Leap 15 und firewalld
Guten Morgen, am WE habe ich zu Hause ein wenig mit meiner Installation "rumgespielt". Das Setup: Fritz --- Server --- Lan | WLAN FritzBox: 192.168.0.1 Server: 192.168.0.21 und 192.168.128.100 (Server an FritzBox mit Kabel; Segment=WLAN Segment) Bisher lief/läuft auf dem Server shorewall als lokale Firewall - alles funktioniert auch soweit. Nun habe ich am WE firewalld ausprobiert - einige der avisierten Feature sind schon interessant (dynamische Konfig etc). Leider bin ich irgendwie damit gescheitert. Das Problem: _sobald_ ich am Server firewalld einschalte scheint er nicht mehr zu routen - der Zugriff aus dem WLAN auf Geräte aus dem LAN scheitert. Ich komme aus den WLAN auf den Server und von dort auf die Geräte im LAN - aber der direkte Zugriff scheitert. Egal ob ich die beiden Segmente am Server in eine Zone packe oder in zwei verschiedene - Routing ist irgendwie nicht mehr. (und ja; der Server ist für Routing konfiguriert) Alle vom Server bereitgestellten Services wie smb, nfs v3/v4, imap, ipp. sind von allen Geräte aus nutzbar - nur routen will er nicht mehr. Im Netz habe ich keine wirklich erhellenden Stellen gefunden (und nein, manuelle Eingabe von iptables Kommandos ist nicht wirklich das was ich hier möchte). Masquerading am Server brauche ich doch eigtl. nicht - nach aussen macht das die FritzBox. Aber viele Stellen im Netz zu dem Thema schalten dann masquerading ein. Ferner: Kann der firewalld kein gescheites Logging? Auch dazu findet man im Netz nicht wirklich was. Oder kann man dem Teil wirklich nicht sagen, zu Testzwecken z.B. verworfene Pakete mit Grund auszugeben? Ich bin jetzt wieder bei shorewall - der Ausflug war . unbefriedigend bisher. Hat jemand Erfahrung damit? Andreas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Andreas, weiß die FritzBox von dem Netzwerk "Server-LAN", wenn an Deinem Server die Firewall aktiv ist? Möglicherweise möchte die Serverfirewall der FritzBox diese Information zur Verfügung stellen. In der Firewall der FritzBox kann unter FritzOS 6.85 über Internet => Filter => Zugangsprofile einstellen eingestellt werden, welche Geräte welche Dienste nutzen dürfen. Ggf. ist es notwendig, hier die Dienste des Servers den entsprechenden Geräten zu erlauben. Tschüß Carsten -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Montag, 29. Oktober 2018, 07:14:16 CET schrieb Kyek, Andreas, Vodafone DE:
Guten Morgen,
am WE habe ich zu Hause ein wenig mit meiner Installation "rumgespielt".
Das Setup:
Fritz --- Server --- Lan
WLAN
FritzBox: 192.168.0.1 Server: 192.168.0.21 und 192.168.128.100
Welche Netzwerkmasken gehören jeweils zu diesen IP-Adressen?
(Server an FritzBox mit Kabel; Segment=WLAN Segment)
Bisher lief/läuft auf dem Server shorewall als lokale Firewall - alles funktioniert auch soweit. Nun habe ich am WE firewalld ausprobiert - einige der avisierten Feature sind schon interessant (dynamische Konfig etc). Leider bin ich irgendwie damit gescheitert.
Das Problem: _sobald_ ich am Server firewalld einschalte scheint er nicht mehr zu routen (...).
Also solange firewalld ausgeschaltet ist, routet dein Server so wie er soll?
(...). Im Netz habe ich keine wirklich erhellenden Stellen gefunden (und nein, manuelle Eingabe von iptables Kommandos ist nicht wirklich das was ich hier möchte).
Was anderes habe ich auch nicht gefunden. Irgendwie findet man nur hunderte Anleitungen für Portforwarding. Oder eben Masquerading, welches das allgemeine Forwarding automatisch mit einschalten würde. Vielleicht gibt es ja eine Zone, die das macht, sonst wahrscheinlich Direct Rules wie: # firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i eth0 -o eth1 -j ACCEPT # firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i eth1 -o eth0 -j ACCEPT Das ist nicht ganz die von dir beschriebene "manuelle Eingabe von iptables Kommandos", aber kommt dem leider sehr nahe. Vielleicht geht das auch mit diesen Rich Rules?
Masquerading am Server brauche ich doch eigtl. nicht - nach aussen macht das die FritzBox. Aber viele Stellen im Netz zu dem Thema schalten dann masquerading ein.
Masquerading brauchst man in einem Setup wie deinem normalerweise halt schon. Du jetzt wohl nicht weil die FritzBox dir ja erlaubt eine statische Route für 192.168.128.* mit 192.168.0.21 als Gateway einzurichten.
Ferner: Kann der firewalld kein gescheites Logging? Auch dazu findet man im Netz nicht wirklich was. Oder kann man dem Teil wirklich nicht sagen, zu Testzwecken z.B. verworfene Pakete mit Grund auszugeben? (...).
man firewall-cmd sagt "--set-log-denied=value" mit einem value aus all, unicast, broadcast, multicast und off. Gruß Jan -- A sharp tongue and a dull mind are usually found in the same head. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Mon, 29 Oct 2018 06:14:16 +0000
schrieb "Kyek, Andreas, Vodafone DE"
Bisher lief/läuft auf dem Server shorewall als lokale Firewall - alles funktioniert auch soweit. Die Routingtabelle des Servers scheint also in Ordnung zu sein.
Unabhängig davon mußt Du der Firewall sagen, daß sie Pakete von einem IF (192.168.0.21) zum anderen (192.168.128.100) pauschal oder selektiv transportieren (Forward-Chain) soll. Schau Dir mal man5 zu firewalld.zones, firewalld.zone und firewalld.richlanguage an (da steht auch was zu log und audit). Wenn ich das richtig verstanden habe, wird dort verhandelt, was Du brauchst (vor allem Forwarding und Masquerading). Konkreter kann ich Dir hier leider nicht weiterhelfen (s.o.). Einfach mal probieren.
Ich komme aus den WLAN auf den Server und von dort auf die Geräte im LAN Hierzu brauchst Du eben weder Forwarding noch Maquerading. Das funktioniert wie ein Proxy, und die Pakete im LAN kommen dann tatsächlich vom Server.
aber der direkte Zugriff scheitert. Dazu muß die FW wissen, daß die Pakete von Source-IF zum Dest-IF transportiert werden (Forwarding-Chain) und nicht auf dem Server bleiben sollen.
Masquerading am Server brauche ich doch eigtl. nicht Oder doch. Der Hinweis von Jan zu den Netzwerkmasken ist nicht ganz unwichtig. Wenn Du /24er Netze hast, dann steht der Server in verschiedenen Netzen/ Ethernet-Segmenten. Wenn Du keine Proxies hast, wären ohne Adressumschreibung im LAN Pakete unterwegs, die real vom IF 192.168.128.100 kommen, im IP-Header als Absender aber 192.168.0.x haben. So etwas sollte spätestens jedes ordentlich konfigurierte Dev als martian source verwerfen.
Hast Du schonmal vom WLAN ein ping an ein Dev im LAN geschickt (und umgekehrt) und geguckt, wo es hängen bleibt? Vielleicht hilft ja doch was in die richtige Spur, viele Grüße Matthias -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 29.10.18 um 07:14 schrieb Kyek, Andreas, Vodafone DE:
_sobald_ ich am Server firewalld einschalte scheint er nicht mehr zu routen - der Zugriff aus dem WLAN auf Geräte aus dem LAN scheitert. Ich komme aus den WLAN auf den Server und von dort auf die Geräte im LAN - aber der direkte Zugriff scheitert. Wenn firewalld aktiv ist, was ist der Inhalt von:
cat /proc/sys/net/ipv4/ip_forward da sollte eine 1 (EINS) drin stehen, sonst 'routed' der gar nix. Da ich firewalld nicht kenne, kann ich auch nicht sagen, ob man ihm das irgendwo sagen kann, daß er jetzt ein 'Router' ist ... Und die Fritzbox sollte eine statische Route haben, die besagt, wie das 'LAN' (192.168.128.0/24) zu erreichen ist, nämlich über 192.168.0.21 Aber ich denke das hast Du schon ... Gruß -- Christian ------------------------------------------------------------ https://join.worldcommunitygrid.org?recruiterId=177038 ------------------------------------------------------------ http://www.sc24.de - Sportbekleidung ------------------------------------------------------------
participants (5)
-
Carsten Grebehem
-
Christian
-
Jan Ritzerfeld
-
Kyek, Andreas, Vodafone DE
-
Matthias