gelöst INPUT:DROP TCP Portforwarding auf http/https

ffischer

Hallo,
ich bereite die VM gerade vor.
ist so wie sie jetzt ist unverändert, nur runtergefahren und kopiert ( dauert immer so lang )
eMail zum Link zuschicken?

ffischer

Funktioniert es jetzt?

Knockahomer

Das kann ich erst morgen mit Sicherheit sagen. Ich möchte auch noch den Netzwerktreiber ausschließen und es einmal mit vmxnet3 versuchen. Ich melde mich wieder sobald ich mehr weiß.

UPDATE:
Vielen Dank für die 2.5C Frank, ich hatte die 2.5 ja vorher schon getestet und meine war exakt so konfiguriert wie die deine. Darum werde ich jetzt erst einmal die anderen Treiber testen.

Knockahomer

Nur ein kurzes Update. Die vmxnet3 Treiber in Verbindung mit der 2.5c haben auch keine Besserung gebracht. Ich schaue mir jetzt mal den Switch genauer an.
Parallel würde ich gerne versuchen die BADTCP Chain zu deaktivieren. In den Features der 2.4.1 steht folgendes:

Firewall
BADTCP filtering can now be disabled (#3152)

Ich suche jetzt seit zwei Tagen und finde nirgendwo auch nur einen Anhaltspunkt wo diese Option aktiviert werden kann. Ich freue mich über jeden Hinweiß.

ffischer

Hallo,
was ich zu BadTCP gefunden habe ist dieses Script wo das wohl drin verwendet wird:
http://www.linuxtopia.org/Linux_Firewall_iptables/a7226.html

Sind da noch andere VMS auf dem ESXi in Berieb?
Haben diese Netzwerkprobleme?
Funktioniert die Version von mir ohne Probleme?

gruß

Knockahomer

Ich habe jetzt noch einen tcpdump auf dem Webserver gemacht. Der Traffic im lokalen virtuellem Netzwerk verursacht keine Probleme. Nur alles was von der Firewall weitergeleitet wird enthält BADTCP Traffic.
Ich werde mi jetzt mal das rc.firewall Script ansehen. Deine Firewall habe ich noch nicht testen können. Ich habe allerdings auch selbst eine 2.5c installiert und das Portforwarding exakt so konfiguriert wie Du.

ffischer

Probiers mal mit meiner VM,
Was ist den das für eine VMWare Maschine also der Host?
Was für Netzwerkkarten?
Ist für die VMSwitche das promiscuous mode deaktiviert?
Sind die Netzwerkkarte in der VM und am VSwitch auf Auto 100FD/HD,1000FD/HD,Autosensing oder Fest eingestellt? macht bei manchen Konstellationen auch Unterschiede

Knockahomer

Probiers mal mit meiner VM
-> Mache ich noch heute

Was ist den das für eine VMWare Maschine also der Host?
-> Supermicro mit Intel Hardware (vmware zertifiziert)

Was für Netzwerkkarten?
-> Intel 82571EB

Ist für die VMSwitche das promiscuous mode deaktiviert?
-> nein

Sind die Netzwerkkarte in der VM und am VSwitch auf Auto 100FD/HD,1000FD/HD,Autosensing oder Fest eingestellt? macht bei manchen Konstellationen auch Unterschiede
-> Verhandeln, 1000 Vollduplex

ffischer

Zitat

Ist für die VMSwitche das promiscuous mode deaktiviert?
-> nein

Dann versuch das mal.

Sabine

ffischer
Wie sieht es bei dir mit dem BADTCP Traffic aus ?
Ist das ein Problem der 2.5 ? Oder doch eher der VMWare.

ffischer

also bei mir mit den Settings in der VM die ich auch an Knockahomer geschickt habe
lief alles ohne Probleme, sah auch keine BADTCP Einträge.

Ich hab halt ein WebServer freigegeben auf grün und dann etwas auf der Seite rum gesurft.

Sabine

Bin mal gespannt was Knockahomer noch berichtet . . . .
Sieht ja jetzt erstmal nicht nach der 2.5 aus . . .

Knockahomer

Es wird wohl an esxi Einstellungen des vSwitch liegen. Ich werde am Wochenende umstellen und nochmal ausgiebig testen und dann Montag die Ergebnisse posten.

Knockahomer

Es lag nur an der Promiscuous Mode Einstellung des vSwitch. Nach einem Wochenende mit vielen Test und Wireshark tcp stream Analysen sieht jetzt alles gut aus. Vielen Dank für die Anregungen und die nette Hilfe.

ffischer

gern geschehen
freut uns wenn wir helfen konnten .