Hallo, da ich ja noch immer nicht mit meiner Konfiguration der Firewall am SLSS (1.0 "freie CD-Version") weitergekommen bin, wollte ich mich nun mit dem Firewall-Builder beschäftigen. Nur noch einmal als Hintergrund: 1. eth0 (eth0:1, ....) 192er-Netz (aus der Basisinstallation) 2. eth1 (Feste IP 172.18.0.100) Verbindung ins Schul-LAN 3. eth2 (ppp, DSL-Anschluss) Ich möchte jetzt von einem Client aus dem 192er-Netz auf EINE IP im 172er-Netz zugreifen können, d.h. irgendwie müssen Datenpakete über eth0 an eth1 durch die Firewall gelassen werden. Leider werden sie halt immer abgeblockt :(( SuSE-FW-DROP-DEFAULT IN=eth0 OUT=eth1 SRC=192.168.1.254 DST=172.18.0.3 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=5631 DF PROTO=TCP SPT=1051 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402) Es geht ausschließlich um Verbindungen zu Netzlaufwerk-Freigaben eines Win-Servers. Hat da von euch schon jemand so etwas "gebastelt"? Kann ich den Win-Server (172.18...) quasi als Rechner in einer DMZ ansehen? Wenn ja, wie müsste die Suse-eigene Konfiguration aussehen? Wenn das ganze eher OT ist, dann bitte um Rückantwort, damit wir das ggf. per PM machen können. Danke und Tschüss Holger
Hallo Biber, > Nur noch einmal als Hintergrund: > 1. eth0 (eth0:1, ....) 192er-Netz (aus der Basisinstallation) > 2. eth1 (Feste IP 172.18.0.100) Verbindung ins Schul-LAN > 3. eth2 (ppp, DSL-Anschluss) > Ich möchte jetzt von einem Client aus dem 192er-Netz auf EINE IP im 172er-Netz > zugreifen können, d.h. irgendwie müssen Datenpakete über eth0 an eth1 durch > die Firewall gelassen werden. > Leider werden sie halt immer abgeblockt :(( Erst mal einige fragen (SORRY, wenn das bekannt ist :-)) 1) ist routing eingeschaltet ? die datei /proc/sys/net/ipv4/ip_forward enthaelt eine 1 2) zeigt iptables -L das alle pakete alles passieren duerfen (accept)? 3) ist auf den jeweiligen rechnern in den netzen die richtige gateway/router adresse eingetragen? d.h. funktioniert das routing ohne firewall? wenn ja: ich habe meinen "firewall" fuer das wlan mit /etc/sysconfig/Susefirewall2 per hand konfiguriert, allerdings ohne DMZ. hier gibt es auch die eintraege fuer dmz FW_DEV_INT="" # intern + sicher FW_DEV_DMZ="" # FW_DEV_EXT="" # extern + unsicher Achte beim eintrag des internen netzes darauf, dass alle devices des slss eingetragen sind (eth0 eth0:0 eth0:1 eth0:2)sonst macht der slss teilweise zu ;-). Bei den regeln ist es wichtig zu beachten, dass jede verbindung einen hin und einen rueckweg hat, also immer 2 tcp/ip-ports betroffen sind. z.B. vom client ueber den router zum http-proxy hin gehen die pakete zum 80er port des proxy vom proxy zum client haben die pakete normalerweise tcp/ip-ports ueber 1024. Die /etc/sysconfig/Susefirewall2 ist gut kommentiert und mit SuSEfirewall2 -start -stop satus bzw. file newconfigfile laesst sich das ganze einfach testen. -- Mit freundlichen Gruessen :-) Willi Platzer ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wenn der Wind der Veränderung weht, bauen die einen Mauern und die anderen Windmühlen. (Sprichwort) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Holger Biber wrote:
Hallo,
da ich ja noch immer nicht mit meiner Konfiguration der Firewall am SLSS (1.0 "freie CD-Version") weitergekommen bin, wollte ich mich nun mit dem Firewall-Builder beschäftigen.
Nur noch einmal als Hintergrund: 1. eth0 (eth0:1, ....) 192er-Netz (aus der Basisinstallation) 2. eth1 (Feste IP 172.18.0.100) Verbindung ins Schul-LAN 3. eth2 (ppp, DSL-Anschluss)
Ich möchte jetzt von einem Client aus dem 192er-Netz auf EINE IP im 172er-Netz zugreifen können, d.h. irgendwie müssen Datenpakete über eth0 an eth1 durch die Firewall gelassen werden. Leider werden sie halt immer abgeblockt :(( [...]
Meine Frage unter http://lists.suse.com/archive/slss/2005-Feb/0022.html steht immer noch :) (also vorher noch eth1 in FW_DEV_INT mit reinsetzen, sonst geht das nicht). Gruß Frank - -- PGP: Public Key 0x8900AFD5 available from http://www.mcsmurf.de/key.asc S/MIME: Certificate available from http://www.mcsmurf.de/myCert.cer -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.5 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD4DBQFCIG4RaT2V74kAr9URAvowAJiq3IczFQXiM/y9dQ0+j5c6WiubAJ97WfeK ohjDt/ATQWfATwYMZ1eAIw== =I6Ou -----END PGP SIGNATURE-----
participants (3)
-
Frank Wein
-
Holger Biber
-
Platzer,Willi