Am Mon, 29 Oct 2018 06:14:16 +0000 schrieb "Kyek, Andreas, Vodafone DE" <Andreas.Kyek1@Vodafone.com>: Hallo Andreas! Mir ging es wie Dir: Nach einem kurzen Ausflug zu firewalld auf einer 15.0 bin ich sehr schnell wieder zu SuSEfirewall2 zurück, so daß ich auch nur ein paar grundsätzliche Anregungen habe.
Bisher lief/läuft auf dem Server shorewall als lokale Firewall - alles funktioniert auch soweit. Die Routingtabelle des Servers scheint also in Ordnung zu sein.
Unabhängig davon mußt Du der Firewall sagen, daß sie Pakete von einem IF (192.168.0.21) zum anderen (192.168.128.100) pauschal oder selektiv transportieren (Forward-Chain) soll. Schau Dir mal man5 zu firewalld.zones, firewalld.zone und firewalld.richlanguage an (da steht auch was zu log und audit). Wenn ich das richtig verstanden habe, wird dort verhandelt, was Du brauchst (vor allem Forwarding und Masquerading). Konkreter kann ich Dir hier leider nicht weiterhelfen (s.o.). Einfach mal probieren.
Ich komme aus den WLAN auf den Server und von dort auf die Geräte im LAN Hierzu brauchst Du eben weder Forwarding noch Maquerading. Das funktioniert wie ein Proxy, und die Pakete im LAN kommen dann tatsächlich vom Server.
aber der direkte Zugriff scheitert. Dazu muß die FW wissen, daß die Pakete von Source-IF zum Dest-IF transportiert werden (Forwarding-Chain) und nicht auf dem Server bleiben sollen.
Masquerading am Server brauche ich doch eigtl. nicht Oder doch. Der Hinweis von Jan zu den Netzwerkmasken ist nicht ganz unwichtig. Wenn Du /24er Netze hast, dann steht der Server in verschiedenen Netzen/ Ethernet-Segmenten. Wenn Du keine Proxies hast, wären ohne Adressumschreibung im LAN Pakete unterwegs, die real vom IF 192.168.128.100 kommen, im IP-Header als Absender aber 192.168.0.x haben. So etwas sollte spätestens jedes ordentlich konfigurierte Dev als martian source verwerfen.
Hast Du schonmal vom WLAN ein ping an ein Dev im LAN geschickt (und umgekehrt) und geguckt, wo es hängen bleibt? Vielleicht hilft ja doch was in die richtige Spur, viele Grüße Matthias -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org