Hallo Leute, hänge da an einem Problemchen und hoffe auf Eure Hilfe ... IPs sind alle nur beispielhaft ... Hab nen Server (Host) (IP: 1.2.3.4/24, GW 1.2.3.254) auf dem ich KVM i.v.m libvirt nutze. So weit so gut. Das physikalische interface 'eth0' hab ich an 'br0' gebunden. Jetzt hab ich noch eine VM, welche ebenfalls direkt eine 'offizelle IP' (e.g. 5.6.7.8/32, GW: 1.2.3.254) hat . Diese VM hat eine 'erlaubte' MAC, damit ich Sie im 'bridged' mode betreiben kann/darf ... soweit funktioniert alles, von außen nach innen. Ich kann die VM (5.6.7.8) von außen pingen. SuSEfirewal2 auf Host aktiv, auf VM noch nicht ... Leider kann ich nicht von der VM nach außen pingen. Deaktiviere ich die Firewall auf Host und starte dann den ping von der VM nach draußen, dann geht der ping. Aktiviere ich die Firewall wieder auf dem Host, läuft der ping weiter. breche ich den ping ab und starte den ping wieder, dann schlägt der ping fehl ... Im log kann ich leider nichts dazu finden ... sehe keine drops. Es macht auch keinen Unterschied, ob FW_FORWARD_ALLOW_BRIDGING an oder aus ist. Ich habe schon sowas probiert (dev): FW_FORWARD_EXT_TO_BRIDGED_VM="yes" FW_DEV_EXT_PHYS="eth0" FW_DEV_VM_PHYS="fw0" allow_ext_to_bridge() { set -x local iptables case "${FW_FORWARD_EXT_TO_BRIDGED_VM}" in yes) ;; no) return ;; esac for iptables in "$IPTABLES" "$IP6TABLES"; do $iptables -A FORWARD -m physdev --physdev-in "${FW_DEV_EXT_PHYS}" --physdev-out "${FW_DEV_VM_PHYS}" -j ACCEPT $iptables -A FORWARD -m physdev --physdev-in "${FW_DEV_VM_PHYS}" --physdev-out "${FW_DEV_EXT_PHYS}" -j ACCEPT done set +x } bei einem iptables.save sieht das dann in etwas so aus: ---snip--- -A INPUT -j DROP -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu -A FORWARD -m physdev --physdev-in eth0 --physdev-out fw0 -j ACCEPT -A FORWARD -m physdev --physdev-in fw0 --physdev-out eth0 -j ACCEPT -A FORWARD -i br0 -j forward_ext ---snip--- ich hoffe jemand kann mir helfen. Danke :) -- Christian ---------------------------------------------------- - Please do not 'CC' me on list mails. Just reply to the list :) ---------------------------------------------------- Der ultimative shop für Sportbekleidung und Zubehör http://www.sc24.de ---------------------------------------------------- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org