Ich versuche die Elsterdatenuebertragung ebenfalls ueber Linux Router aus einem internen Netz herzustellen. Das LAN ist dabei durch eine DMZ vom Internet getrennt. Der DMZ-Proxy ist aus den oben beschriebenen Gruenden hier nicht im Spiel, die Elster Server werden also direkt angesprochen. Hinweis: Seit kurzer Zeit gibt es einen HTTP_Tunnel (benoetigt Java Webstart) unter: https://www.elster.de/elfo_tunnel.php?tunnelversion=1.0.0 mit dem angeblich auch Squid funktionieren soll.
Folgende Regeln sollen den direkten Kontakt eines Client aus dem internen Netz zu einem der Elsterserver ermoeglichen: # Router LAN --> DMZ # ------------------------------------------------------- ELSTER_PORT=8000 ELSTER_SERV="62.157.211.58 62.157.211.59 62.157.211.60 \ 193.109.238.26 193.109.238.27 213.182.157.66" # Anfragen an externe Elster Server und Elster-Port gewaehren for EP in $ELSTER_SERV do $IPTABLES -A FORWARD -p TCP --sport $UNPRIVPORTS -d $EP \ --dport $ELSTER_PORT -m state --state NEW,ESTABLISHED,RELATED \ -o $DMZ_IF -i $LAN_IF -j ACCEPT done # eingehende Pakete von Elster Servern zu bestehenden Verbindungen # zulassen (Rueckkanal) for EP in $ELSTER_SERV do $IPTABLES -A FORWARD -i $DMZ_IF -o $LAN_IF -s $EP \ -m state --state ESTABLISHED,RELATED -j ACCEPT done # Router DMZ --> Internet # ------------------------------------------------------- # die Elsterformular-Upload-Server und der zugehoerige Port ELSTER_SERVER=(62.157.211.58 \ 62.157.211.59 \ 62.157.211.60 \ 193.109.238.26 \ 193.109.238.27 \ 213.182.157.66) ELSTER_PORT=8000 # Source NAT -- (SNAT/Masquerading) $IPTABLES -t nat -A POSTROUTING -o $EXT_IF -j MASQUERADE # Enable IP Forwarding echo 1 > /proc/sys/net/ipv4/ip_forward # Anfragen (TCP) mit Zielport 8000 # fuer den Zugriff auf die Elsterserver zulassen for ES in ${ELSTER_SERVER[*]} do $IPTABLES -A FORWARD -p TCP --sport $UNPRIVPORTS \ --dport $ELSTER_PORT -o $EXT_IF -i $DMZ_IF -d $ES \ -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT done # Antworten (Rueckkanal) von Elster Servern explizit zulassen for ES in ${ELSTER_SERVER[*]} do $IPTABLES -A FORWARD -i $EXT_IF -o $DMZ_IF -s $ES \ -m state --state ESTABLISHED,RELATED -j ACCEPT done #--------------------------------------------------------------------------------- Die Verbindung kommt auch zustande, bricht allerdings nach kurzer Zeit mit einem Timeout ab.. Ein tcpdump zeigt folgendes: ....... 4.828341 192.168.10.1 -> 193.109.238.27 TCP 1057 > 8000 [PSH, ACK] Seq=8302 Ack=2855 Win=7667 Len=271 4.886292 193.109.238.27 -> 192.168.10.1 TCP 8000 > 1057 [ACK] Seq=2855 Ack=3265 Win=13050 Len=0 4.887251 192.168.10.1 -> 193.109.238.27 TCP 1057 > 8000 [PSH, ACK] Seq=8573 Ack=2855 Win=7667 Len=596 4.892174 193.109.238.27 -> 192.168.10.1 TCP [TCP Dup ACK 37#1] 8000 > 1057 [ACK] Seq=2855 Ack=3265 Win=13050 Len=0 4.892614 193.109.238.27 -> 192.168.10.1 TCP [TCP Dup ACK 37#2] 8000 > 1057 [ACK] Seq=2855 Ack=3265 Win=13050 Len=0 4.893559 192.168.10.1 -> 193.109.238.27 TCP [TCP Retransmission] 1057 > 8000 [PSH, ACK] Seq=3265 Ack=2855 Win=7667 Len=610 4.952832 193.109.238.27 -> 192.168.10.1 TCP [TCP Dup ACK 37#3] 8000 > 1057 [ACK] Seq=2855 Ack=3265 Win=13050 Len=0 4.966322 193.109.238.27 -> 192.168.10.1 TCP 8000 > 1057 [ACK] Seq=2855 Ack=3875 Win=14790 Len=0 5.773056 192.168.10.1 -> 193.109.238.27 TCP [TCP Retransmission] 1057 > 8000 [PSH, ACK] Seq=3875 Ack=2855 Win=7667 Len=1460 7.578914 192.168.10.1 -> 193.109.238.27 TCP [TCP Retransmission] 1057 > 8000 [PSH, ACK] Seq=3875 Ack=2855 Win=7667 Len=1460 11.190700 192.168.10.1 -> 193.109.238.27 TCP [TCP Retransmission] 1057 > 8000 [PSH, ACK] Seq=3875 Ack=2855 Win=7667 Len=1460 18.414291 192.168.10.1 -> 193.109.238.27 TCP [TCP Retransmission] 1057 > 8000 [PSH, ACK] Seq=3875 Ack=2855 Win=7667 Len=1460 32.861325 192.168.10.1 -> 193.109.238.27 TCP [TCP Retransmission] 1057 > 8000 [PSH, ACK] Seq=3875 Ack=2855 Win=7667 Len=1460 Irgendeine Idee wo es hier zwickt? -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)