Hallo Listengemeinschaft, Ich habe einen Router (gleichzeitig auch Mailserver) mit eth1 (hängt am Internet) und eth0 hängt am internen Netzwerk. eth1 hat die IP 192.168.1.2/255.255.0.0 eth0 hat die IP 192.168.0.98/255.255.255.0 Der Router ist weiter als NIS Client und NFS Client an 192.168.0.1 angeschlossen. Ich will nun, dass der Router von außen nur über ssh, smtp und pop3 erreichbar ist. Vom internen Netzwerk her soll er nur über so viele Dienste erreichbar sein, wie nötig sind, dass er weiter ein NIS und NFS Client bleibt. Und das Interne Netzwerk soll direkten Zugriff auf das Internet haben, also Masquerading! Nun mein Versuch: ------------------------------------------------------ ########################################################### FW_DEV_WORLD="eth1" FW_DEV_INT="eth0" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_NETS="192.168.0.1 192.168.0.21 192.168.0.22 192.168.0.23 192.168.0.24 192.168.0.25 192.168.0.26 192.168.0.27 192.168.0.28 192.168.0.29 192.168.0.30 192.168.0.31 192.168.0.32 192.168.0.33 192.168.0.34 192.168.0.35 192.168.0.36 192.168.0.37 192.168.1.2" FW_MASQ_DEV="$FW_DEV_WORLD" FW_PROTECT_FROM_INTERNAL="yes" FW_AUTOPROTECT_GLOBAL_SERVICES="yes" FW_SERVICES_EXTERNAL_TCP="22 80 25 53 443 42 110" FW_SERVICES_EXTERNAL_UDP="22 80 25 53 443 42 110" # Common: domain FW_SERVICES_EXTERNAL_IP="" # For VPN/Routing which END at the firewall!! FW_SERVICES_DMZ_TCP="" # Common: smtp domain FW_SERVICES_DMZ_UDP="" # Common: domain syslog FW_SERVICES_DMZ_IP="" # For VPN/Routing which END at the firewall!! FW_SERVICES_INTERNAL_TCP="22 80 25 443 42 110 53 765 1023 800 862" FW_SERVICES_INTERNAL_UDP="22 80 25 443 42 110 53 765 1020 111 886 896 800 862 syslog" #Common: domain syslog FW_SERVICES_INTERNAL_IP="" # For VPN/Routing which END at the firewall!! FW_TRUSTED_NETS="192.168.1.2 192.168.0.1 192.168.0.21 192.168.0.22 192.168.0.23 192.168.0.24 192.168.0.25 192.168.0.26 192.168.0.27 192.168.0.28 192.168.0.29 192.168.0.30 192.168.0.31 192.168.0.32 192.168.0.33 192.168.0.34 192.168.0.35 192.168.0.36 192.168.0.37" FW_SERVICES_TRUSTED_TCP="1:65535" FW_SERVICES_TRUSTED_UDP="1:65535" # Common: syslog time ntp FW_SERVICES_TRUSTED_IP="" # For VPN/Routing which END at the firewall!! FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" FW_SERVICE_DNS="no" FW_SERVICE_DHCLIENT="no" # if you use dhclient to get an ip address FW_SERVICE_DHCPD="no" FW_SERVICE_SAMBA="no" FW_FORWARD_TCP="" # Beware to use this! FW_FORWARD_UDP="" # Beware to use this! FW_FORWARD_IP="" # Beware to use this! FW_FORWARD_MASQ_TCP="" # Beware to use this! FW_FORWARD_MASQ_UDP="" # Beware to use this! FW_REDIRECT_TCP="" FW_REDIRECT_UDP="" FW_LOG_DENY_CRIT="yes" FW_LOG_DENY_ALL="no" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" FW_KERNEL_SECURITY="yes" FW_STOP_KEEP_ROUTING_STATE="no" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_FW_TRACEROUTE="no" FW_ALLOW_FW_SOURCEQUENCH="yes" FW_MASQ_MODULES="autofw cuseeme ftp irc mfw portfw quake raudio user vdolive" ------------------------------------------------------ -------------------------- was mache ich falsch?? Immer wenn ich SuSEfirewall start eingebe, kann ich das interne Netzwerk nicht mehr erreichen, nach außen komme ich aber weiterhin, und die Ports werden auch richtig gesperrt! (getestet mit dem Portscanner nmap) Ich freue mich über jede Hilfe! cu, simon