Am Montag, 29. Oktober 2018, 07:14:16 CET schrieb Kyek, Andreas, Vodafone DE:
Guten Morgen,
am WE habe ich zu Hause ein wenig mit meiner Installation "rumgespielt".
Das Setup:
Fritz --- Server --- Lan
WLAN
FritzBox: 192.168.0.1 Server: 192.168.0.21 und 192.168.128.100
Welche Netzwerkmasken gehören jeweils zu diesen IP-Adressen?
(Server an FritzBox mit Kabel; Segment=WLAN Segment)
Bisher lief/läuft auf dem Server shorewall als lokale Firewall - alles funktioniert auch soweit. Nun habe ich am WE firewalld ausprobiert - einige der avisierten Feature sind schon interessant (dynamische Konfig etc). Leider bin ich irgendwie damit gescheitert.
Das Problem: _sobald_ ich am Server firewalld einschalte scheint er nicht mehr zu routen (...).
Also solange firewalld ausgeschaltet ist, routet dein Server so wie er soll?
(...). Im Netz habe ich keine wirklich erhellenden Stellen gefunden (und nein, manuelle Eingabe von iptables Kommandos ist nicht wirklich das was ich hier möchte).
Was anderes habe ich auch nicht gefunden. Irgendwie findet man nur hunderte Anleitungen für Portforwarding. Oder eben Masquerading, welches das allgemeine Forwarding automatisch mit einschalten würde. Vielleicht gibt es ja eine Zone, die das macht, sonst wahrscheinlich Direct Rules wie: # firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i eth0 -o eth1 -j ACCEPT # firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i eth1 -o eth0 -j ACCEPT Das ist nicht ganz die von dir beschriebene "manuelle Eingabe von iptables Kommandos", aber kommt dem leider sehr nahe. Vielleicht geht das auch mit diesen Rich Rules?
Masquerading am Server brauche ich doch eigtl. nicht - nach aussen macht das die FritzBox. Aber viele Stellen im Netz zu dem Thema schalten dann masquerading ein.
Masquerading brauchst man in einem Setup wie deinem normalerweise halt schon. Du jetzt wohl nicht weil die FritzBox dir ja erlaubt eine statische Route für 192.168.128.* mit 192.168.0.21 als Gateway einzurichten.
Ferner: Kann der firewalld kein gescheites Logging? Auch dazu findet man im Netz nicht wirklich was. Oder kann man dem Teil wirklich nicht sagen, zu Testzwecken z.B. verworfene Pakete mit Grund auszugeben? (...).
man firewall-cmd sagt "--set-log-denied=value" mit einem value aus all, unicast, broadcast, multicast und off. Gruß Jan -- A sharp tongue and a dull mind are usually found in the same head. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org