subject: how can i have public IPs in the DMZ with SuSEfirewall2 deutscher text weiter unten / german text follows below ---------------- Hello all, i have been searching around quite a while and couldnt find a solution. i have 8 public ip addresses from our internet service provider (netmask is 255.255.255.248) i have a suse 8 linux box with 3 ethernet network cards. eth0 is external connected directly with crossover to the router of the ISP. eth1 is the dmz ethernet card. eth2 is the internal network. should be 192.168.200.x with netmask 255.255.255.0 ... something like that.. now i have read in the SuSEfirewall2 config file in secion 13, that the SuSEfirewall2 supports public IP in the DMZ zone.. even the EXAMPLE file is talking about a scenario with a webserver with ports 80 and 443 running with public ip 200.200.200.200 in the DMZ... in my case i want to run a mailserver in the DMZ with public ip, and it only needs port25 to the internet, and its getting mails only from secific hosts on the internet. so its not included in an mx record anywhere but gets mails from a virus detection/mailscanning companies mailservers there... now my question is how do i get traffic to that mailserver box in the DMZ... will my router forward the traffic for the ip of the mailserver? what should the IP for the DMZ ethernet card be and what netmask/gateways and do i need any static routing on the box... or how will SuSEfirewall2 script handle all this... this seems somehow weird to me and i dont find any explanation or discussions here in usenet where people succeeded with this... but this scenario should be quite common, shouldnt it? i also heard about proxy arp and other sorts, but since SuSEfirewall2 script and examples explicitly talk about this scenario, can someone explain this to me and what the DMZ card settings and netmasks, gateways should be? i also thought about adding the mailserver ip additionally to the external ethernet card (eth0:1 for the mailserver ip then) and then do portforwarding to the DMZ card, and run another private ip netzwork on the DMZ.. 192.168.300.x for the DMZ or something? what would be the best solution? but my actual question is, how do i make this work with the susefirewall2 scripts and settings since there is that scenario in the EXAMPLES with the webserver in the DMZ with public ip address... could anyone please give me some hints, howtows or detaild explanation... i get confused because i dont know what to set for the DMZ card in this case... thanks already for any help and hints. best regards, Andreas Bittner ------------------ german: hallo leute, ich hab schon eine weile herumgesucht aber keine wirkliche loesung oder erklaerung fuer mein scenario gefunden. ich habe von einem internet service provider einen 8er block oeffentlicher ip adressen bekommen (netzwerkmaske 255.255.255.248) ich hab eine suse linux 8 kiste mit 3 ethernet netzwerk karten. eth0 externes netz, eth1 dmz netz, eth2 internes netz. eth0 ist direkt per cross over kabel an den router des isp angeschlossen. eth2 ist ein netz mit privaten adressen, z.b. 192.168.200.x mit der maske 255.255.255.0 ich habe nun im SuSEfirewall2 config file unter punkt 13 gelesen, dass es oeffentliche ips in der DMZ unterstuetzt. es gibt sogar im EXAMPLE file einscenario mit einem webserver mit port80 und 443 in der DMZ der eine oeffentliche ip 200.200.200.200 hat. in meinem fall moechte ich nur einen einfache mailserver (port25) mit oeffentlicher ip adresse in der DMZ laufen haben. die ip des mailservers ist nicht in einem MX record festgehalten, und der mailserver bekommt nur von einem externen mailvirenscanner provider die mails zugeliefert, also ich will den verkehr genau auf ein paar ips im internet beschraenken, bzw kann das genau sagen woher der mailtraffic kommt... meine frage ist nun, wie schaffe ich es mit bloss 8 oeffentl. ip adressen mit der susefirewall2 die daten fuer die ip des mailservers auf meine DMZ ethernet netzwerkkarte zu routen etc... wasfuer eine IP adresse muss die DMZ netzwerkkarte haben, welche maske, gateway usw... ich habe ein problem mit dem verstaendis... ich kann die 8 ips die ich hab nicht weiter subnetten.. kann das susefirewall2 script die kiste so konfigurieren dass die daten fuer den mailserver mit oeffentlicher ip auf jedenfall dort auf der DMZ netzwerkkarte ankommen und an den weitergegeben werden? wie wird das gemacht? was muss ich fuer die DMZ karte einstellen usw... ich habe auch schon ueber ansaetze mit proxy-arp und auch mit portforwarding gelesen, aber ich weiss nicht was das beste waere, und wenn susefirewall2 das schon kann, dann hab ich bloss ein verstaendnisproblem damit.. vielleicht funtkioniert es ja einfach, aber was stelle ich fuer die DMZ karte ein?? oder soll ich die mailserver ip zusaetzlich noch als eth0:1 auf die externe karte nehmen und dann mit portforwarding das auf die DMZ karte leiten und dort auch private ips fahren? hat jemand ein paar hinweise und genaue schritte wie ich was am besten machen sollte? geht das so einfach mit dem susefirewall2 script? und was muss ich dann fuer die DMZ karte alles einstellen etc.... danke schonmal und gruesse, andreas bittner