NAT+IPFW gegen Ebay+Paypal

[xff]

Hallo an Allen.

Schon seit 1 jahr habe ich d. seltsamen problem mit mein freebsd nat router.

Ich kann Paypal+Ebay (seiten die von VeriSign verifiziert sind) nicht öfnen.

Zuerst habe ich mir gedacht , dass es von meine ISP ist, aber nach ein test (hab direkt meine Windows machine an d. modem angeschlossen) hat sich herausgestellt , dass der problem bei d. freebsd router liegt.

Meine IPFW einstellungen:

faca# ipfw list
01000 divert 8668 ip from any to any
02000 allow ip from 62.178.40.225 to me
02001 allow ip from 66.135.0.0/16,216.113.0.0/16 to me
02002 allow ip from 212.21.135.3 to me
02003 allow ip from 80.109.70.180 to me
02004 allow ip from 69.125.236.243,84.244.153.157,193.171.251.38 to me
02005 allow ip from 192.168.0.0/16 to me
02006 allow ip from any to 192.168.1.3
04000 allow ip from any to me dst-port 6669,9000 setup keep-state
04001 allow ip from any to me dst-port 1024-2048 setup keep-state
64999 allow ip from any to any
65000 allow ip from any to any
65535 deny ip from any to any

und mein natd.conf

redirect_port tcp 192.168.1.3:51331-51337 51331-51337
redirect_port udp 192.168.1.3:51331-51337 51331-51337
redirect_port tcp 192.168.1.3:6588      6588
redirect_port tcp 192.168.1.3:8001 8001
redirect_port tcp 192.168.1.3:8080 8080
redirect_port tcp 192.168.1.3:59 59
redirect_port tcp 192.168.1.3:113 113
redirect_port tcp 192.168.1.3:1080 1080
redirect_port udp 192.168.1.3:1900 1900
redirect_port tcp 192.168.1.3:300 300
redirect_port tcp 192.168.1.3:1024-2048 1024-2048
redirect_port tcp 192.168.1.3:3024-4048 3024-4048
redirect_port tcp 192.168.2.3:1000-2000 1000-2000
#redirect_port tcp 192.168.2.3:113 113
redirect_port tcp 192.168.2.3:4444-4555 4444-4555
redirect_port udp 192.168.2.3:4444-4555 4444-4555
# Counter-Strike Tool HLSW
redirect_port udp 192.168.1.3:7130 7130
# shoutcast
redirect_port tcp 192.168.1.3:8000 8000

Hab auch mit ping und traceroute versucht:

[root@faca /etc]# ping www.ebay.at
PING hp-intl-other.ebay.com (66.135.200.16): 56 data bytes
^C
--- hp-intl-other.ebay.com ping statistics ---
5 packets transmitted, 0 packets received, 100% packet loss

[root@faca /etc]# traceroute www.ebay.at
traceroute: Warning: www.ebay.at has multiple addresses; using 66.135.210.64
traceroute to hp-intl-other.ebay.com (66.135.210.64), 64 hops max, 40 byte packets
 1  chello084112149001.20.11.vie.surfer.at (84.112.149.1)  7.513 ms  9.634 ms  6.312 ms
 2  at-vie-pe-sr11b-ge-3-3.upc.at (213.47.218.185)  7.012 ms  9.218 ms  9.461 ms
 3  213.47.218.137 (213.47.218.137)  9.845 ms  10.712 ms  9.368 ms
 4  at-vie01a-ra3-ge-6-1-0.aorta.net (213.46.173.109)  9.823 ms  19.934 ms  7.835 ms
 5  sk-bts01a-rd1-pos-0-0-0.aorta.net (213.46.160.6)  44.039 ms  49.530 ms  41.880 ms
 6  213.46.163.1 (213.46.163.1)  41.704 ms  43.731 ms  41.750 ms
 7  us-was02a-rd1-pos-1-0.aorta.net (213.46.160.106)  122.650 ms  123.878 ms  124.118 ms
 8  213.46.190.10 (213.46.190.10)  200.103 ms  197.796 ms  200.621 ms
 9  * * *
^C

Ich hoffe einer von euch kann mir helfen.
mfg, martin

 

[cla]

Du erwähnst nicht deinen Browser und dessen Sicherheitseinstellungen. Hast du einen Fehler bezüglich dessen ausgeschlossen?

 

[s-tlk]

Morgähn...
Also ein tracroute und ping auf ebay bringt nicht sehr viel, weil die keine echo-replies zurückschicken. Aber sonst sieht dein Traceroute ja schon mal ganz gut aus. Hast du auf deinem Windows die SPs installiert? Weil das klingt so nach diesem typischen Problem von Windows ohne SP, das er nicht über nat mit einigen Seiten umgehen kann. Du könntest auch mal lynx, oder links auf der FreeBSD Möhre installieren und gucken ob es da jedenfalls funktioniert. Als Alternative bietet sich natürlich auch PF an.
Naja das wären erstmal so die Sache, die ich probieren würde.

 

[xff]

a

Wie ich schon oben geschrieben hab , ich hab mein windows rechner direkt an den modem angeschlossen und die seiten (ebay+paypal) haben funktioniert, ohne irgendwelche einstellungen auf mein browser zu verändern.
D.h. es muss was von mein freebsd router sein. Vl. etwas für ipfw , was ich einstellen muss

mit lynx geht es auch nicht ... e

 

[peterle]

Ich würds an deiner Stelle mal mit einer Intervallschachtelung versuchen und den Fehler damit einkreisen.
Das geht vermutlich schneller, als alles andere.
Du klemmst deine BSDkiste an das große böse Netz, knipst erst mal dein NAT aus und dann der Reihe nach deine FW-Rules und wenn es plötzlich geht, weißt Du nach welchem Thema Du googlen mußt.

 

[crotchmaster]

Moin,

tritt das Problem nur bei https-Seiten auf? Ich frage das, das du von VeriSign-verifizierten Seiten sprichst.

Wenn es auch bei http-Zugriff passiert, habe ich ja den Verdacht, das es an DSL-Konfiguration liegen könnte. Ich komme nicht auf den genauen Namen, aber als Stichworte fallen mir MTU, MRU, mssclamp ein.

Dich als Österreicher interessiert wahrscheinlich nicht die Deutsche Bahn, aber bei mir war die Seite www.bahn.de auch so ein Kandidat, der nicht funktionierte, wenn die DSL-Konfiguration nicht stimmte.

Gruß c.

 

[CommanderZed]

Ich weis nicht wie das bei FreeBSD ist, aber wenn ich mit OpenBSD ein natendes-gateway erstellen will, muss ich die mtu per pf o.ä. anpassen!

 

[crotchmaster]

Also ob es unter FreeBSD auch über pf geht weiß ich jetzt garnicht, ich habe die Werte MRU und MTU (beide auf 1492) in /etc/ppp/ppp.conf gesetzt.

Gruß c.

 

[CommanderZed]

Also ob es unter FreeBSD auch über pf geht weiß ich jetzt garnicht, ich habe die Werte MRU und MTU (beide auf 1492) in /etc/ppp/ppp.conf gesetzt.

Gruß c.

Verwendest du den PC auch als NAT-Router?

 

[crotchmaster]

Verwendest du den PC auch als NAT-Router?

Ja, und nicht nur das.

Gruß c.

 

[Yamagi]

Falls du mpd4 nutzt fehlt dir in der Config ein
set iface enable tcpmssfix

HTH

 

[xff]

ich hab diese howto benutzt , mein router zu machen. http://faca.bot.nu/~martin/nat.htm

ich hoffe , dass hilft bei der problemlösung