Ein kurzes Feedback.
Ich bleibe erstmal bei der 2.5.2. Die 3er läuft zwar, aber ich bekomme die Firewallregeln nicht übertragen und der Proxy tut sich auch schwer. Ich habe auch noch nicht gefunden woran es hapert. Der Umstieg dauert noch.
Viele Grüße
Thomas
Meine Firewall läuft seit fast fünf Jahren auf einem Hypervisor von Vmware. Zuerst unter Esx4 auf einem Atom230 und seit drei Jahren unter Esx5 auf einem Celeron G530. Die Performance ist bei drei, mittlerweile nur noch zwei Nutzern in Ordnung. Da das Ganze auf einem itx-Board läuft halten sich Stromverbrauch und Lautstärke in Grenzen. Probleme mit Hardwareverträglichkeit ist auf den Hypervisor ausgelagert. Aber das MSI Board wird von Esx unterstützt und verträgt auch schnellere Prozessoren und bis zu 16GB Ram. Ein PCIe Slot erlaubt den Einbau einer zusätzlichen Netzwerkarte. Hier habe ich eine Dualport von Intel mit Gigabit eingebaut. Ich bin sehr zufrieden mit dem Konstrukt, zumal ja der Hypervisor weitere Maschinen wie DC, Mediaserver, Deploymentserver, WSUS u.s.w erlaubt. Es ist sogar möglich mehrere Endian(s/e) parallel zu betreiben.
Für den professionellen Betrieb kann man ja performantere Hardware einsetzen. Für den Heimbetrieb reicht die beschriebene Hardware jedoch völlig aus. Für mich war eben der Preis ausschlaggebend.
Viele Grüße
Thomas
Da habe ich ja einiges zum Lesen. Vielen Dank für die Links. Dann werde ich mich mal aufmachen eine neue Maschine zu installieren. Hoffentlich klappt die Installation jetzt unter ESXi 5
Viele Grüße
Thomas
Danke für den Tipp. Mit -s konnte ich den richtigen Channel auswählen. Die Upgrade lief auch durch, aber ich bin heilfroh einen Snapshot vor dem Upgrade gemacht zu haben.
Die Seiten im Browser wurden nur im IE unter der Kompalibilitätsansicht richtig angezeigt. In der Konsole wurde ein fehlendes css angemeckert. Der Proxy lief nicht. Alle Webfilter-Regeln verschwunden. Die URL Filter konnten nicht runtergeladen werden. Ich werden mal eine Neuinstallation probieren und ein Backup der 2.5.2 einspielen.
Viele Grüße aus dem winterlichen Peine
Thomas
Stimmt. Aber wie ändere ich das?
Viele Grüße
Thomas
Guten Abend Zusammen,
root@xxxxxxxxxx:~ # efw-upgrade -devel +++ Try to upgrade efw-upgrade itself Loading cache... Updating cache... ######################################## [100%] Fetching information for 'efw-community'... -> http://xxxxxx@xxxxxxx.xxxxxx:*@updates.endian.org/stable/.../repomd.xml repomd.xml ######################################## [ 50%] Updating cache... ######################################## [100%] Channels have no new packages. Loading cache... Updating cache... ######################################## [100%] Computing transaction... No interesting upgrades available. Computing transaction... No interesting upgrades available. +++ Run post upgrade hooks /etc/upgrade/upgrade.d/migration: endian.backup.migration.step__efw_backup__any: OK --- Found: 1 OK: 1
Das wird mir im Terminal angezeigt wenn ich efw-upgrade eingebe. Was mache ich falsch?
Moin,
da die Sufu keine Ergebnisse geliefert hat und auch Google nicht hilfreich war hat vielleicht jemand von Euch eine Antwort. Wie es der Betreff schon vermuten lässt möchte ich den Dyndns von Strato nutzen. Leider finde ich keine Stelle im UI in der ich die URL https://dyndns.strato.com/nic/update eingeben kann. Hat jemand eine Idee?
Viele Grüße
Thomas
PS: Vor Rumfrickeln in den config-Dateien hab ich keine Angst.
So wie ich das sehe, mußt du über den Menüpunkt "Netzwerk, Schnittstellen, Uplink Editor" für jede rote Karte einen Uplink mit einem Namen anlegen. Danach kannst Du für jden Uplink ein Port forwarding für die Uplinks auf deine Server einrichten. Damit sollten sie von aussen mit der ISP IP Adresse erreichbar sein.
viele Grüße
Thomas
Hallo liebe Efw Gemeinde,
beim Aufruf mancher Seiten bekommt man den o. g. Fehler. Die Seite ist einfach nicht aufrufbar. Nach wochenlangen Recherchen habe ich jetzt die Lösung gefunden. Auf der Seite http://www.comfsm.fm/computing/squid/FAQ-14.html findet sich der Hinweis. (Einfach nach 110 suchen).
Can't connect to some sites through Squid
When using Squid, some sites may give erorrs such as ``(111) Connection refused'' or ``(110) Connection timed out'' although these sites work fine without going through Squid.
Some versions of linux implement Explicit Congestion Notification (ECN) and this can cause some TCP connections to fail when contacting some sites with broken firewalls or broken TCP/IP implementations.
To work around such broken sites you can disable ECN with the following command:
echo 0 > /proc/sys/net/ipv4/tcp_ecn
Found this on the FreeBSD mailing list:
From: Robert Watson
As Bill Fumerola has indicated, and I thought I'd follow up in with a bit more detail, the behavior you're seeing is the result of a bug in the FreeBSD IPFW code. FreeBSD did a direct comparison of the TCP header flag field with an internal field in the IPFW rule description structure. Unfortunately, at some point, someone decided to overload the IPFW rule description structure field to add a flag representing "ESTABLISHED". They used a flag value that was previously unused by the TCP protocol (which doesn't make it safer, just less noticeable). Later, when that flag was allocated for ECN (Endpoint Congestion Notification) in TCP, and Linux began using ECN by default, the packets began to match ESTABLISHED rules regardless of the other TCP header flags. This bug was corrected on the RELENG_4 branch, and security advisory for the bug was released. This was, needless to say, a pretty serious bug, and good example of why you should be very careful to compare only the bits you really mean to, and should seperate packet state from protocol state in management structures, as well as make use of extensive testing to make sure rules actually have the effect you describe.
See also the thread on the NANOG mailing list, RFC3168 "The Addition of Explicit Congestion Notification (ECN) to IP, PROPOSED STANDARD" or Sally Floyd's page on ECN and problems related to itInformationen dazu in Wiki: http://de.wikipedia.org/wiki/Explicit_…on_Notification
Auf der endian lässt sich durch den Aufruf: echo 0 > /proc/sys/net/ipv4/tcp_ecn das ECN abschalten. Danach lassen sich diese Seiten aufrufen.
Viele Grüße
Thomas
Nachdem ich jetzt den ganzen Nachmittag gesucht habe, bin ich wohl fündig geworden. Lt. http://bugs.endian.com/view.php?id=3267 läuft das Script rrdfix.sh alle fünf Minuten und verursacht die Prozessorlast. Was das Script macht weiß ich noch nicht, aber das rauszubekommen kann ja nicht so schwer sein.
In Version 2.3 war noch ein Fehler, dieser ist aber jetzt gefixt.
# Removed /var/ntop due to http://bugs.endian.com/view.php?id=3267
# Old DIRS="/var/log/rrd/ /var/ntop/ /var/lib/collectd/rrd/"
DIR_1="/var/log/rrd/"
DIR_2="/var/ntop/"
DIR_3="/var/lib/collectd/rrd/"
...Viele Grüße
Thomas
Moin,
das gleiche Verhalten habe ich bei bei mir auch.
Bei mir sind es halt 5 Minuten. Das muss irgendwas mit Log schreiben zu tun haben, da die Festplattenzugriffe die gleiche Charakteristik zeigen.
viele Grüße
Thomas
Ok danke für die Antwort. Wie ich lese, kommt der Kernel nicht gut mit den neuen Ivy Bridges klar.
Wie viel Sinn mach es, das ganze auf einem ESXi zu installieren?
Läuft das stabil?
Ich habe das Ganze jetzt seit zwei über zwei Jahren auf ESX am laufen. Auf der alten HW mit D230 Prozessor litt die Perfomance, aber mit der neuen HW ESXi5, G530 Dual Core und 8GB Ram läuft es super. Allerdings ist bei mir daheim auch nicht so viel Netzwerklast, nur drei Leute schauen TV und Videos, spielen MMO und surfen gleichzeitig. Der Vorteil der ESX Variante ist die gute Überwachungsmöglichkeit.
Diagramm mal so auf die Schnelle.
/edit: Hab ich vergessen zu erwähnen. Der Stromverbrauch liegt bei 30W - 40W. Die Auswahl des Motherboards war echt schwierig, weil ESX offiziell nur ganz bestimmte HW supportet.
Viele Grüße
Thomas
Hallo Zusammen,
eine bestimmte Seite kann ich nicht aufrufen, wenn der Proxy an ist. Die URL der Seite lautet: http://www.hs-hannover.de/studierendenve…hren/index.html . Auch die anderen Seiten "zicken" rum. Versucht man die Seite zu öffnen, dauert es ewig und dann meldet sich squid mit einer Fehlermeldung mit dem Tenor: Connection timed out. Schalte ich den Proxy aus - alles ok. Der Aufruf der Seite durch einen VPN Tunnel zu meiner Firma - alles ok.
Contentfilter - an/aus/Seite rein/raus getestet - ohne Erfolg
Hat jemand eine Idee?
viele Grüße
Thomas
Moin,
den Fehler hatte ich auch. Ich konnte z.B kein SWTOR spielen. Im Log File stand dann genau diese Meldung. Wenn man danach googled erhält nan eine ganze Menge Treffer.
http://kb.open-e.com/ClamAV-detecte…table_1123.html scheint mir am plausibelsten. Ich habe, leider schon ne Weile her, irgendwo das Template entsprechend geändert und Ruhe is.
/edit: modifies the clamd.conf and changes DetectBrokenExecutables parameter to "no".
Viele Grüße
Thomas
Hallo Gomi,
also wenn ich Dich richtig verstanden habe hast Du folgende Konfiguration:
Einen Rechner mit zwei Netzwerkkarten.
Eine Netzwerkkarte (NIC) wird von der FW mit dem roten Netzverbunden und bekommt die IP Adresse vom Provider zb. "77.irgendwas.undso.weiter" zugewiesen. Über diese NIC sollte überhaupt kein Zugriff auf die Gui möglich sein.
Der zweiten NIC wird der Name GREEN zugewiesen und in der GUI ein Netz verpasst. zb 192.168.x.0/24, die 10er und 172er Netze gehen auch. An diese NIC wird auch der Switch und darüber auch alle anderen Rechner angeschlossen. Die endian ist dann das Gateway über das die Rechner ins externe, ROTE, Netz geroutet, daher der Name, werden. Das Gateway hat die Adresse, die Du bei der Netzwerkkonfiguration für das grüne Netz angibst. Dies ist auch die Adresse mit der die GUI erreicht werden kann. Wenn Du das so konfiguriert hast klappt auch alles wunderbar.
Die Frage, die sich mir bei Deiner Frage stellt: Was möchtest Du denn an der NIC ins grüne Netz denn alles konfigurieren?
Viele Grüße
Thomas
Moin,
auf meiner FW habe ich jetzt snort aktiviert. Dazu habe ich ein paar Fragen.
Wie kann ich testen ob snort funktioniert?
- Portscans von außen werden irgendwie nicht angezeigt. Müssten doch aber oder?
Sollte snort nicht das "rote" Interface überwachen?
- im Log zeigt er bei mir >>snort (23571) Initializing Network Interface br0<< an. Irgendwie komisch.
Das Log ist völlig leer. Bedeutet das, meine FW wird nicht angegriffen? Das kann ich mir kaum vorstellen.
/edit
Einen habe ich noch:
snort (26184) Failed to Lock PID File "/var/run//snort_br0.pid" for PID "26184"
snort (26184) PID path stat checked out ok, PID path set to /var/run/
snort (26184) Checking PID path...
snort (26184) Initializing Network Interface br0
snort (26184) 26167
snort (26167) Daemon parent exiting
snort (26167) Initializing daemon mode
Habt ihr ähnliche Einträge in eurem Log?
Vielleicht hat ja jemand einen kleinen Tipp für mich. Ansonsten wünsche ich einen schönen Sonntag und einen erfolgreichen Start in die neue Woche.
Viele Grüße
Thomas
Geht noch was nicht:
Im Statusfesnter werden laufende Dienste (dnsmasq und snort)als "stopped" angezeigt. Die Überprüfung an der Konsole ergibt aber:
root@sweethome:~ # /etc/init.d/dnsmasq
Usage: /etc/init.d/dnsmasq {start|stop|status|reload|restart|condrestart|condstop}
root@sweethome:~ # /etc/init.d/dnsmasq status
dnsmasq (pid 16087) is running...
root@sweethome:~ # /etc/init.d/snort
Usage: /etc/init.d/snort {start|stop|reload|restart|condrestart|condstop|status|stats (long|opt)}
root@sweethome:~ # /etc/init.d/snort status
snort (pid 23357) is running...Viele Grüße
Thomas
Nachtrag:
hier in der Firma nehmen wir YUMI um auch die ungewöhnlichsten Linuxe (EPE für SW Deployment zB.) zu booten.
Zu finden hier: http://www.pendrivelinux.com/yumi-multiboot-usb-creator/
viele Grüße
Thomas
Versuch doch mal den hier:http://unetbootin.sourceforge.net/. Damit kannst Du Linux Images auf einen USB Stick "brennen" und booten. Es gibt noch ein anderes Tool, aber da habe ich den Namen veralzheimert. die Info kann ich erst morgen nachliefern.
Viele Grüße
Thomas
Ich hatte das Problem, daß keine Patches für SWTOR runtergeladen werden konnten. Geholfen hatte mit ein Workaround in den conf Datei des clamav. Damit ging dann alles, auch mit vlc hatte ich keine Probleme. Aber ich habe mal testweise clamd und havp gestoppt und siehe da, der Speicherverbrauch hat sich doch ziemlich verringert. (Siehe Bild) Und, Sabine hat völlig recht: Der Seitenaufbau geht sehr viel schneller!