Andreas Schott, Mittwoch, 14. April 2004 16:08:
Am Mittwoch, 14. April 2004 15:17 schrieb Marcus Glöder:
Am Mittwoch, 14. April 2004 13:32 schrieb Andreas Schott:
Hallo zusammen
Hallo Andreas,
nun habe ich auch ein paar Verständnisfragen: ;-)
Auf allen Rechnern läuft SuSE 9.0
Mein Netz sieht folgendermaßen aus (Subnetz immer 255.255.255.0)
PC1 mit eth0 192.168.1.2 per CAT5-Patchkabel an PC-Router Gateway 192.168.1.1
PC Router hat zwei Netzwerkkarten: eth0 mit 192.168.1.1 mit PC1 verbunden wlan0 mit 192.168.2.2 an WLAN-DSL-Router 192.168.2.1 (mit integrierter Firewall) Gateway 192.168.2.1 IP-Weiterleitung aktiviert, SuSEFirewall2 aktiviert in vorgeschlagener Standardkonfiguration - Port 631 zum Drucken und Port 6566 zum Scannen per WLAN geöffnet
Laptop mit wlan0 192.168.2.3 geht direkt per 192.168.2.1 ins Internet und greift auf PC Router 192.168.2.2 per wlan auf die Drucker und den Scanner zu
Ich hab's immer gern bildlich: [INTERNET] -------, [WLAN-DSL-Rt] [192.168.2.1] ..... .............. funk funk : : [192.168.2.2] [192.168.2.3] [ PC-Router ]--, [ LAPTOP ] [192.168.1.1] \ / \ / `---[Drucker] [192.168.1.2] [ PC1 ] Das müsste so stimmen.
Soweit funktioniert auch alles. Ich komme von allen Rechnern ins Internet, kann von allen Rechnern aus drucken und kann von allen Rechnern aus scannen
Also stimmt Routing/Masquerading auf dem PC-Router. Für das Laptop hat dies ohnehin keine Bedeutung fürs Internet. Drucken geht auch (via Cups), da Port 631 auf PC-Router offen. (Risiko: Er ist damit auch vom WLAN-Router und somit potentiell aus dem Internet erreichbar, da der WLAN-Router hier rein kann. Achte auf vernünftige Packetfiltereinstellungen im WLAN-Router!)
Ich möchte aber auch Verezichnisse vom PC-Router per NFS an PC1 und Laptop freigeben und mounten. An PC1 geht das auch problemlos, da intern der Firewall des PC-Routers. Vom Laptop komme ich aber an die NFS-Verzeichnisse nicht ran, da diese Ports entsprechend blockiert werden. Da diese aber auch immer wechseln, kann ich sie nicht explizit in der PC-Router Firewall freigeben.
Was wechselt dort? Natürlich musst du die entsprechenden Ports für NFS genau so wie Port 631 fürs Drucken an der Schnittstelle WLAN freigeben.
Schalte ich die Firewall am PC-Router aus, so kann ich NFS mounten, aber komme von PC1 mangels masquerading nicht mehr ins Internet.
Richtig, mit dem Ausschalten der SuSE-Firewall werden _alle_ Regeln für den Netfilter des Kernels zurückgesetzt. Damit auch das Masquerading.
Und für dieses Problem suche ich eine Lösung.
Ich weiß nicht, wie wichtig dir die Absicherung des PC-Routers gegen das WLAN ist, aber ich würde die Firewall-Funktion des PC-Routers in einem kleinen Home-Netz wahrscheinlich abschalten. Wichtig ist hier eine vernünftige, sichere Einrichtung des WLAN-Routers, da das der kritische Punkt für jeden Angriff von Außen ist (schau ins Handbuch des Teiles). Auf dem PC-Router gibt alle Ports frei und stelle das Masquerading für den PC1 ein. Dann kümmert sich die SuSEFirewall nur noch darum und nicht um das Blockieren von irgendwelchen Datenströmen. Ist vielleicht ein wenig oversized, aber es hilft erst einmal. Als nächsten Schritt beschäftige dich mal mit iptables und strick dir ein eigenes kleines Script, was die nötigen Einstellungen vornimmt. Tipp: Sungazer-Packetfilter (google) von Marius Brehler (die alten 1er-Versionen!) sind für einen Einsteiger ganz hilfreich und ausreichend dokumentiert. -- Gruß MaxX 8-) Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu