SuSEfirewall2: Zugriff von internem Netz auf externes Device
Hallo zusammen, ich habe ein Problem mit der SuSEfirewall2 (hier RPM-Version 1.7). Und zwar gelingt es mir nicht, von meinem internen Netz auf ein "externes" Device mit dynamisch zugewiesener IP zuzugreifen. Die Firewall läuft unter SuSE 7.2 mit Kernel 2.4.10, SuSEfirewall2, iptables 1.2.2, zwei NICS und hat über T-DSL Anbindung ans Internet. Die Konfiguration der Firewall hänge ich an den Schluß. Das System läuft mit einer Ausnahme zu meiner vollsten Zufriedenheit. Diese Ausnahme sieht so aus, daß ich aus meinem internen Netz nicht auf das "externe" Device mit der dynamischen zugewiesenen IP zugreifen kann. Konkreter: Die Ports werden laut Portscan mittels des Webdienstes von www.lfd.niedersachen.de korrekt freigegeben. Und von einem Rechner außerhalb meines lokalen Netzes (192.168.0.x) sind ssh und www auch zu erreichen. Versuche ich gleiches aber von intern an die "externe" Adresse (bei T-DSL hier immer 217.x.x.x), dann blockt die Firewall den Zugriff und meldet unter /var/log/firewall folgendes: Oct 3 17:18:28 pinguin kernel: SuSE-FW-ACCESS_DENIED_FOR_INTIN=eth0 OUT= MAC=00:04:76:18:e6:41:00:04:76:20:6d:98:08:00 SRC=192.168.0.8 DST=217.80.69.138 LEN=48 TOS=0x08 PREC=0x00 TTL=128 ID=33220 DF PROTO=TCP SPT=2842 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402) Der Zugriff aus dem internen Netz auf den selben Port unter Verwendung der internen IP-Adresse funktioniert. Was ist zu tun? Besten Dank vorab. Christoph *** FW_DEV_EXT="ppp0 ippp0" FW_DEV_INT="eth0 ippp1" FW_DEV_DMZ="" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_DEV="$FW_DEV_EXT" # e.g. "ippp0" or "$FW_DEV_EXT" FW_MASQ_NETS="192.168.0.0/24" FW_PROTECT_FROM_INTERNAL="no" # "yes" is a good choice FW_AUTOPROTECT_SERVICES="yes" FW_SERVICES_EXT_TCP="ssh www 27950:27970" FW_SERVICES_EXT_UDP="ssh www 27950:27970" FW_SERVICES_EXT_IP="" # For VPN/Routing which END at the firewall!! # FW_SERVICES_DMZ_TCP="" # Common: smtp domain FW_SERVICES_DMZ_UDP="" # Common: domain syslog FW_SERVICES_DMZ_IP="" # For VPN/Routing which END at the firewall!! # FW_SERVICES_INT_TCP="" # Common: ssh smtp domain FW_SERVICES_INT_UDP="" # Common: domain syslog FW_SERVICES_INT_IP="" # For VPN/Routing which END at the firewall!! FW_TRUSTED_NETS="" FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" # Common: "ftp-data" FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" # Common: "DNS" or "domain ntp" FW_SERVICE_AUTODETECT="no" # Autodetect the services below when starting FW_SERVICE_DNS="yes" # if yes, FW_SERVICES_*_TCP needs to have port 53 # (or "domain") set to allow incoming queries. # also FW_ALLOW_INCOMING_HIGHPORTS_UDP needs to be "yes" FW_SERVICE_DHCLIENT="no" # if you use dhclient to get an ip address # you have to set this to "yes" ! FW_SERVICE_DHCPD="no" # set to "yes" if this server is a DHCP server FW_SERVICE_SAMBA="yes" # set to "yes" if this server uses samba as client # or server. As a server, you still have to set # FW_SERVICES_{EXT,DMZ,INT}_TCP="139" # Everyone may send you udp 137/138 packets if set # to yes! (samba on the firewall is not a good idea!) FW_FORWARD="no" # Beware to use this! FW_FORWARD_MASQ="" # Beware to use this! FW_REDIRECT="" FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="no" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" FW_KERNEL_SECURITY="yes" FW_STOP_KEEP_ROUTING_STATE="yes" FW_ALLOW_PING_FW="no" FW_ALLOW_PING_DMZ="no" FW_ALLOW_PING_EXT="yes" FW_ALLOW_FW_TRACEROUTE="no" FW_ALLOW_FW_SOURCEQUENCH="no" FW_ALLOW_FW_BROADCAST="no" FW_IGNORE_FW_BROADCAST="yes" FW_ALLOW_CLASS_ROUTING="yes" FW_SERVICE_SQUID="no"
participants (1)
-
Christoph Franke