Datenverkehr zwischen zwei Internen Netzwerken
Hallo, es stellt sich mir als Linux-newbie folgende Situation Internet -------- -------------- int. Netz 1 Server -------------- int. Netz 2 Es ist SuSE 7.3 mit SuSEfirewall2 als Paketfilter auf dem Server installiert. Von beiden Netzwerken kann ich ins Internet, aber ich bekomme keinen ping von Netz1 in 2 oder umgekehrt. Ziel ist es, dass Windows-Clienten von Netz 1 auf freigegebene Laufwerke in Netz 2 (und umgekehrt) zugreifen können. MfG Wolfgang
Wolfgang Eitel wrote:
Es ist SuSE 7.3 mit SuSEfirewall2 als Paketfilter auf dem Server installiert. Von beiden Netzwerken kann ich ins Internet, aber ich bekomme keinen ping von Netz1 in 2 oder umgekehrt.
(SuSE8.0, SuSEfirewall2-2.1-57) Folgende Variableneinstellung als Minimum: FW_ROUTE="yes" Ich denke, das folgende Einstellung auch sein muss: FW_PROTECT_FROM_INTERNAL="no"
Ziel ist es, dass Windows-Clienten von Netz 1 auf freigegebene Laufwerke in Netz 2 (und umgekehrt) zugreifen können.
FW_SERVICES_INT_TCP="139" FW_SERVICES_INT_UDP="137:138" Damit sollten die Pakete den Router passieren koennen. Fuer den Fall, das dein Server wirklich der Router zwischen den Netzwerken ist. Peter
Peter Wiersig schrieb:
(SuSE8.0, SuSEfirewall2-2.1-57) Folgende Variableneinstellung als Minimum: FW_ROUTE="yes"
das ist schon gesetzt
Ich denke, das folgende Einstellung auch sein muss: FW_PROTECT_FROM_INTERNAL="no"
hm, nur ungern, da von intern alle ports offen sind
Ziel ist es, dass Windows-Clienten von Netz 1 auf freigegebene Laufwerke in Netz 2 (und umgekehrt) zugreifen können.
FW_SERVICES_INT_TCP="139"
macht ja nur Sinn, wenn FW_PROTECT_FROM_INTERNAL auf "no" gesetzt ist, oder? Zudem ist der port wegen samba schon freigegeben.
FW_SERVICES_INT_UDP="137:138"
wozu die beiden?
Damit sollten die Pakete den Router passieren koennen.
Fuer den Fall, das dein Server wirklich der Router zwischen den Netzwerken ist.
so hätte ich es gerne. ;-)
Wolfgang Eitel wrote:
Peter Wiersig schrieb:
FW_PROTECT_FROM_INTERNAL="no"
hm, nur ungern, da von intern alle ports offen sind
Wenn du wirklich Einbrecher im internen Netz hast, ist SMB nicht das richtige Protocol um Daten auszutauschen.
FW_SERVICES_INT_TCP="139"
macht ja nur Sinn, wenn FW_PROTECT_FROM_INTERNAL auf "no" gesetzt ist, oder?
Auf "yes".
Zudem ist der port wegen samba schon freigegeben.
FW_SERVICES_INT_UDP="137:138"
wozu die beiden?
Das sind m.E. die Datenports des SMB-Protocols. die TCP-Verbindung wird zum Austauschen von Control-Informationen gebraucht. Ausserdem wird die Namensaufloesung per Broadcast erledigt, da bietet sich UDP ebenfalls an. Ebenfalls ein Fallstrick koennte sein, das SMB broadcasts u.a. an 255.255.255.255 sendet. Mach mal das Logging der abgelehnten Pakete in der SFW2 an und beobachte /var/log/messages. kannst du eigentlich mit smbclient vom Router Freigaben in den beiden Netzen benutzen? Peter
Wolfgang Eitel wrote:
Von beiden Netzwerken kann ich ins Internet, aber ich bekomme keinen ping von Netz1 in 2 oder umgekehrt.
Ziel ist es, dass Windows-Clienten von Netz 1 auf freigegebene Laufwerke in Netz 2 (und umgekehrt) zugreifen können.
*Hehe*: /usr/share/doc/packages/SuSEfirewall2/FAQ Q: But if I enter two internal network cards, communication between the two networks connected to the firewall is not possible. However both can access the internet. The SuSEfirewall2 must have a bug! A: This works as designed. For security reasons, no network may communicate to another until configured otherwise. Even if both are "trusted" internal networks. You can allow full traffic with FW_ALLOW_CLASS_ROUTING or specifying all allowed traffic with FW_FORWARD Peter
participants (2)
-
moenus@t-online.de
-
Peter Wiersig