Routing, 2 Netzwerkkarten interes Netz - externes Netz + Firewall prob.
Hallo Liste, meine Nacht war sehr kurz ;-( hab einige Probleme mit der Firewall. Verwende die Firewall 2 und habe da unter anderem den Dienst Samba freigegeben. Jedoch -warum auch immer- läuft alles normal und dann auf einmal habe ich vom XP-Rechner keinen Zugriff mehr auf den Server - hhmmm ? Es werden aber auch keinerlei Einträge in /var/log/messages geschrieben - nur das ein Client mit IP-sowieso unberechtigter weise den Zugriff erlangen wollte. Schalte ich die firewall ab, läuft alles klasse und rasend schnell. Hat das ding evtl. eine Macke o. Bug? Habe System (suse 9.2) auf den neuersten Stand. Mein nächstes Prob. ist, habe zwei Netzwerk karten, die zweite bis jetzt unbenutzt. Mein internes Netz ist 192.168.0.xxx/255.255.255.0 und möchte den Zugang ins externe Netz (Internet) nur noch /alles/ über die zweite laufen lassen, die ich bis dato. mit 10.0.0.1 konf habe. Habe die halbe Nacht gegoogelt und versucht rauszufinden was für einen "Schalter" ich umstellen muß, daß meine kleine suse weis, daß ich den zugriff ins Internet nur noch über die 10.0.0.1 haben will. Mein Router hat aber auch noch 192.168.0.x. Da ich nicht mehr so weiter komme, bitte ich um euren Rat. Danke vorab und viele viele Grüße Michael PS: der Regen hat keine Abkühlung gebracht, aber dafür ein Becks :-) Wie ist's im Rest von D?
sirl-suse wrote:
meine Nacht war sehr kurz ;-( hab einige Probleme mit der Firewall. Verwende die Firewall 2 und habe da unter anderem den Dienst Samba freigegeben. Jedoch -warum auch immer- läuft alles normal und dann auf einmal habe ich vom XP-Rechner keinen Zugriff mehr auf den Server - hhmmm ? Es werden aber auch keinerlei Einträge in /var/log/messages geschrieben - nur das ein Client mit IP-sowieso unberechtigter weise den Zugriff erlangen wollte. Schalte ich die firewall ab, läuft alles klasse und rasend schnell. Hat das ding evtl. eine Macke o. Bug? Habe System (suse 9.2) auf den neuersten Stand.
Da wir dein Firewall-Regelwerk nicht kennen, hilft nicht einmal die Kristallkugel. Starte doch mal den Dienst Firewall neu. Du kannst auch /sbin/SuSEfirewall2 test|debug ausprobieren. Bei "test" loggt die Firewall nur die Pakete, die sie sonst fallenlassen würde. "debug" zeigt dir die Regeln an.
Mein nächstes Prob. ist, habe zwei Netzwerk karten, die zweite bis jetzt unbenutzt. Mein internes Netz ist 192.168.0.xxx/255.255.255.0 und möchte den Zugang ins externe Netz (Internet) nur noch /alles/ über die zweite laufen lassen, die ich bis dato. mit 10.0.0.1 konf habe.
Habe die halbe Nacht gegoogelt und versucht rauszufinden was für einen "Schalter" ich umstellen muß, daß meine kleine suse weis, daß ich den zugriff ins Internet nur noch über die 10.0.0.1 haben will. Mein Router hat aber auch noch 192.168.0.x.
Da ich nicht mehr so weiter komme, bitte ich um euren Rat.
Ich habe keine Ahnung, was du genau erreichen willst. Es wäre hilfreich zu wissen, aus welchen Rechnern dein System aufgebaut ist und welcher Rechner wie Zugriff haben soll. Wenn deine "Kleine Suse" das Gateway für dein 192...Netz sein soll, dann muss natürlich als Standardgateway bei allen Rechnern die 192er Adresse der "kleinen Suse" eingetragen werden. Außerdem muss noch Routing aktiviert werden. Das kannst du IMHO sogar bequem per Yast machen. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply (@) japantest (.) homelinux (.) com
Hallo Sandy, hallo liste, ja hab wohl etwas undeutlich geschrieben. Entschuldigung... Und bei nochmaliger Überlegung ist das was ich vor hatte eh schwachsinn. Eigentlich will ich folgendes. im internen Netz sind viele Dienste freigegeben. Ich möchte aber nicht, daß wenn ich im Router einige Ports freigebe daß diese Dienste dann im Internet auch offen sind. Daher dachte ich mir, nim eine 2 Netzwerkkarte und die wird dann bis auf ganz wenige offene Dienste über die Firewall geschützt. Sprich ich möchte meine Netzwerkkarten unterschiedlich von der Firewall konf. Das alles was intern als Anforderung ins Internet gesendet wird, kann ja nach wie vor über den Standart Gateway laufen. Router konf: eingehende Anforderungen: z.B. vpn kommt am Router an - der sendet an 192.168.0.100 (mein server) -- die 192.168.0.100 ist aber mit vielen Diensten offen also soll die Anfrage vom Router an die 10.0.0.1 oder von mir aus an die 192.168.0.101 gesendet werden (2. Karte - die wiederum nur mit wenigen Diensten angesprichen werden kann). --** So und nach dem ich mir den Kopf zerbrochen habe ... fällt mir ein, der Router blockt ja alles ab! Habe KEINE DMZ geschaltet!. Bedeutet ich könnte doch eigentlich alles so lassen wie es ist, so lange ich die Ports die auf Karte 1 offen sind nicht auch auf dem Router auf mache oder? Also kann es sein, daß ich heute voll daneben stehe? Am Samstag, 30. Juli 2005 13:03 schrieb Sandy Drobic:
sirl-suse wrote:
meine Nacht war sehr kurz ;-( hab einige Probleme mit der Firewall. Verwende die Firewall 2 und habe da unter anderem den Dienst Samba freigegeben. Jedoch -warum auch immer- läuft alles normal und dann auf einmal habe ich vom XP-Rechner keinen Zugriff mehr auf den Server - hhmmm ? Es werden aber auch keinerlei Einträge in /var/log/messages geschrieben - nur das ein Client mit IP-sowieso unberechtigter weise den Zugriff erlangen wollte. Schalte ich die firewall ab, läuft alles klasse und rasend schnell. Hat das ding evtl. eine Macke o. Bug? Habe System (suse 9.2) auf den neuersten Stand.
Da wir dein Firewall-Regelwerk nicht kennen, hilft nicht einmal die Kristallkugel. Starte doch mal den Dienst Firewall neu. Du kannst auch /sbin/SuSEfirewall2 test|debug ausprobieren. Bei "test" loggt die Firewall nur die Pakete, die sie sonst fallenlassen würde. "debug" zeigt dir die Regeln an.
Mein nächstes Prob. ist, habe zwei Netzwerk karten, die zweite bis jetzt unbenutzt. Mein internes Netz ist 192.168.0.xxx/255.255.255.0 und möchte den Zugang ins externe Netz (Internet) nur noch /alles/ über die zweite laufen lassen, die ich bis dato. mit 10.0.0.1 konf habe.
Habe die halbe Nacht gegoogelt und versucht rauszufinden was für einen "Schalter" ich umstellen muß, daß meine kleine suse weis, daß ich den zugriff ins Internet nur noch über die 10.0.0.1 haben will. Mein Router hat aber auch noch 192.168.0.x.
Da ich nicht mehr so weiter komme, bitte ich um euren Rat.
Ich habe keine Ahnung, was du genau erreichen willst. Es wäre hilfreich zu wissen, aus welchen Rechnern dein System aufgebaut ist und welcher Rechner wie Zugriff haben soll. Wenn deine "Kleine Suse" das Gateway für dein 192...Netz sein soll, dann muss natürlich als Standardgateway bei allen Rechnern die 192er Adresse der "kleinen Suse" eingetragen werden. Außerdem muss noch Routing aktiviert werden. Das kannst du IMHO sogar bequem per Yast machen.
Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply (@) japantest (.) homelinux (.) com
sirl-suse wrote:
ja hab wohl etwas undeutlich geschrieben. Entschuldigung... Und bei nochmaliger Überlegung ist das was ich vor hatte eh schwachsinn.
Genau das ist der Grund, warum in vielen Mailinglisten und Foren erwartet wird, dass man zuerst das Problem genau definiert, Lösungsmöglichkeiten sucht und Fehlschläge kurz beschreibt. Meistens kommt einem dann selbst die Erleuchtung, mal ganz abgesehen von der Befriedigung, ein Problem selbst gelöst zu haben.
Eigentlich will ich folgendes.
im internen Netz sind viele Dienste freigegeben. Ich möchte aber nicht, daß wenn ich im Router einige Ports freigebe daß diese Dienste dann im Internet auch offen sind. Daher dachte ich mir, nim eine 2 Netzwerkkarte und die wird dann bis auf ganz wenige offene Dienste über die Firewall geschützt.
Vorsicht! Das hört sich gefährlich nach Gebrabbel mit 3,4 Promille an. Lasse mal deinen PC in der Ecke stehen, nimm ein Blatt Papier und schreibe dort die Struktur deines Netzes auf. Danach überlege dir, an welcher Stelle im Netz welche Beschränkungen und Zugriffe notwendig sind. Dann kannst du überlegen, mit welchen Mitteln du das verwirklichen kannst. Du brauchst erst einmal ein durchdachtes Konzept, danach kannst du dir überlegen, wie das Konzept im Detail umgesetzt wird. Beispiel: Internet | Firewall | | | -------- Internes Netzwerk | DMZ Dienste: - Serverdienste nur in DMZ erlaubt Regeln: Intern -> Internet - Nur HTTP/FTP ... Intern -> DMZ - Zugriff auf Mail/Imap/Pop3/FTP ... Internet -> DMZ - SMTP, HTTP ... Internet -> Intern - nur Antwortpakete auf interne Anfragen Überwachung: Regelmäßige Logauswertung von Snort, Nessus etc. Danach kannst du dir überlegen, wie du diese Regeln umsetzt. Sandy PS: Bitte kein Topposting -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply (@) japantest (.) homelinux (.) com
sirl-suse
Hallo Liste, [...] Mein nächstes Prob. ist, habe zwei Netzwerk karten, die zweite bis jetzt unbenutzt. Mein internes Netz ist 192.168.0.xxx/255.255.255.0 und möchte den Zugang ins externe Netz (Internet) nur noch /alles/ über die zweite laufen lassen, die ich bis dato. mit 10.0.0.1 konf habe.
Habe die halbe Nacht gegoogelt und versucht rauszufinden was für einen "Schalter" ich umstellen muß, daß meine kleine suse weis, daß ich den zugriff ins Internet nur noch über die 10.0.0.1 haben will. Mein Router hat aber auch noch 192.168.0.x.
Da ich nicht mehr so weiter komme, bitte ich um euren Rat.
man route(8). also z.B. route add default gw 10.0.0.1 -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8EF7B6C6
participants (3)
-
Dieter Kluenter
-
Sandy Drobic
-
sirl-suse