Debian fehlerhafte Bridge Konfiguration

[MaXg]

Ich glaub das ist mein erster Beitrag in der Linuxecke.

Es geht hier um ein Testsystem, an dem ich schon paar Wochen Basteln tue.
Das Teil soll - wenn es mal läuft - als transparente Bridge mit Squid, Dansguardian und ClamAV als Virenscanner seinen Dienst verrichten.

Funktion und vor allem Feintuning des Squid/Dansguardian bin ich durch.

Habe mit festen IP's auf einer Netzwerkkarte gearbeitet.

Jetzt soll noch die Bridge rein und bin mit meinem Latein am Ende.

Die Bridge arbeitet Astrein bis zu der Stelle, wo ich den Datenverkehr auf die Bridge umbiege:

iptables -t nat -A PREROUTING -m physdev --physdev-in eth0 -p tcp --dport 80 -j REDIRECT --to-port 8181

Das ist der einzige(!) iptables eintrag, der sonstige Datenverkehr geht ungehindert durch die bridge.

Funktionieren tut er sogar. Die Pakete an port 80 werden auf 8181 umgebogen -> Dansguard reagiert.

Beim Aufruf von https://www.supernature-forum.de/forum.php
Da steht dann -Seite nicht gefunden-- konnte /forum.php nicht finden.

Aus irgendeinem Grund fehlt "https://www.supernature-forum.de"
Das Betrifft alle Webseiten und auch den Aufruf mit IP's http://12.34.56.78/forum.php

Bridgeconfig (manuell)

brctl addbr br0
brctl addif br0 eth0
brctl addif br0 eth1
ifconfig eth0 0.0.0.0
ifconfig eth1 0.0.0.0
ip link up eth0
ifconfig br0 192.168.0.250 netmask 255.255.255.0 broadcast 192.168.0.255
ip addr add 192.168.0.0/24 dev br0

 

[Las_Bushus]

dann stimmt im squid was noch nicht. Weil das hat dann nix mit dem Routing zu tun sondern was damit wie der Proxy das ganze weiterleitet/sucht.

ich kenn jetzt leider Dansguardian nicht aber wenn beim umleiten/weiterleiten was fehlt wird irgendwo ein Teil der Domain Weggeschnippelt. und das halt entweder im Squid oder im Dansguardian (wenn man da sowas kann)

 

[MaXg]

Jo, wenn ich auf Squid umleite, sind die urls auch verkürzt.
Ich schau mir das an.
Danke!

 

[MaXg]

Jetzt hab ich Kopfschmerzen.

An der Squidkonfiguration lag es gleich mehrfach.

Zum einen muss ich dem Transparenten Squid(3) mitteilen das er einer ist.
[http_port 3128 transparent]

Zum anderen scheint der Squid3 nicht mit Dansguardian zusammen Arbeiten zu können/wollen.
__________

Nach einem Downgrade auf Squid Version 2.6 und den nötigsten Einstellungen klappt es auch mit der Bridge über Dansguardian.

Danke für den Squid Tip.

Der iptables Eintrag ist ja auch verkehrt.

 

[Las_Bushus]

Bitte gerne,

Wärst du so nett für uns nochmal so ungefair zu schreiben was man wie einstellen soll damit es geht? (ein mini how-to wäre genial)

Danke,
Las_Bushus

 

[MaXg]

Update:

Die Kiste war soweit fertig.
Um die letzten Zweifel auszuräumen habe ich nur einen kleinen Datenschrank und nicht das ganze Haus drangestöpselt.

Es funktionierte bis auf einige nicht nachvollziehbare Netzwerkfehlerchen.
In Zahlen ausgedrückt und hochgerechnet sind das ~160 Fehler bei ~1.4M Paketen.

Passiert ist das nur bei den "VIP" Benutzern und das auch noch sporadisch. Ich konnte das noch nicht mal auf ein Protokoll oder einen Dienst eingrenzen. Es war einfach alles vertreten.

Das Ding muss aber 100% bringen, anfassen wollte ich es später auch nicht mehr.

Beim Grübeln fiel mir ein das da noch 2 ungenutzte Ports an der Astaro Firewall sein müssten....

Da hab ich auf die Schnelle die Bridge rausgenommen, als Optimist eine ganze Etage angestöpselt, per Richtlinie den neuen Proxy bekannt gegeben um einen Tag später den Routing Eintrag in der FW zu killen.

Funktioniert 1a!

Vorteil dieser "Notlösung":
Keine Umkonfiguration der Clients, kein persönlicher Kontakt mit Benutzern (und damit keine dummen Fragen)

Überrascht hat mich die Systemlast auf dem "Testsystem" im normalen Betrieb.

Zu Stoßzeiten (zZt. 90 Clients) kommt die Kiste mit ihrem 3Ghz 1Kern im 5min. Schnitt auf 75% CPU Last.

Die ultimative Maschine kommt dann in paar Wochen. Das wird dann auch richtig Dokumentiert.