DPT=8082 LEN=533
                              Sep 22 10:22:01 wiregate233 kernel: [239476.992160] Shorewall:nat:PREROUTING:IN=eth1 OUT= MAC=01:00:5e:7f:ff:fa:00:1e:6b:32:1c:2c:08:00 SRC=192.168.77.101 DST=239.255.255.250 LEN=553 TOS=0x00 PREC=0x60 TTL=1 ID=57265 PROTO=UDP SPT=1066 DPT=8082 LEN=533
                              
                              Sep 22 10:22:03 wiregate233 kernel: [239478.499278] Shorewall:mangle:PREROUTING:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=192.168.2.4 LEN=58 TOS=0x00 PREC=0x00 TTL=128 ID=5502 PROTO=UDP SPT=59776 DPT=53 LEN=38
                              Sep 22 10:22:03 wiregate233 kernel: [239478.525895] Shorewall:nat:PREROUTING:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=192.168.2.4 LEN=58 TOS=0x00 PREC=0x00 TTL=128 ID=5502 PROTO=UDP SPT=59776 DPT=53 LEN=38
                              
                              Sep 22 10:22:03 wiregate233 kernel: [239478.552418] Shorewall:mangle:INPUT:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=192.168.2.4 LEN=58 TOS=0x00 PREC=0x00 TTL=128 ID=5502 PROTO=UDP SPT=59776 DPT=53 LEN=38
                              Sep 22 10:22:03 wiregate233 kernel: [239478.578926] Shorewall:filter:INPUT:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=192.168.2.4 LEN=58 TOS=0x00 PREC=0x00 TTL=128 ID=5502 PROTO=UDP SPT=59776 DPT=53 LEN=38
                              Sep 22 10:22:03 wiregate233 kernel: [239478.605474] Shorewall:loc2fw:ACCEPT:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=192.168.2.4 LEN=58 TOS=0x00 PREC=0x00 TTL=128 ID=5502 PROTO=UDP SPT=59776 DPT=53 LEN=38
                              
                              Sep 22 10:22:03 wiregate233 kernel: [239478.607325] Shorewall:mangle:PREROUTING:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=193.201.12.55 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=5503 DF PROTO=TCP SPT=49433 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
                              Sep 22 10:22:03 wiregate233 kernel: [239478.642591] Shorewall:nat:PREROUTING:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=193.201.12.55 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=5503 DF PROTO=TCP SPT=49433 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
                              Sep 22 10:22:03 wiregate233 kernel: [239478.669299] Shorewall:loc_dnat:REDIRECT:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=193.201.12.55 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=5503 DF PROTO=TCP SPT=49433 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
                              
                              Sep 22 10:22:03 wiregate233 kernel: [239478.669419] Shorewall:mangle:INPUT:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=169.254.10.59 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=5503 DF PROTO=TCP SPT=49433 DPT=3128 WINDOW=8192 RES=0x00 SYN URGP=0
                              Sep 22 10:22:03 wiregate233 kernel: [239478.696147] Shorewall:filter:INPUT:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=169.254.10.59 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=5503 DF PROTO=TCP SPT=49433 DPT=3128 WINDOW=8192 RES=0x00 SYN URGP=0
                              
                              Sep 22 10:22:04 wiregate233 kernel: [239479.234540] Shorewall:mangle:PREROUTING:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=193.201.12.55 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=5504 DF PROTO=TCP SPT=49433 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
                              Sep 22 10:22:04 wiregate233 kernel: [239479.269807] Shorewall:nat:PREROUTING:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=193.201.12.55 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=5504 DF PROTO=TCP SPT=49433 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
                              Sep 22 10:22:04 wiregate233 kernel: [239479.296548] Shorewall:loc_dnat:REDIRECT:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=193.201.12.55 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=5504 DF PROTO=TCP SPT=49433 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
                              
                              Sep 22 10:22:04 wiregate233 kernel: [239479.296670] Shorewall:mangle:INPUT:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=169.254.10.59 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=5504 DF PROTO=TCP SPT=49433 DPT=3128 WINDOW=8192 RES=0x00 SYN URGP=0
                              Sep 22 10:22:04 wiregate233 kernel: [239479.323403] Shorewall:filter:INPUT:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=169.254.10.59 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=5504 DF PROTO=TCP SPT=49433 DPT=3128 WINDOW=8192 RES=0x00 SYN URGP=0
                              
                              Sep 22 10:22:04 wiregate233 kernel: [239479.858515] Shorewall:mangle:PREROUTING:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=193.201.12.55 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=5505 DF PROTO=TCP SPT=49433 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
                              Sep 22 10:22:04 wiregate233 kernel: [239479.893808] Shorewall:nat:PREROUTING:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=193.201.12.55 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=5505 DF PROTO=TCP SPT=49433 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
                              Sep 22 10:22:04 wiregate233 kernel: [239479.920553] Shorewall:loc_dnat:REDIRECT:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=193.201.12.55 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=5505 DF PROTO=TCP SPT=49433 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
                              
                              Sep 22 10:22:04 wiregate233 kernel: [239479.920674] Shorewall:mangle:INPUT:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=169.254.10.59 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=5505 DF PROTO=TCP SPT=49433 DPT=3128 WINDOW=8192 RES=0x00 SYN URGP=0
                              Sep 22 10:22:04 wiregate233 kernel: [239479.947413] Shorewall:filter:INPUT:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=169.254.10.59 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=5505 DF PROTO=TCP SPT=49433 DPT=3128 WINDOW=8192 RES=0x00 SYN URGP=0
                              
                              Sep 22 10:22:04 wiregate233 kernel: [239479.974418] Shorewall:mangle:PREROUTING:IN=eth1 OUT= MAC=01:00:5e:7f:ff:fa:00:1e:6b:32:1c:2c:08:00 SRC=192.168.77.101 DST=239.255.255.250 LEN=553 TOS=0x00 PREC=0x60 TTL=1 ID=57268 PROTO=UDP SPT=1066 DPT=8082 LEN=533
                              Sep 22 10:22:04 wiregate233 kernel: [239480.001033] Shorewall:nat:PREROUTING:IN=eth1 OUT= MAC=01:00:5e:7f:ff:fa:00:1e:6b:32:1c:2c:08:00 SRC=192.168.77.101 DST=239.255.255.250 LEN=553 TOS=0x00 PREC=0x60 TTL=1 ID=57268 PROTO=UDP SPT=1066 DPT=8082 LEN=533
                              
                              Sep 22 10:22:06 wiregate233 kernel: [239481.587515] Shorewall:mangle:PREROUTING:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=192.168.2.4 LEN=73 TOS=0x00 PREC=0x00 TTL=128 ID=5506 PROTO=UDP SPT=54286 DPT=53 LEN=53
                              Sep 22 10:22:06 wiregate233 kernel: [239481.614175] Shorewall:nat:PREROUTING:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=192.168.2.4 LEN=73 TOS=0x00 PREC=0x00 TTL=128 ID=5506 PROTO=UDP SPT=54286 DPT=53 LEN=53
                              
                              Sep 22 10:22:06 wiregate233 kernel: [239481.640725] Shorewall:mangle:INPUT:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=192.168.2.4 LEN=73 TOS=0x00 PREC=0x00 TTL=128 ID=5506 PROTO=UDP SPT=54286 DPT=53 LEN=53
                              Sep 22 10:22:06 wiregate233 kernel: [239481.667258] Shorewall:filter:INPUT:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=192.168.2.4 LEN=73 TOS=0x00 PREC=0x00 TTL=128 ID=5506 PROTO=UDP SPT=54286 DPT=53 LEN=53
                              Sep 22 10:22:06 wiregate233 kernel: [239481.693812] Shorewall:loc2fw:ACCEPT:IN=eth0 OUT= MAC=00:0d:b9:0d:ea:fc:00:19:99:92:ee:08:08:00 SRC=192.168.2.135 DST=192.168.2.4 LEN=73 TOS=0x00 PREC=0x00 TTL=128 ID=5506 PROTO=UDP SPT=54286 DPT=53 LEN=53
                              Sep 22 10:22:06 wiregate233 kernel: [239481.697151] Shorewall:nat:OUTPUT:IN= OUT=eth1 SRC=192.168.77.102 DST=192.12.94.30 LEN=70 TOS=0x00 PREC=0x00 TTL=64 ID=5634 PROTO=UDP SPT=39775 DPT=53 LEN=50
                              Sep 22 10:22:06 wiregate233 kernel: [239481.723422] Shorewall:filter:OUTPUT:IN= OUT=eth1 SRC=192.168.77.102 DST=192.12.94.30 LEN=70 TOS=0x00 PREC=0x00 TTL=64 ID=5634 PROTO=UDP SPT=39775 DPT=53 LEN=50
                              
                              Sep 22 10:22:06 wiregate233 kernel: [239481.749604] Shorewall:mangle:POSTROUTING:IN= OUT=eth1 SRC=192.168.77.102 DST=192.12.94.30 LEN=70 TOS=0x00 PREC=0x00 TTL=64 ID=5634 PROTO=UDP SPT=39775 DPT=53 LEN=50
                              Sep 22 10:22:06 wiregate233 kernel: [239481.775915] Shorewall:nat:POSTROUTING:IN= OUT=eth1 SRC=192.168.77.102 DST=192.12.94.30 LEN=70 TOS=0x00 PREC=0x00 TTL=64 ID=5634 PROTO=UDP SPT=39775 DPT=53 LEN=50
                              Sep 22 10:22:06 wiregate233 kernel: [239481.804816] Shorewall:nat:OUTPUT:IN= OUT=eth1 SRC=192.168.77.102 DST=192.12.94.30 LEN=70 TOS=0x00 PREC=0x00 TTL=64 ID=5635 PROTO=UDP SPT=4328 DPT=53 LEN=50
                              Sep 22 10:22:06 wiregate233 kernel: [239481.822606] Shorewall:filter:OUTPUT:IN= OUT=eth1 SRC=192.168.77.102 DST=192.12.94.30 LEN=70 TOS=0x00 PREC=0x00 TTL=64 ID=5635 PROTO=UDP SPT=4328 DPT=53 LEN=50
                              
                              Sep 22 10:22:06 wiregate233 kernel: [239481.848848] Shorewall:mangle:POSTROUTING:IN= OUT=eth1 SRC=192.168.77.102 DST=192.12.94.30 LEN=70 TOS=0x00 PREC=0x00 TTL=64 ID=5635 PROTO=UDP SPT=4328 DPT=53 LEN=50
                              Sep 22 10:22:06 wiregate233 kernel: [239481.875166] Shorewall:nat:POSTROUTING:IN= OUT=eth1 SRC=192.168.77.102 DST=192.12.94.30 LEN=70 TOS=0x00 PREC=0x00 TTL=64 ID=5635 PROTO=UDP SPT=4328 DPT=53 LEN=50
                              Sep 22 10:22:06 wiregate233 kernel: [239481.904913] Shorewall:nat:OUTPUT:IN= OUT=eth1 SRC=192.168.77.102 DST=212.53.64.30 LEN=70 TOS=0x00 PREC=0x00 TTL=64 ID=52699 PROTO=UDP SPT=27172 DPT=53 LEN=50
                              Sep 22 10:22:06 wiregate233 kernel: [239481.931165] Shorewall:filter:OUTPUT:IN= OUT=eth1 SRC=192.168.77.102 DST=212.53.64.30 LEN=70 TOS=0x00 PREC=0x00 TTL=64 ID=52699 PROTO=UDP SPT=27172 DPT=53 LEN=50
                              
                              Sep 22 10:22:06 wiregate233 kernel: [239481.957445] Shorewall:mangle:POSTROUTING:IN= OUT=eth1 SRC=192.168.77.102 DST=212.53.64.30 LEN=70 TOS=0x00 PREC=0x00 TTL=64 ID=52699 PROTO=UDP SPT=27172 DPT=53 LEN=50
                              Sep 22 10:22:06 wiregate233 kernel: [239481.983616] Shorewall:nat:POSTROUTING:IN= OUT=eth1 SRC=192.168.77.102 DST=212.53.64.30 LEN=70 TOS=0x00 PREC=0x00 TTL=64 ID=52699 PROTO=UDP SPT=27172 DPT=53 LEN=50
                              Sep 22 10:22:06 wiregate233 kernel: [239482.012152] Shorewall:nat:OUTPUT:IN= OUT=eth1 SRC=192.168.77.102 DST=192.12.94.30 LEN=74 TOS=0x00 PREC=0x00 TTL=64 ID=5636 PROTO=UDP SPT=14954 DPT=53 LEN=54
                              Sep 22 10:22:06 wiregate233 kernel: [239482.038372] Shorewall:filter:OUTPUT:IN= OUT=eth1 SRC=192.168.77.102 DST=192.12.94.30 LEN=74 TOS=0x00 PREC=0x00 TTL=64 ID=5636 PROTO=UDP SPT=14954 DPT=53 LEN=54
                              ciao
                              Michael

                              Kommentar


                                #30
                                So,

                                ich hab mal kurz drüber geschaut und kann keinen Fehler in der iptables Konfiguration sehen.
                                Bist Du Dir sicher, dass du den Squid richtig als transparenten Proxy konfiguriert hast?
                                Als alles an einer Netzwerkkarte hing, muß es nicht funktioniert haben , sondern ist vielleicht am Proxy vorbei.
                                Wenn du den Proxy manuell einträgst, fungiert er auch nicht als transparenter Proxy.
                                Ich bin mir nicht sicher, aber früher mußte man in der squid.conf was ändern, damit der Pakete, die redirected wurden untersucht.
                                Du kannst auch einmal die Firewall auf Durchzug stellen, falls Du sichergehen willst - ich glaub aber nicht dran, da alle Pakete (bis auf 4, die wirklich geblockt werden sollten) irgendwo in eine ACCEPT-Regel reinfallen.
                                Alle DROP und REJECT Zähler sind ansonsten 0.
                                Code:
                                iptables -P INPUT ACCEPT; iptables -P FORWARD ACCEPT;\
                                iptables -P OUTPUT ACCEPT; iptables -F
                                Grüße,

                                Mathias

                                Kommentar

                                Lädt...
                                X