Arno Lehmann schrieb:
Hi,
20.09.2007 08:57,, Eric Scheen wrote::
[...] Die Groupware ist auf einem Rechner installiert der im 192.168.1.0er Netz ist - ein zweites Interface der Maschine ist über DSL am I-Net (dynamische IP). Die Maschine arbeitet auch als Router für die anderen Rechner im LAN (Win XP), als DHCP Server und Samba läuft - DNS für das LAN ist nicht konfiguriert.
vor lauter Schreck vergessen: OpenSuse 10.1 Kernel 2.6.16.27
Die Groupware kann per Webinterface von den Rechnern aus dem LAN erreicht werden (so auch gewollt) von extern sollte dies nicht möglich sein - in der Firewall ist kein Port freigegeben und ein Portscan bestätigt mir das auch.
Schonmal sehr gut.
Nachdem ich mal spaßeshalber die aktuell zugewiesene IP Adresse der I-Net Schnittstelle eingegeben habe meldete sich zu meinem erstaunen das Webinterface der Groupware! Nach einem ersten Schreck und einem Blick in das Zugangsprotokoll musste ich feststellen das der Zugang von einer internen IP und nicht von extern erfolgte.
Frage ist nun: Wer oder was biegt mir meine Verbindung (durchaus passend) um?
Die Routingfunktionen.
Die Anfrage geht ja an <extIP> und wird als erstes an den Router geschickt, der nun zufällig auch der den Dienst bedienende Host ist.
Sie kommt am internen Interface an. Es wird festgestellt, das geroutet werden muss. Als nächstes wird festgestellt das das Ziel-Interface lokal vorhanden ist, also werden die Daten intern an den IP-Stack weitergegeben der für die <extIP> zuständig ist. Und da kommen sie quasi innerhalb der Firewall an.
Also die Maschine weiß mein Interface dsl0 hat die IP 87.189.210.120 und routet wenn von intern eine Anfrage dahin geht auf dsl0 um - wenn ich das jetzt richtig verstehe. ....aber... Auf den Hinweis von Fred Ockert habe ich mir mal die Ausgabe von route -n angesehen Destination Gateway Genmask Flags Metric Ref Use Iface 217.0.117.16 0.0.0.0 255.255.255.255 UH 0 0 0 dsl0 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0 10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth1 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo 0.0.0.0 217.0.117.16 0.0.0.0 UG 0 0 0 dsl0 nur taucht da zumindest nicht meine externe IP auf - müsste dsl0 nicht diese haben? und noch ein traceroute 87.189.210.120 hinterher traceroute to 87.189.210.120 (87.189.210.120), 30 hops max, 40 byte packets 1 p57B3FA66.dip.t-dialin.net (87.189.210.120) 0.000 ms 0.000 ms 0.000 ms d.h. das ganze bleibt im Haus, oder?
Das ganze wird sogar verständlicher wenn man das ISO-Schichtenmodell kennt und sich überlegt, zwischen welchen Schichten die Firewall arbeiten kann. Aber das hier auszuführen würde wohl eine etwas längere Mail bedeuten, und ich hab' gar keine Zeit...
...ist mir als Telefoner prinzipiell bekannt - darum würde ein Schubs in die richtige Richtung vermutlich reichen ;-) -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org