Firewall und weiter Devices freigeben!
Hallo Alle! Ich stehe vor folgender Aufgabe hier: In eine bestehenden Netzwerk mit zentralem INET-Zugang und Masquerading und FW will ich noch weitere Devices (zunächst völlig 'offen') von der Firewall ausnehmen um damit uneingeschränkten Betrieb machen zu können: Die Devices heissen ax0 und ax1 und funktionieren jetzt auch schon, aber eben nur, wenn ich vorher rcfirewall stop mache! Nun hatte mir Dietmar Romer (Danke!) schon mal was gepostet, was ich acu versucht habe, abe das zeigt nicht die gewünschte Wirkung. In /etc/rc.config.d/rc.firewalll.conf (evtl ist der Dateiname aus dem Gedächtnis nicht ganz o.k) habe ich Folgendes zusätzlich eingetragen: ... FW_WORLD_DEV "ippp0 ax0 ax1" ... ... ipchains -A input -i ax0 -s 44.0.0.0/8 -j ACCEPT ipchains -A output -i ax0 -d 44.0.0.0/8 -j ACCEPT ... Da ich jetzt hier in der Firma bin, kann ich die Fehlermeldung bei rcfirewall restart nicht ganz wiedergeben, gemeckert wird jedoch über die beiden ax0/1-Einträge bei FW_WORLD_DEV. Wenn ich die wieder herausnehme, klappt der restart wenigstens wieder. Für jede Hilfe dankbar! Peter.
Hallo Peter, hallo alle, Am 12 Oct 2000, , um 8:12, schrieb Peter Zabelt :
Ich stehe vor folgender Aufgabe hier:
In eine bestehenden Netzwerk mit zentralem INET-Zugang und Masquerading und FW will ich noch weitere Devices (zunächst völlig 'offen') von der Firewall ausnehmen um damit uneingeschränkten Betrieb machen zu können: Die Devices heissen ax0 und ax1 und funktionieren jetzt auch schon, aber eben nur, wenn ich vorher rcfirewall stop mache!
Ja, aber warum nimmst Du sie dann mit in die Firewall-Konfiguration auf? Wenn Du die Devices mit WORLD_DEV und dergleichen einbindest, werden natürlich _alle_ Filterregeln auch auf diese Devices angewendet.
In /etc/rc.config.d/rc.firewalll.conf (evtl ist der Dateiname aus dem Gedächtnis nicht ganz o.k) habe ich Folgendes zusätzlich eingetragen:
... FW_WORLD_DEV "ippp0 ax0 ax1"
IMHO hier besser 'rausnehmen. ..
... ipchains -A input -i ax0 -s 44.0.0.0/8 -j ACCEPT ipchains -A output -i ax0 -d 44.0.0.0/8 -j ACCEPT ...
Das sieht nach meinen bescheidenen Kenntnissen erst mal brauchbar aus. Bleibt allerdings die Frage, ob es ein einfaches Routing nicht auch tun würde, etwa so: route add -net 44.0.0.0 mask 255.0.0.0 gw {Dein Digi/Gateway} ax0 (Würde mich auch mal interessieren - Meinungen?) Ciao und 73 de Gerd
On Thu, 12 Oct 2000, Gerd wrote:
... FW_WORLD_DEV "ippp0 ax0 ax1"
IMHO hier besser 'rausnehmen.
... hmmm, versteh ich nicht...
ipchains -A input -i ax0 -s 44.0.0.0/8 -j ACCEPT ipchains -A output -i ax0 -d 44.0.0.0/8 -j ACCEPT Das sieht nach meinen bescheidenen Kenntnissen erst mal brauchbar aus.
...bringts aber leider nicht!!!
Bleibt allerdings die Frage, ob es ein einfaches Routing nicht auch tun würde, etwa so:
route add -net 44.0.0.0 mask 255.0.0.0 gw {Dein Digi/Gateway} ax0
Tja: das routing funktioniert schon prächtig, sonst würde ich wohl hier
keine Gateway spielen können ... aber die Firewall blockt immer ab!
Ich habe mir so beholfen, dass ich aus dem ip-uo-script alle
firewall-start-Einträge rausgenommen habe, aber das ist nicht die Lösung,
die mich glücklich macht!
Ach ja: Ich habe mit meinem Problem bei der SuSE angerufen, aber bin dort
jämmerlich abgeschmettert worden
participants (2)
-
Gerd
-
Peter Zabelt