Problem mit IPFilter seit Sol9

[erisch]

Hallo

Ich hab jetzt auf meinem Internet-Gateway von Solaris 7 auf 9 umgestellt und dachte eigentlich, dass ich wohl damit schnell fertig bin.
Dem war aber nicht so.

Zuerst ist mir ständig der Kernel abgeschmiert wenn ich IPFilter an das sppp0 Device hängen wollte. Und zwar so, dass in manchen Fällen sogar das Dateisystem nachher zerstört war.
Das hab ich dann nach etlichen Versuchen (Zeitrahmen etwa 1Tag) hingekriegt.
IPFilter läuft jetzt, allerdings komm ich aus dem Netzwerk auf manche Seiten einfach nicht mehr drauf, z.B. ebay, oder fsret.de (Fachschaftsrat meiner Uni)
Vom Gateway selber funktionierts. Deswegen dachte ich, dass es am NAT liegt, aber wenn ich eine "pass in quick all" Regel ganz vorn in die ipf.conf setze gehts auch.
Ich hab mir dann mal mit Ethereal angeschaut, woran es liegen könnte, hab aber nichts feststellen können. Die Seiten schicken dann einfach "HTTP Request zu Ende" obwohl normalerweise noch Content kommen müsste.

Ich hab mal meine ipnat.conf und ipf.conf angehängt. Es sind übrigens die selben die mit Solaris 7 und rp-pppoe einwandfrei funktioniert haben.
Jetzt hab ich die SUNWpppd* Pakete drauf.

ipnat.conf:

Code: [Auswählen]


map sppp0 192.168.0.0/24 -> 0/32 proxy port ftp ftp/tcp
map sppp0 192.168.0.0/24 -> 0/32 portmap tcp/udp 10000:40000
map sppp0 192.168.0.0/24 -> 0/32


ipf.conf:

Code: [Auswählen]


block  in                 on  sppp0  all
block  in       quick  on  sppp0  from  192.168.0.0/16  to  any
block  in       quick  on  sppp0  from  172.16.0.0/12  to  any
block  in       quick  on  sppp0  from  10.0.0.0/8  to  any
block  in       quick  on  sppp0  from  127.0.0.0/8  to  any
block  in       quick  on  sppp0  from  0.0.0.0/8  to  any
block  in       quick  on  sppp0  from  169.254.0.0/16  to  any
block  in       quick  on  sppp0  from  192.0.2.0/24  to  any
block  in       quick  on  sppp0  from  204.152.64.0/23  to  any
block  in       quick  on  sppp0  from  224.0.0.0/3  to  any
block  in  log  quick  on  sppp0  from  20.20.20.0/24  to  any
block  in  log  quick  on  sppp0  from  any  to  192.168.0.0/32
block  in  log  quick  on  sppp0  from  any  to  192.168.0.255/32
pass    out     quick  on  sppp0  proto  tcp/udp  from  any  to  any  keep  state
pass    out     quick  on  sppp0  proto  icmp     from  any  to  any  keep  state
pass    in      quick  on  sppp0  proto  tcp      from  any  to  any  port  = 80  flags  S  keep  state
pass    in      quick  on  sppp0  proto  icmp     from  any  to  any  icmp-type 0
pass    in      quick  on  sppp0  proto  icmp     from  any  to  any  icmp-type 11


Mfg. Erisch

Nachtrag:

Es scheint doch am NAT zu liegen, manche Seiten gehen auch mit deaktivierter Firewall nicht.
Ich habe IPFilter nochma runtergehauen und neu installiert, hat aber alles keinen Erfolg gebracht.
Es scheint so als würde er manche Pakete einfach so fallen lassen. Aber warum funktionieren etwa 80% der WWW-Seiten ganz normal und manche gehen einfach nicht. Das versteh ich nicht.

Vielen Dank

Mfg. Erisch

[erisch]

Also ich habs geschafft. Dank eines Tips hab ich nun den Grund gefunden.

Die MTU war zu hoch eingestellt.

Ich hab jetzt mittels einer mssclamp Anweisung die MTU der geNATeten Rechner heruntergesetzt. Nun funktionierts einwandfrei.

Mfg. Erisch

[mvsparky]

Vom Gateway selber funktionierts. Deswegen dachte ich, dass es am NAT liegt, aber wenn ich eine "pass in quick all" Regel ganz vorn in die ipf.conf setze gehts auch.

an die mtu dachte ich auch zuerst, aber die aussage oben hat mich verwirrt.

gruß
yves

[erisch]

Das hat mich eben auch gewundert.
Aber es war echt so bei einer Seite, die ging mit 1500er MTU und ohne Firewall. Mit Firewall ging sie nicht.
Aber eBay funktionierte überhauptnicht, mit oder ohne Firewall.

Hauptsache jetzt gehts