eth1 (172er Netz) in Firewall zulassen (DRINGEND)
Hallo, wahrscheinlich sehe ich den Wald vor lauter Bäumen nicht mehr. Mein SLSS hat drei Netzwerkkarten. 1. eth0 (eth0:1, ....) 192er-Netz (aus der Basisinstallation) 2. eth1 (Feste IP 172.18.0.100) Verbindung ins Schul-LAN 3. eth2 (ppp, DSL-Anschluss) Wenn ich jetzt von einem DHCP-Client im 192er-Netz einen Rechner im Schulnetz (172.18.x.x) erreichen möchte, z.B. durch ein Ping oder ein 'net view \\172.18.x.x', wird das durch die Firewall auf dem SLSS abgeblockt. SuSE-FW-DROP-DEFAULT IN=eth0 OUT=eth1 SRC=192.168.1.254 DST=172.18.0.3 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=5631 DF PROTO=TCP SPT=1051 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402) Dummerweise taucht in /var/log/messages auch immer wieder auf: Nov 22 17:07:02 admin kernel: eth1: network connection up using port A Nov 22 17:07:02 admin kernel: speed: 100 Nov 22 17:07:02 admin kernel: autonegotiation: yes Nov 22 17:07:02 admin kernel: duplex mode: full Nov 22 17:07:02 admin kernel: flowctrl: symmetric Nov 22 17:07:02 admin kernel: irq moderation: disabled Nov 22 17:07:02 admin kernel: scatter-gather: enabled Nov 22 17:07:02 admin kernel: eth1: network connection down 'netstat -rn' gibt aus (die x.x.x sind von mir !!!): admin:/etc/sysconfig # netstat -rn Kernel IP Routentabelle Ziel Router Genmask Flags MSS Fenster irtt Iface 212.x.x.x 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0 172.18.0.0 0.0.0.0 255.255.224.0 U 0 0 0 eth1 172.18.0.0 0.0.0.0 255.255.224.0 U 0 0 0 eth1 192.168.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0 0.0.0.0 212.x.x.x 0.0.0.0 UG 0 0 0 ppp0 Wo ist der Fehler, bzw. wo kann ich suchen? Danke für rasche Hinweise. Ich müsste das morgen früh 'am Laufen' haben. Danke und Tschüss Holger
Holger Biber wrote:
Hallo,
wahrscheinlich sehe ich den Wald vor lauter Bäumen nicht mehr.
Mein SLSS hat drei Netzwerkkarten. 1. eth0 (eth0:1, ....) 192er-Netz (aus der Basisinstallation) 2. eth1 (Feste IP 172.18.0.100) Verbindung ins Schul-LAN 3. eth2 (ppp, DSL-Anschluss)
Wenn ich jetzt von einem DHCP-Client im 192er-Netz einen Rechner im Schulnetz (172.18.x.x) erreichen möchte, z.B. durch ein Ping oder ein 'net view \\172.18.x.x', wird das durch die Firewall auf dem SLSS abgeblockt.
SuSE-FW-DROP-DEFAULT IN=eth0 OUT=eth1 SRC=192.168.1.254 DST=172.18.0.3 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=5631 DF PROTO=TCP SPT=1051 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Probier mal in der /etc/sysconfig/SuSEFirewall2 den Wert FW_FORWARD (ist punkt 13.) auf FW_FORWARD="172.18.0.0/19,192.168.0.0/16 192.168.0.0/16,172.18.0.0/19" zu setzen. Evtl. musst du noch bei FW_DEV_INT eth1 hinzufügen, probieren geht über studieren :). Datei abspeichern und mit rcSuSEfirewall2 restart die Firewall neustarten.
Dummerweise taucht in /var/log/messages auch immer wieder auf: Nov 22 17:07:02 admin kernel: eth1: network connection up using port A Nov 22 17:07:02 admin kernel: speed: 100 Nov 22 17:07:02 admin kernel: autonegotiation: yes Nov 22 17:07:02 admin kernel: duplex mode: full Nov 22 17:07:02 admin kernel: flowctrl: symmetric Nov 22 17:07:02 admin kernel: irq moderation: disabled Nov 22 17:07:02 admin kernel: scatter-gather: enabled Nov 22 17:07:02 admin kernel: eth1: network connection down
'netstat -rn' gibt aus (die x.x.x sind von mir !!!):
admin:/etc/sysconfig # netstat -rn Kernel IP Routentabelle Ziel Router Genmask Flags MSS Fenster irtt Iface 212.x.x.x 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0 172.18.0.0 0.0.0.0 255.255.224.0 U 0 0 0 eth1 172.18.0.0 0.0.0.0 255.255.224.0 U 0 0 0 eth1 192.168.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0 0.0.0.0 212.x.x.x 0.0.0.0 UG 0 0 0 ppp0
Wieso ist der Eintrag für 172.18.0.0 zweimal vorhanden? Gruß Frank
Hallo, Am Montag, 22. November 2004 17:41 schrieb Frank Wein:
Holger Biber wrote:
Hallo,
wahrscheinlich sehe ich den Wald vor lauter Bäumen nicht mehr.
Mein SLSS hat drei Netzwerkkarten. 1. eth0 (eth0:1, ....) 192er-Netz (aus der Basisinstallation) 2. eth1 (Feste IP 172.18.0.100) Verbindung ins Schul-LAN 3. eth2 (ppp, DSL-Anschluss)
Wenn ich jetzt von einem DHCP-Client im 192er-Netz einen Rechner im Schulnetz (172.18.x.x) erreichen möchte, z.B. durch ein Ping oder ein 'net view \\172.18.x.x', wird das durch die Firewall auf dem SLSS abgeblockt.
SuSE-FW-DROP-DEFAULT IN=eth0 OUT=eth1 SRC=192.168.1.254 DST=172.18.0.3 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=5631 DF PROTO=TCP SPT=1051 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Probier mal in der /etc/sysconfig/SuSEFirewall2 den Wert FW_FORWARD (ist punkt 13.) auf FW_FORWARD="172.18.0.0/19,192.168.0.0/16 192.168.0.0/16,172.18.0.0/19" zu setzen. Evtl. musst du noch bei FW_DEV_INT eth1 hinzufügen, probieren geht über studieren :). Datei abspeichern und mit rcSuSEfirewall2 restart die Firewall neustarten.
Hat leider nicht geholfen :( Aber so wie ich Punkt 13.) verstanden habe, bezieht sich diese Option auf die Internet-Anbindung.
Dummerweise taucht in /var/log/messages auch immer wieder auf: Nov 22 17:07:02 admin kernel: eth1: network connection up using port A Nov 22 17:07:02 admin kernel: speed: 100 Nov 22 17:07:02 admin kernel: autonegotiation: yes Nov 22 17:07:02 admin kernel: duplex mode: full Nov 22 17:07:02 admin kernel: flowctrl: symmetric Nov 22 17:07:02 admin kernel: irq moderation: disabled Nov 22 17:07:02 admin kernel: scatter-gather: enabled Nov 22 17:07:02 admin kernel: eth1: network connection down
Auch bei nur einer Route (s.u.) erscheint diese Meldung im 2 Sekunden-Takt !!
'netstat -rn' gibt aus (die x.x.x sind von mir !!!):
admin:/etc/sysconfig # netstat -rn Kernel IP Routentabelle Ziel Router Genmask Flags MSS Fenster irtt Iface 212.x.x.x 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0 172.18.0.0 0.0.0.0 255.255.224.0 U 0 0 0 eth1 172.18.0.0 0.0.0.0 255.255.224.0 U 0 0 0 eth1 192.168.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0 0.0.0.0 212.x.x.x 0.0.0.0 UG 0 0 0 ppp0
Wieso ist der Eintrag für 172.18.0.0 zweimal vorhanden?
Hatte aus Versehen zweimal 'route add ...' eingegeben. Nun steht aber nur noch ein Eintrag drin.
participants (3)
-
Frank Wein -
Holger Biber -
Holger Biber