Hallo Christoph, danke für deine Antwort. Ich bin jetzt dazu gekommen, weitere Tests mit dem Firewall zu machen. Um es vorwegzunehmen - keine der Einstellungen die ich geändert habe, hat geholfen.
Hallo Raimund!
Am Don, 04 Okt 2001, schrieb Raimund Hölle:
ich habe ein Problem, masquerading zum Laufen zu bringen, ohne die sonstige Kommunikation zu stören.
folgende Umgebung:
* Drei Windows-Clients * Ein Linux-Server mit ISDN-Karte
Distri? Kernel?
SuSE 7.2 mit Kernel 2.4.4
Der Linux-Server soll den Clients zum einen die Einwahl ins Internet ermöglichen, zum anderen Einwahl in ein Firmennetz. Hierzu verfügt er über folgende Interfaces:
* eth0 - Interne Netzwerkkarte, 10.7.1.0 / 255.255.255.0; kein Masquerading
Deine Clients haben also alle IPs im Bereich 10.7.1.x?
So ist es!
* ippp1 - Dialup ins Firmennetz, 10.7.0.0 / 255.255.255.0; kein Masquerading, keine Firewall erwünscht.
Routest Du dann zwischen eth0 und ippp1?
So ist es - ohne Firewall klappt das auch hervorragend.
Wie sieht Deine Routing-Table dann aus? Schau Dir mal den Output von route -n an.
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.7.0.200 0.0.0.0 255.255.255.255 UH 0 0 0 ippp1 10.7.255.101 0.0.0.0 255.255.255.255 UH 0 0 0 ippp0 10.7.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 10.7.0.0 10.7.1.210 255.255.255.0 UG 0 0 0 ippp1 0.0.0.0 10.7.255.101 0.0.0.0 UG 0 0 0 ippp0
Weiß nicht genau, was der Unterschied ist zwischen Personal und Non-Personal Firewall, ich setze SuSEFirewall ein.
So wie ich verstanden habe, ist das Personal Firewall etwas für DAU's wie mich - vorausgesetzt, ich hätte nicht die Firmennetzanbindung. Es wird durch eine einzige Angabe in /etc/rc.config.d/security.rc.config konfiguriert.
Was sagt der Firewall-Log?
Oct 6 10:21:31 lx21 kernel: Packet log: forward DENY eth0 PROTO=6 10.7.0.1:32808 10.7.1.5:23 L=60 S=0x10 I=52684 F=0x4000 T=61 SYN (#2) Oct 6 10:21:34 lx21 kernel: Packet log: forward DENY eth0 PROTO=6 10.7.0.1:32808 10.7.1.5:23 L=60 S=0x10 I=52685 F=0x4000 T=62 SYN (#2)
Weiß jemand, was ich falsch mache? Oder noch besser: gibt es eine einfache Möglichkeit, nur für ein angegebenes Interface Masquerading zu aktivieren?
Ja in firewall.rc.config!
Das versuche ich ja eben.
* FW_DEV_WORLD="ippp0" * FW_DEV_INT="eth0 ippp1"
Vielleicht hilft es ippp1 nicht als internes Device sondern unten als Trusted Net zu deklarieren.
Bringt leider nix.
* FW_PROTECT_FROM_INTERNAL="no" Okay fürs erste, kannst Du Dir später mal Gedanken machen FW_AUTOPROTECT_GLOBAL_SERVICES="yes" FW_SERVICES_EXTERNAL_TCP="" FW_SERVICES_EXTERNAL_UDP="" FW_SERVICES_EXTERNAL_IP=""
Damit läßt Du von außen nichts rein!
Ist das ein Problem? Ich habe mal probeweise "no" bzw. "1:65535" bei diesen 4 Zeilen eingetragen, hat nichts gebracht.
FW_TRUSTED_NETS=""
==> FW_TRUSTED_NETS="10.7.0.0/24" - bringt nichts (s.o.)
FW_SERVICES_TRUSTED_TCP="" FW_SERVICES_TRUSTED_UDP="" FW_SERVICES_TRUSTED_IP=""
Gib hier mal Testweise ziemlich alles frei und schränke hinterher wieder ein.
Ich habe überall "1:65535" eingetragen. Ich habe auch einmal "ipchains -L" aufgerufen, leider steh ich vor der Ausgabe wie der Ochs vorm Berg ... Eins ist mir jedoch aufgefallen: Chain fw_masq (1 references): target prot opt source destination ports MASQ all ------ anywhere anywhere n/a Kann das richtig sein? Es sollte doch nur ippp0 maskiert werden? Wenn jemand sehen könnte was ich falsch mache, wäre ich sehr dankbar! Viele Grüße Raimund Raimund Hölle Industrielles Software Design GmbH hoelle@i-s-d.de