Hallo Leider find ich wirklich grad nirgends aufm Web die Antwort hierzu auch wenn ich irgendwie denke dass es fast eine FAQ ist.... bitte also keine Flames falls es so ist aber guugl hilft mir diesbezüglich leider fast nicht :-( Also, ich benutze die SuSEfirewall 2 unter SuSE 9.0, 2 Netzwerkkarten sind drin, eine am Intranet, die andere am Internet, Masquerading&Forward ist aktiv, gegen aussen alles zu was nicht spezifisch offen ist ( FW_SERVICES_EXT_*** ) PROTECT_FROM_INTERNALS ist off Funktioniert alles wunderbar AUSSER wenn ich ausm intranet den server über seine externe IP ansprechen will.. dann wird das paket vom firewall DENYed und vernichtet...... Wie sag ich dem firewall dass er gefälligst alle anfragne die vom internen interface her kommen durchlassen soll? Vielen Dank Matti
Am Freitag, 12. März 2004 20:40 schrieb Matthias Keller:
Hallo
Leider find ich wirklich grad nirgends aufm Web die Antwort hierzu auch wenn ich irgendwie denke dass es fast eine FAQ ist.... bitte also keine Flames falls es so ist aber guugl hilft mir diesbezüglich leider fast nicht :-(
Also, ich benutze die SuSEfirewall 2 unter SuSE 9.0, 2 Netzwerkkarten sind drin, eine am Intranet, die andere am Internet, Masquerading&Forward ist aktiv, gegen aussen alles zu was nicht spezifisch offen ist ( FW_SERVICES_EXT_*** ) PROTECT_FROM_INTERNALS ist off Funktioniert alles wunderbar AUSSER wenn ich ausm intranet den server über seine externe IP ansprechen will.. dann wird das paket vom firewall ^^^^^^^^^^^^^ Äh Verständnisfarge jetzt von mir: Warum willst Du den Server über die explizit externe IP ansprechen. Machst du damit nicht die Trennung zwischen Drinnen und Draussen zunichte? Nach Deiner Aussage ist der server über die interne IP wohl ohne Probleme erreichbar, oder?
DENYed und vernichtet...... Wie sag ich dem firewall dass er gefälligst alle anfragne die vom internen interface her kommen durchlassen soll?
Leider nur die logische Folge von Deinen einstellungen. dass alle Pakte, die nicht explizit erlaubt sind vernichtet werden. Gruss Boris
Also, ich benutze die SuSEfirewall 2 unter SuSE 9.0, 2 Netzwerkkarten sind drin, eine am Intranet, die andere am Internet, Masquerading&Forward ist aktiv, gegen aussen alles zu was nicht spezifisch offen ist ( FW_SERVICES_EXT_*** ) PROTECT_FROM_INTERNALS ist off Funktioniert alles wunderbar AUSSER wenn ich ausm intranet den server über seine externe IP ansprechen will.. dann wird das paket vom firewall
^^^^^^^^^^^^^ Äh Verständnisfarge jetzt von mir: Warum willst Du den Server über die explizit externe IP ansprechen. Machst du damit nicht die Trennung zwischen Drinnen und Draussen zunichte? Nach Deiner Aussage ist der server über die interne IP wohl ohne Probleme erreichbar, oder?
Ganz einfach weil der server einige Domains beherbergt die derzeit von drinnen NICHT erreichbar sind da die natürlich auf die öffentliche IP resolven!
DENYed und vernichtet...... Wie sag ich dem firewall dass er gefälligst alle anfragne die vom internen interface her kommen durchlassen soll?
Leider nur die logische Folge von Deinen einstellungen. dass alle Pakte, die nicht explizit erlaubt sind vernichtet werden.
Ja das vermut ich schon, aber ich sehe nicht was ich ändern kann damit ich von drinnen durchkomm...? Meiner meinung nach sollte die firewall eigentlich ja nur die pakete die vom äusseren interface her kommen wie externe pakete behandeln aber nicht die die vom internen interface her kommen....? aber gegen aussen ist port 80 auch offen, die domains funktionieren auch von aussen .. nur von innen wird alles zurückgewiesen - auch wenn ich FW_SERVICES_INT_TCP="http" noch zusätzlich stelle (beim EXC ist das eh schon drin)? Danke für weitere Tipps... Matti
Matthias Keller, Freitag 12 März 2004 20:40:
Hallo
Leider find ich wirklich grad nirgends aufm Web die Antwort hierzu auch wenn ich irgendwie denke dass es fast eine FAQ ist.... bitte also keine Flames falls es so ist aber guugl hilft mir diesbezüglich leider fast nicht :-(
Also, ich benutze die SuSEfirewall 2 unter SuSE 9.0, 2 Netzwerkkarten sind drin, eine am Intranet, die andere am Internet, Masquerading&Forward ist aktiv, gegen aussen alles zu was nicht spezifisch offen ist ( FW_SERVICES_EXT_*** ) PROTECT_FROM_INTERNALS ist off Funktioniert alles wunderbar AUSSER wenn ich ausm intranet den server über seine externe IP ansprechen will.. dann wird das paket vom firewall DENYed und vernichtet...... Wie sag ich dem firewall dass er gefälligst alle anfragne die vom internen interface her kommen durchlassen soll?
Ich arbeite nicht mit der SuSE-Firewall (nur eigene Scripte sind unabhängig sicher *g*), aber das Problem ging hier vor ca. 1/4 Jahr über die Liste. Schau mal ins Listenarchiv (Adressen in der Listen-Mini-FAQ). -- Gruß MaxX 8-) Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Matthias Keller schrieb:
Hallo
Leider find ich wirklich grad nirgends aufm Web die Antwort hierzu auch wenn ich irgendwie denke dass es fast eine FAQ ist.... bitte also keine Flames falls es so ist aber guugl hilft mir diesbezüglich leider fast nicht :-(
Also, ich benutze die SuSEfirewall 2 unter SuSE 9.0, 2 Netzwerkkarten sind drin, eine am Intranet, die andere am Internet, Masquerading&Forward ist aktiv, gegen aussen alles zu was nicht spezifisch offen ist ( FW_SERVICES_EXT_*** ) PROTECT_FROM_INTERNALS ist off Funktioniert alles wunderbar AUSSER wenn ich ausm intranet den server über seine externe IP ansprechen will.. dann wird das paket vom firewall DENYed und vernichtet...... Wie sag ich dem firewall dass er gefälligst alle anfragne die vom internen interface her kommen durchlassen soll?
Vielen Dank
Matti
Hallo Matti, du kannst dir auch ein DynDNS einrichten, dann sparst du dir das mit der Ip. Diese Frage tauchte schon öfters in der Liste auf. Problem ist: # Anti Spoofing/Cirumvention protection - interface dependent # Schau dir mal deine /sbin/SuSEfirewall2 an, da gibts einen Eintrag. Gruss Andy
Andreas Bogan wrote:
Matthias Keller schrieb:
Also, ich benutze die SuSEfirewall 2 unter SuSE 9.0, 2 Netzwerkkarten sind drin, eine am Intranet, die andere am Internet, Masquerading&Forward ist aktiv, gegen aussen alles zu was nicht spezifisch offen ist ( FW_SERVICES_EXT_*** ) PROTECT_FROM_INTERNALS ist off Funktioniert alles wunderbar AUSSER wenn ich ausm intranet den server über seine externe IP ansprechen will.. dann wird das paket vom firewall DENYed und vernichtet...... Wie sag ich dem firewall dass er gefälligst alle anfragne die vom internen interface her kommen durchlassen soll?
Problem ist:
# Anti Spoofing/Cirumvention protection - interface dependent #
Schau dir mal deine /sbin/SuSEfirewall2 an, da gibts einen Eintrag.
Hi Andreas Danke für den Hinweis auf diesen Eintrag in der SuSEfirewall2 Nach etlichem weiteren googeln hab ich schliesslich ein interessantes dokument gefunden: http://cesnet.dl.sourceforge.net/sourceforge/susefaq/firewall2-a4-0-9.pdf Dort steht beschrieben wie man im custom-file eine Regel erstellt die das zulässt... ich habe sie ein wenig generalisiert damit ich keine gehardcodeten IFs und externe IPs drin hab und jetzt funktionierts gut :D fw_custom_before_antispoofing() { for DEVi in $FW_DEV_INT; do for IPe in $DEV_EXT; do $IPTABLES -A INPUT -i $DEVi -s 192.168.0.0/24 -d $IPe -j ACCEPT done done true } Meine letzte Frage: WARUM ist dies vom Sicherheitsstandpunkt her nicht wirklich gut??? Schliesslich werden ja nur Packete vom internen Netz so gehandhabt und KEINE vom externen? (das -i $DEVi sollte dies ja sicherstellen....) Gruss Matti
participants (4)
-
Andreas Bogan
-
Boris
-
Matthias Houdek
-
Matthias Keller