Problem z www pod Slackware

[kodar]

Witam
Na początku może powiem że na tym forum jestem pierwszy raz i od razu przepraszam za ewentualne głupie wpisy. Problem mam dość poważny odpowiedzi szukam w sieci od kilku dni, a stoi mi od trzech dni internet w firmie i nie wiem co dalej robić. Otoż internet mam z TPSA poprzez DSL. jak wepnę kompa pod modem DSL to wszystko jest OK. Jeżeli pod modem wepnę serwer z slackware to pojawiają się kłopoty. Otóż z serwera można sobie odpalić dowolną stronkę internetową (w lynx bo nie mam na serwerze X-sów) natotomiast z komputerów w sieci lokalnej już nie. Co dziwne pingi chodzą bardzo ładnie z sieci lokalnej na "zewnatrz" zarówno po IP jak po DNS. Natomiast nie można otworzyć zadnej strony internetowej poza tą która jest na serwerze. Serwer chodzi już drugi rok, wszystko było do tej pory OK. Posprawdzałem wszystkie pliki konfiguracyjne, zarówno co do konfiguracji kart sieciowych, udostępniania łącza, binda i nic. Jestem w kropce pomocy. Liczę na pomoc expertów z tego znakomitego forum.

[PuraDawid]

Sprawdź tcpdumpem co się dzieje.

[kodar]

Nie do końca wiem jak sprawdzić ruch pakietów tcpdumpem moja zieloność na to nie pozwala może coś więcej proszę.
Maskowanie u mnie wygląda tak:
Powiedzmy że IP dostawcy internetu (DSL) to 1.2.3.4 a moja siec to 192.168.0.0 z maską 255.255.255.0 wpis w rc.local jest następujący
/usr/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j SNAT --to 1.2.3.4

dodam że eth0 to karta sieciowa podpięta pod modem z DSL a eth1 pod sieć lokalną

[PuraDawid]

Hm a zastanawiałeś się nad tym iż Twój ISP mógł zmienić adres dnsów?
Serwer bierze dns z dhcp a route ma na stałe stare dns.
Takie sytuacje się zdarzały, sprawdź to zanim będziesz przegrzebywał man do tcpdumpa

[kodar]

Z tego co wiem to nie, wczoraj miałem rozmowę technivzną z TPSA i nic o tym nie mówili. Ale wgrałem sobie przeglądarkę tekstową na jeden z komputerów w sieci (lynks) i o dziwo chodzi a Internet Explorer nie chce trochę dziwne, może fragmentacja pakietów, ale tego tez nie umiem zrobić.

[mgoblp]

Wygląda na to, że łacze jest OK.
Z tego co pamiętam, TPSA daje stałe IP i stałe DNS-y przy łączu DSL.
Na serwerze:
Co wyświetla polecenie:
iptables-save
cat /proc/sys/net/ipv4/ip_forward
ifconfig
cat /etc/resolv.conf
cat /etc/dhcpd.conf
ps ax | grep dhcpd

Jak jest skonfigurowana sieć lokalna?
Czy maski podsieci serwera i stacji roboczych są jednakowe?
Jak są przydzielane adresy w sieci lokalnej?
Czy brama domyślna stacji roboczych jest ustawiona na adres karty LAN serwera?
[EDIT]
z manuala iptables (nie wiem jak w innych wersjach):
SNAT: It takes one type of option: --to-source ipaddr[-ipaddr][:port-port]
Więc może: -j SNAT --to-source
?
[EDIT]
iptables v1.3.5 w manualu jest --to-source ale w praktyce --to też działa, może póżniej to przestało być wspierane?
A odnośnie wielkości pakietów (man iptables):
TCPMSS
       This  target  allows  to  alter  the MSS value of TCP SYN packets, to control the maximum size for that connection (usually limiting it to your outgoing
       interface's MTU minus 40).  Of course, it can only be used in conjunction with -p tcp.  It is only valid in the mangle table.
       This target is used to overcome criminally braindead ISPs or servers which block ICMP Fragmentation Needed packets.  The symptoms of  this  problem  are
       that everything works fine from your Linux firewall/router, but machines behind it can never exchange large packets:
        1) Web browsers connect, then hang with no data received.
        2) Small mail works fine, but large emails hang.
        3) ssh works fine, but scp hangs after initial handshaking.
       Workaround: activate this option and add a rule to your firewall configuration like:
        iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN \\
                    -j TCPMSS --clamp-mss-to-pmtu

       --set-mss value
              Explicitly set MSS option to specified value.

       --clamp-mss-to-pmtu
              Automatically clamp MSS value to (path_MTU - 40).

       These options are mutually exclusive.
Ale ten opis to raczej dotyczy sytuacji, gdy jest Neostrada i modem USB, modem DSL z wyjsciem Ethernet powinien robić to samodzielnie. Mam serwer na Slackware 11.0 + DSL i działa jako router bez tej opcji. Chociaż dopisanie tego zaszkodzić nie powinno.

[kodar]

Logi mogę jutro wysłać z serwera.
Też myślę że łacze jest OK. Mam stały IP i serwery DNS z TPSA
Komputery w sieci lokalnej mają stałe adresy IP (np 192.168.0.131) i maskę 255.255.255.0  brama to 192.168.0.1, czyli druga karta sieciowa na serwerze. Pierwsza jest podpięta do modemu i ma adres 1.2.3.4
Maski podsieci serwera i stacji roboczych są jednakowe. Nie używam DHCP.

[mgoblp]

Nasuwają mi się 2 rzeczy:
1. Czy porty 80 i 443 nie są dodatkowo przekierowane na transparentne proxy (np. squid) - warto sprawdzić czy wszystko przy starcie odpala się prawidłowo i czy są dodatkowe regułki na firewallu.
2. Linux może rozwiązywać nazwy DNS nawet, jeżeli nie ma wpisów w /etc/resolv.conf, a jest uruchomiony bind - wtedy korzysta domyślnie z głównych serwerów DNS (serwer DNS ustawiony na localhost, bind domyślnie działa jako serwer cacheujący). Jeżeli lynx na stacji roboczej był odpalany spod linuxa - to mógł w ten sposób czytać DNS-y. Pod Windows DNS-y trzeba wpisać.

[kodar]

W odpowiedzi nie wiem jak sprawdzic przekierowanie portów - prosze o pomoc.
Wszystko przy starcie odpala się prawidłowo, brak jest jakichkolwiek komunikatów o błedach, nie ma dodatkowych reguł na firewallu.
Lynx na stacji roboczej był odpalany pod Windows DNS-y były wpisane przy konfiguracji karty sieciowej.

[mgoblp]

Przekierowania:
W konsoli slackware wpisać:

iptables-save

 i wkleić na forum.

[halik]

Z tego co wiem to nie, wczoraj miałem rozmowę technivzną z TPSA i nic o tym nie mówili. Ale wgrałem sobie przeglądarkę tekstową na jeden z komputerów w sieci (lynks) i o dziwo chodzi a Internet Explorer nie chce trochę dziwne, może fragmentacja pakietów, ale tego tez nie umiem zrobić.

a moze by tak sprawdzic czy w IE nie jest ustawione proxy? byc moze jest i byc moze brak dostepu do stron interetowych to skutek wylaczonego proxy na serwerze.

mk