Hallo,
da ich ja noch immer nicht mit meiner Konfiguration der Firewall am SLSS (1.0 "freie CD-Version") weitergekommen bin, wollte ich mich nun mit dem Firewall-Builder beschäftigen.
Nur noch einmal als Hintergrund: 1. eth0 (eth0:1, ....) 192er-Netz (aus der Basisinstallation) 2. eth1 (Feste IP 172.18.0.100) Verbindung ins Schul-LAN 3. eth2 (ppp, DSL-Anschluss)
Ich möchte jetzt von einem Client aus dem 192er-Netz auf EINE IP im 172er-Netz zugreifen können, d.h. irgendwie müssen Datenpakete über eth0 an eth1 durch die Firewall gelassen werden. Leider werden sie halt immer abgeblockt :((
SuSE-FW-DROP-DEFAULT IN=eth0 OUT=eth1 SRC=192.168.1.254 DST=172.18.0.3 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=5631 DF PROTO=TCP SPT=1051 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Es geht ausschließlich um Verbindungen zu Netzlaufwerk-Freigaben eines Win-Servers.
Hat da von euch schon jemand so etwas "gebastelt"?
Kann ich den Win-Server (172.18...) quasi als Rechner in einer DMZ ansehen? Wenn ja, wie müsste die Suse-eigene Konfiguration aussehen?
Wenn das ganze eher OT ist, dann bitte um Rückantwort, damit wir das ggf. per PM machen können.
Danke und Tschüss Holger
Hallo Biber,
Nur noch einmal als Hintergrund:
- eth0 (eth0:1, ....) 192er-Netz (aus der Basisinstallation)
- eth1 (Feste IP 172.18.0.100) Verbindung ins Schul-LAN
- eth2 (ppp, DSL-Anschluss)
Ich möchte jetzt von einem Client aus dem 192er-Netz auf EINE IP im 172er-Netz zugreifen können, d.h. irgendwie müssen Datenpakete über eth0 an eth1 durch die Firewall gelassen werden. Leider werden sie halt immer abgeblockt :((
Erst mal einige fragen (SORRY, wenn das bekannt ist :-)) 1) ist routing eingeschaltet ? die datei /proc/sys/net/ipv4/ip_forward enthaelt eine 1 2) zeigt iptables -L das alle pakete alles passieren duerfen (accept)? 3) ist auf den jeweiligen rechnern in den netzen die richtige gateway/router adresse eingetragen? d.h. funktioniert das routing ohne firewall?
wenn ja: ich habe meinen "firewall" fuer das wlan mit /etc/sysconfig/Susefirewall2 per hand konfiguriert, allerdings ohne DMZ.
hier gibt es auch die eintraege fuer dmz FW_DEV_INT="" # intern + sicher FW_DEV_DMZ="" # FW_DEV_EXT="" # extern + unsicher
Achte beim eintrag des internen netzes darauf, dass alle devices des slss eingetragen sind (eth0 eth0:0 eth0:1 eth0:2)sonst macht der slss teilweise zu ;-).
Bei den regeln ist es wichtig zu beachten, dass jede verbindung einen hin und einen rueckweg hat, also immer 2 tcp/ip-ports betroffen sind. z.B. vom client ueber den router zum http-proxy hin gehen die pakete zum 80er port des proxy vom proxy zum client haben die pakete normalerweise tcp/ip-ports ueber 1024.
Die /etc/sysconfig/Susefirewall2 ist gut kommentiert und mit SuSEfirewall2 -start -stop satus bzw. file newconfigfile laesst sich das ganze einfach testen.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Holger Biber wrote:
Hallo,
da ich ja noch immer nicht mit meiner Konfiguration der Firewall am SLSS (1.0 "freie CD-Version") weitergekommen bin, wollte ich mich nun mit dem Firewall-Builder beschäftigen.
Nur noch einmal als Hintergrund:
- eth0 (eth0:1, ....) 192er-Netz (aus der Basisinstallation)
- eth1 (Feste IP 172.18.0.100) Verbindung ins Schul-LAN
- eth2 (ppp, DSL-Anschluss)
Ich möchte jetzt von einem Client aus dem 192er-Netz auf EINE IP im 172er-Netz zugreifen können, d.h. irgendwie müssen Datenpakete über eth0 an eth1 durch die Firewall gelassen werden. Leider werden sie halt immer abgeblockt :(( [...]
Meine Frage unter http://lists.suse.com/archive/slss/2005-Feb/0022.html steht immer noch :) (also vorher noch eth1 in FW_DEV_INT mit reinsetzen, sonst geht das nicht).
Gruß Frank - -- PGP: Public Key 0x8900AFD5 available from http://www.mcsmurf.de/key.asc S/MIME: Certificate available from http://www.mcsmurf.de/myCert.cer
-
Frank Wein -
Holger Biber -
Platzer,Willi