Hallo, leider habe ich bisher noch keine Mail auf meine Probleme bzgl. der Reihenfolge der Firewall-Regeln aus /etc/sysconfig/Susefirewall2 bekommen. Daraufhin habe ich ein wenig im System gesucht, und bin auf die Datei /etc/sysconfig/scripts/SuSEfirewall2-custom gestoßen. Ich möchte ja zwei Sachen erreichen: 1. Alle Anfragen von intern an die Update-Server von Antivir sollen am Proxy vorbei direkt ins Internet gehen dürfen (die Download-server sind bekannt) 2. Alle Anfragen von Intern (192er-Netz) an die IP-Adresse 172.18.0.81 sollen über eth1 erlaubt sein. Für zweites habe ich eth1 bereits als "internes Device" deklariert (FW_DEV_INT="eth0 eth0:0 eth0:1 eth0:2 eth0:3 eth1"). Ebenso ist eine Route eingetragen Ziel Router Genmask Flags MSS Fenster irtt Iface 172.18.0.81 0.0.0.0 255.255.255.255 UH 0 0 0 eth1 Leider werden Zugriffe von Clients in meinem Netz (192er) immer noch von der Firewall geblockt. In welchem Abschnitt in /etc/sysconfig/scripts/SuSEfirewall2-custom müsste ich denn die entsprechenden Regeln eintragen? Vielleicht hilft mir ja jemand beim Denken. ;-) Danke und Tschüss Holger
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Holger Biber wrote:
Ebenso ist eine Route eingetragen Ziel Router Genmask Flags MSS Fenster irtt Iface 172.18.0.81 0.0.0.0 255.255.255.255 UH 0 0 0 eth1
Diese Route sieht ziemlich komisch aus für meinen Geschmack. Kannst du vom Server aus 172.18.0.81 anpingen? Irgendwie wird dein Setup mit jedem mal noch fälscher ;-) Gruß Frank - -- PGP: Public Key 0x8900AFD5 available from http://www.mcsmurf.de/key.asc S/MIME: Certificate available from http://www.mcsmurf.de/myCert.cer -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.5 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFCAn3paT2V74kAr9URAl2IAJ9bQzLNVgK0cJLm3nZVRCeHjSKkkQCdGR8N lqaQvDLi2L6fcZWijNqxIbw= =B2A+ -----END PGP SIGNATURE-----
Hallo Frank, Am Donnerstag, 3. Februar 2005 20:39 schrieb Frank Wein:
Diese Route sieht ziemlich komisch aus für meinen Geschmack. Kannst du vom Server aus 172.18.0.81 anpingen?
ich kann die IP anpingen, traceroute klappt ohne Probleme und auch 'smbmount' und 'smbclient' gehen ohne Probleme. Halt nur direkt vom Server aus. Wenn ich von einem Client (XP und/oder Suse 9) aus das probiere, blockiert die Firewall mit einem "SuSE-FW-DROP-DEFAULT". Hintergrund (noch einmal): Ich möchte von meinen Clients aus diverse Freigaben von 172.18.0.81 nutzen. Und da bleibt ja nur die Routing-Möglichkeit.
Irgendwie wird dein Setup mit jedem mal noch fälscher ;-) Versteh ich jetzt nicht. ;-) Ist doch immer noch das gleiche Problem ....
Tschüss Holger
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Holger Biber wrote:
Hallo Frank,
Am Donnerstag, 3. Februar 2005 20:39 schrieb Frank Wein:
Diese Route sieht ziemlich komisch aus für meinen Geschmack. Kannst du vom Server aus 172.18.0.81 anpingen?
ich kann die IP anpingen, traceroute klappt ohne Probleme und auch 'smbmount' und 'smbclient' gehen ohne Probleme. Halt nur direkt vom Server aus.
Wenn ich von einem Client (XP und/oder Suse 9) aus das probiere, blockiert die Firewall mit einem "SuSE-FW-DROP-DEFAULT".
Funktioniert das Routing eigentlich wenn du FW_ALLOW_CLASS_ROUTING="yes" setzt (Punkt 23)? Aber nur temporär testen, denn diese Option routet dann alles zwischen den zwei Subnets. Gruß Frank - -- PGP: Public Key 0x8900AFD5 available from http://www.mcsmurf.de/key.asc S/MIME: Certificate available from http://www.mcsmurf.de/myCert.cer -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.5 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFCAoqFaT2V74kAr9URAnk3AJ9pAgICYi7CTebaClVseUz77KrsUwCeK23w FsVTx8jpdxNSrS9djq7Jg4I= =xLPS -----END PGP SIGNATURE-----
participants (2)
-
Frank Wein -
Holger Biber