|
|
 | | From: | Juergen Koenig | | Subject: | Wohin mit der Namensauflösung? | | Date: | Thu, 17 Jun 2004 17:09:59 +0200 |
|
|
 | Hi
Normalerweise gehen an unserer Schule Webaufrufe von dem WindowsClient
über den Proxyserver (Suse 9.0) an den Router (Fli4l) und dann ins Inet.
Nun liegen auf dem Rechner mit dem Proxyserver auch die Webseite (Apache
als Webserver) unserer Schule. Es funktioniert einwandfrei, wenn man die
Seite mit der hausinternen IP Adresse aufruft. Auch ein Aufruf von
draussen über www..de funktioniert einwandfrei. Macht man das
aber hausintern, so kommt nichts an. Nun kann ich eine DNS-Auflösung
machen
www..de 192.168.0.55 # IP des Proxy
Nur wo muss die hin?
/etc/hosts auf dem Suse-Rechner? Fragt der Proxy diese Datei ab?
Auf den Router?
Oder liege ich sogar völlig auf dem Holzweg?
Jürgen
|
|
| | From: | Stefan Heidrich | | Subject: | Re:_Wohin_mit_der_Namensauflösung? | | Date: | Fri, 18 Jun 2004 05:59:15 +0200 |
|
|
| Hallo Juergen,
> Nur wo muss die hin?
> /etc/hosts auf dem Suse-Rechner? Fragt der Proxy diese
> Datei ab?
nein, Du liegst richtig. Das muss in die /etc/hosts vom Rechner mit dem
Proxy. Nur anschließend nicht vergessen der Squid-Konfiguration auch zu
sagen, dass sie zuerst in der hosts und anschließend per DNS nachsehen darf.
Das machst Du über "dns_nameservers".
Viele Grüße
Stefan
--
PGP verfügbar
|
|
| | From: | Juergen Koenig | | Subject: | Re: Re:_Wohin_mit_der_Namensauflösung? | | Date: | Fri, 18 Jun 2004 12:46:22 +0200 |
|
|
| Am Fri, 18 Jun 2004 05:59:15 +0200 schrieb Stefan Heidrich:
> Hallo Juergen,
>
>> Nur wo muss die hin?
>> /etc/hosts auf dem Suse-Rechner? Fragt der Proxy diese
>> Datei ab?
>
> nein, Du liegst richtig. Das muss in die /etc/hosts vom Rechner mit dem
> Proxy. Nur anschließend nicht vergessen der Squid-Konfiguration auch zu
> sagen, dass sie zuerst in der hosts und anschließend per DNS nachsehen darf.
> Das machst Du über "dns_nameservers".
Funktioniert. Danke
Juergen
|
|
| | From: | Hendrik Sattler | | Subject: | Re: Wohin mit der Namensauflösung? | | Date: | Thu, 17 Jun 2004 18:39:36 +0200 |
|
|
| Juergen Koenig wrote:
> Normalerweise gehen an unserer Schule Webaufrufe von dem WindowsClient
> über den Proxyserver (Suse 9.0) an den Router (Fli4l) und dann ins Inet.
> Nun liegen auf dem Rechner mit dem Proxyserver auch die Webseite (Apache
> als Webserver) unserer Schule. Es funktioniert einwandfrei, wenn man die
> Seite mit der hausinternen IP Adresse aufruft. Auch ein Aufruf von
> draussen über www..de funktioniert einwandfrei. Macht man das
> aber hausintern, so kommt nichts an.
Das ist allerdings seltsam und deutet auf eine bereits vorhandene
Fehlkonfiguration hin.
> Nun kann ich eine DNS-Auflösung machen
> www..de 192.168.0.55 # IP des Proxy
> Nur wo muss die hin?
> /etc/hosts auf dem Suse-Rechner?
Wenn man nur den Proxy benutzt, könnte das klappen. Ein direktes Ansprechen
der externen IP-Adresse geht dann allerdings immernoch nicht.
> Fragt der Proxy diese Datei ab?
Das kommt auf den Inhalt von /etc/nsswitch.conf an.
> Auf dem Router?
Man kann die Ziel-IP auch direkt umrouten. Eine Host-Route sollte da schon
reichen, um den Weg zu optimieren.
> Oder liege ich sogar völlig auf dem Holzweg?
Immerhin wurde schon mehr als ein Lösungsweg in Betracht gezogen. Allerdings
wäre eine genaue Prüfung, woran es wirklich liegt, wohl mal angesagt.
HS
|
|
| | From: | Juergen Koenig | | Subject: | Re: Wohin mit der Namensauflösung? | | Date: | Thu, 17 Jun 2004 19:48:00 +0200 |
|
|
| Am Thu, 17 Jun 2004 18:39:36 +0200 schrieb Hendrik Sattler:
> Juergen Koenig wrote:
>> Normalerweise gehen an unserer Schule Webaufrufe von dem WindowsClient
>> über den Proxyserver (Suse 9.0) an den Router (Fli4l) und dann ins
>> Inet. Nun liegen auf dem Rechner mit dem Proxyserver auch die Webseite
>> (Apache als Webserver) unserer Schule. Es funktioniert einwandfrei,
>> wenn man die Seite mit der hausinternen IP Adresse aufruft. Auch ein
>> Aufruf von draussen über www..de funktioniert einwandfrei.
>> Macht man das aber hausintern, so kommt nichts an.
>
> Das ist allerdings seltsam und deutet auf eine bereits vorhandene
> Fehlkonfiguration hin.
Von wem? Router, Proxy, Client? Ich tippe mal auf Router, denn ich habe
zwei Hardwarerouter von Netgear zum Verlgeich. Der eine kanns's, der
andere nicht.
>> Nun kann ich eine DNS-Auflösung machen www..de 192.168.0.55
>> # IP des Proxy Nur wo muss die hin?
>> /etc/hosts auf dem Suse-Rechner?
>
> Wenn man nur den Proxy benutzt, könnte das klappen.
Alles Surfaukommen muss über den Proxy.
> Ein direktes
> Ansprechen der externen IP-Adresse geht dann allerdings immernoch nicht.
Mißverständnis? interne IP-Adresse
>> Fragt der Proxy diese Datei ab?
>
> Das kommt auf den Inhalt von /etc/nsswitch.conf an.
Da steht 'hosts: files dns'. Wenn ich das also richtig verstanden habe,
wird zunächst der lokale File abgefragt und dann erst ein Nameserver.
>> Auf dem Router?
>
> Man kann die Ziel-IP auch direkt umrouten. Eine Host-Route sollte da
> schon reichen, um den Weg zu optimieren.
Das verstehe ich jetzt nicht. Könntest Du etwas präziser sein? Danke.
Gruss
Juergen
|
|
| | From: | Hendrik Sattler | | Subject: | Re: Wohin mit der Namensauflösung? | | Date: | Fri, 18 Jun 2004 01:08:47 +0200 |
|
|
| Juergen Koenig wrote:
> Am Thu, 17 Jun 2004 18:39:36 +0200 schrieb Hendrik Sattler:
>
>> Juergen Koenig wrote:
>>> Normalerweise gehen an unserer Schule Webaufrufe von dem WindowsClient
>>> über den Proxyserver (Suse 9.0) an den Router (Fli4l) und dann ins
>>> Inet. Nun liegen auf dem Rechner mit dem Proxyserver auch die Webseite
>>> (Apache als Webserver) unserer Schule. Es funktioniert einwandfrei,
>>> wenn man die Seite mit der hausinternen IP Adresse aufruft. Auch ein
>>> Aufruf von draussen über www..de funktioniert einwandfrei.
>>> Macht man das aber hausintern, so kommt nichts an.
>>
>> Das ist allerdings seltsam und deutet auf eine bereits vorhandene
>> Fehlkonfiguration hin.
>
> Von wem? Router, Proxy, Client? Ich tippe mal auf Router, denn ich habe
> zwei Hardwarerouter von Netgear zum Verlgeich. Der eine kanns's, der
> andere nicht.
Ja was nun, Hardwarerouter oder fli4l?
>> Ein direktes
>> Ansprechen der externen IP-Adresse geht dann allerdings immernoch nicht.
>
> Mißverständnis? interne IP-Adresse
Nein, nochmal als Zitat:
"Auch ein Aufruf von draussen über www..de funktioniert
einwandfrei. Macht man das aber hausintern, so kommt nichts an. Nun kann
ich eine DNS-Auflösung machen
www..de 192.168.0.55 # IP des Proxy
Nur wo muss die hin?"
Daraus lese ich, daß das Ansprechen der internen IP von intern geht, das
ansprechen der externen IP von intern geht nicht?
>>> Fragt der Proxy diese Datei ab?
>>
>> Das kommt auf den Inhalt von /etc/nsswitch.conf an.
>
> Da steht 'hosts: files dns'. Wenn ich das also richtig verstanden habe,
> wird zunächst der lokale File abgefragt und dann erst ein Nameserver.
Ja, wenn die Funktionen der glibc benutzt werden.
>>> Auf dem Router?
>>
>> Man kann die Ziel-IP auch direkt umrouten. Eine Host-Route sollte da
>> schon reichen, um den Weg zu optimieren.
>
> Das verstehe ich jetzt nicht. Könntest Du etwas präziser sein? Danke.
Du kannst bei einem Router Routen setzen (primärer Einsatzzweck). Das kann
man auch manuell machen und somit eine bestimmte IP an einen bestimmten
Ausgang schicken.
Beispiel meines Routers:
# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 ippp0
193.158.135.113 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.37.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 193.158.135.113 0.0.0.0 UG 0 0 0 ppp0
Da kann man jetzt auch
route add -host 1.2.3.4 eth0
eine manuelle Route setzen:
1.2.3.5 0.0.0.0 255.255.255.255 UH 0 0 0 eth0
Damit kann dem Proxy auch das Ziel egal sein, weil diese IP niemals das
interne Netz verläßt (außer man benutzt einen externen Proxy oder einen
Tunnel in ein Drittnetz) :)
HS
|
|
| | From: | Juergen Koenig | | Subject: | Re: Wohin mit der Namensauflösung? | | Date: | Fri, 18 Jun 2004 07:25:39 +0200 |
|
|
| Am Fri, 18 Jun 2004 01:08:47 +0200 schrieb Hendrik Sattler:
>> Von wem? Router, Proxy, Client? Ich tippe mal auf Router, denn ich habe
>> zwei Hardwarerouter von Netgear zum Verlgeich. Der eine kanns's, der
>> andere nicht.
>
> Ja was nun, Hardwarerouter oder fli4l?
Ich will einen fli4l Router ans Laufen bekommen und habe aus der Zeit
vorher einen Hardwarerouter von Netgear sowohl privat als auch dienstlich.
Mit denen habe ich das früher schon mal ausprobiert.
>>> Ein direktes
>>> Ansprechen der externen IP-Adresse geht dann allerdings immernoch nicht.
>>
>> Mißverständnis? interne IP-Adresse
> Daraus lese ich, daß das Ansprechen der internen IP von intern geht, das
> ansprechen der externen IP von intern geht nicht?
.... der externen Webadresse, die dann auf die IP des Routers verwiesen
wird und dann per Forwarding auf die interne IP Adresse des Servers
geleitet wird funktioniert nicht. Der 314 von Netgear kann es, der 311er
nicht. Aber am einfachsten wäre es die Anfrage ginge gar nicht erst raus.
Daher meine Frage, wo die Auflösung intern hin muss, damit sie gar nicht
ererst raus geht.
>>
>>>> Auf dem Router?
>>>
>>> Man kann die Ziel-IP auch direkt umrouten. Eine Host-Route sollte da
>>> schon reichen, um den Weg zu optimieren.
>>
>> Das verstehe ich jetzt nicht. Könntest Du etwas präziser sein? Danke.
>
> Du kannst bei einem Router Routen setzen (primärer Einsatzzweck). Das kann
> man auch manuell machen und somit eine bestimmte IP an einen bestimmten
> Ausgang schicken.
Ich vermute, dass man das bei fli4l auch manuell kann. Nur was ist nach
einem Reboot des Routers. Ich ahbe in der Doku bisher nichts zu diesem
Thema gefunden.
Gruss
Juergen
|
|
| | From: | Hendrik Sattler | | Subject: | Re: Wohin mit der Namensauflösung? | | Date: | Fri, 18 Jun 2004 14:22:11 +0200 |
|
|
| Juergen Koenig wrote:
> Am Fri, 18 Jun 2004 01:08:47 +0200 schrieb Hendrik Sattler:
>> Daraus lese ich, daß das Ansprechen der internen IP von intern geht, das
>> ansprechen der externen IP von intern geht nicht?
>
> ... der externen Webadresse, die dann auf die IP des Routers verwiesen
> wird und dann per Forwarding auf die interne IP Adresse des Servers
> geleitet wird funktioniert nicht. Der 314 von Netgear kann es, der 311er
> nicht.
Das ist so der Unterschied zwischen Produkten ;)
> Aber am einfachsten wäre es die Anfrage ginge gar nicht erst raus.
> Daher meine Frage, wo die Auflösung intern hin muss, damit sie gar nicht
> ererst raus geht.
Genau das meinte ich.
>>>>> Auf dem Router?
>>>> Man kann die Ziel-IP auch direkt umrouten. Eine Host-Route sollte da
>>>> schon reichen, um den Weg zu optimieren.
>>>
>>> Das verstehe ich jetzt nicht. Könntest Du etwas präziser sein? Danke.
In deinem Setup kannst du mit iptables (der Paketfilter von fli4l) allen
Traffic an Port 80 des Webservers der vom internen Interface kommt gleich
auf den Webserver umleiten. Damit verläßt er niemals das eigene Netz (auch
nicht, wenn man die IP statt des Namens angibt).
>> Du kannst bei einem Router Routen setzen (primärer Einsatzzweck). Das
>> kann man auch manuell machen und somit eine bestimmte IP an einen
>> bestimmten Ausgang schicken.
>
> Ich vermute, dass man das bei fli4l auch manuell kann. Nur was ist nach
> einem Reboot des Routers. Ich ahbe in der Doku bisher nichts zu diesem
> Thema gefunden.
fli4l ist ja eher selten auf einem read-only-Medium untergebracht. Sowas
kann man auch seinen Bedürfnissen anpassen, was ja gerade der Vorteil
gegenüber einem Hardware-Router ist.
Wenn du es ganz exklusiv haben willst, kannst du allen Traffic auf z.B. Port
80 transparent auf deinen internen Proxy umleiten (transparent proxy), es
sei denn, das Paket kommt vom internen Proxy. Somit kann auch ohne
spezielle Verkabelung der interne Proxy nicht umgangen werden :)
Proxy und Router müssen dazu nicht derselbe Rechner sein.
Beide diese Regeln ähneln sich sogar sehr.
HS
|
|
|
