SuSEFirewall2 Config Probleme
Hallo zusammen, hier will meine SuSEFW2 nicht so, wie ich will. Zu Hause habe ich die FW2 konfiguriert mit zwei Netzwerkkarten und DSL. Damit sind eth0, eth1, vmnet1 intern, ppp0 ist das externe IF. Damit kann ich aus der VM auf meine Linux-FS via Samba zugreifen. (Ob ich eth1 - mit DSL-Modem verbunden - wirklich als internes IF brauche, habe ich nie probiert). Hier an dem Rechner habe ich nur eine Ethernet Karte. Also: DEV_EXT=eth0, DEV_INT=vmnet1 Wenn ich nun in der VM "net view" absetze, blockt die FW alle Requests: --- cut here --- Mar 16 09:12:06 pc121353 kernel: SuSE-FW-ACCESS_DENIED_INT IN=vmnet1 OUT= MAC=00:50:56:c0:00:01:00:0c:29:d2:05:df:08:00 SRC=192.168.10.128 DST=IP_von_eth0 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=1004 DF PROTO=TCP SPT=1052 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402) --- cut here --- Schalte ich die FW2 ab, geht der "net view" problemlos. Frage1: Warum geht der Request von der VM nicht an die 192.168.10.1 (das ist die Adresses des VMNET1 Interfaces des Hosts, sondern an die externe IP (IP von eth0) Ich weiss, das die FW2 per default alle Requests von den internen IPs an die externen Adresses blockt. Aber eigentlich muss die VM doch für den Samba Zugriff doch gar nicht an das externe IF, oder? Samba ist allerdings auch an eth0 gebunden, da auch andere auf den Rechner zugreifen. Das funktioniert auch. Ich bastel da schon eine Weile dran rum, finde aber keine Lösung. Any Ideas? Andreas
Hallo Andreas, hallo Leute, Am Dienstag, 16. März 2004 09:19 schrieb Andreas Kyek:
hier will meine SuSEFW2 nicht so, wie ich will.
Zu Hause habe ich die FW2 konfiguriert mit zwei Netzwerkkarten und DSL. Damit sind eth0, eth1, vmnet1 intern, ppp0 ist das externe IF. Damit kann ich aus der VM auf meine Linux-FS via Samba zugreifen.
Hier an dem Rechner habe ich nur eine Ethernet Karte. Also: DEV_EXT=eth0, DEV_INT=vmnet1
Wenn ich nun in der VM "net view" absetze, blockt die FW alle Requests:
--- cut here --- Mar 16 09:12:06 pc121353 kernel: SuSE-FW-ACCESS_DENIED_INT IN=vmnet1 OUT= MAC=00:50:56:c0:00:01:00:0c:29:d2:05:df:08:00 SRC=192.168.10.128 DST=IP_von_eth0 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=1004 DF PROTO=TCP SPT=1052 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402) --- cut here ---
Frage vorweg: eth0 liegt schon in einem anderen Subnet, oder?
Schalte ich die FW2 ab, geht der "net view" problemlos.
Frage1: Warum geht der Request von der VM nicht an die 192.168.10.1 (das ist die Adresses des VMNET1 Interfaces des Hosts, sondern an die externe IP (IP von eth0)
Gute Frage. Kann es sein, dass Du im VMware-Gastsystem die default route auf eth0 bzw. deren IP gesetzt hast? BTW: die default route kann auch durch DHCP gesetzt werden! Oder hast Du die IP von eth0 als wins-Server o. ä. eingetragen? Sprich: irgendein Grund, warum das Gastsystem auf diese IP will?
Ich weiss, das die FW2 per default alle Requests von den internen IPs an die externen Adresses blockt. Aber eigentlich muss die VM doch für den Samba Zugriff doch gar nicht an das externe IF, oder?
Prinzipiell wohl nicht. Allerdings kenne ich VMware fast nicht, so dass ich nicht garantieren kann, dass meine Antwort richtig ist.
Samba ist allerdings auch an eth0 gebunden, da auch andere auf den Rechner zugreifen. Das funktioniert auch.
Ist Samba auch an vmnet1 gebunden? Ggf. kannst Du das ja mal per telnet IP.von.vmnet1 139 testen. Falls Samba dort lauscht, müsste die Meldung "Connected to ..." erscheinen. Auch ein netstat -tulpen kann helfen, die Sache zu klären. Gruß Christian Boltz -- Evolution ist ein echter Outlook-Clone - es kopiert saemtliche Fehler. [Thomas Hertweck in suse-linux]
On Tuesday 16 March 2004 21:55, Christian Boltz wrote:
Hallo Andreas, hallo Leute,
Am Dienstag, 16. März 2004 09:19 schrieb Andreas Kyek:
hier will meine SuSEFW2 nicht so, wie ich will.
Zu Hause habe ich die FW2 konfiguriert mit zwei Netzwerkkarten und DSL. Damit sind eth0, eth1, vmnet1 intern, ppp0 ist das externe IF. Damit kann ich aus der VM auf meine Linux-FS via Samba zugreifen.
Hier an dem Rechner habe ich nur eine Ethernet Karte. Also: DEV_EXT=eth0, DEV_INT=vmnet1
Wenn ich nun in der VM "net view" absetze, blockt die FW alle Requests:
--- cut here --- Mar 16 09:12:06 pc121353 kernel: SuSE-FW-ACCESS_DENIED_INT IN=vmnet1 OUT= MAC=00:50:56:c0:00:01:00:0c:29:d2:05:df:08:00 SRC=192.168.10.128 DST=IP_von_eth0 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=1004 DF PROTO=TCP SPT=1052 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402) --- cut here ---
Frage vorweg: eth0 liegt schon in einem anderen Subnet, oder?
Ja, eth0 hat 'ne 10er Adresse (10.x.x.x)
Schalte ich die FW2 ab, geht der "net view" problemlos.
Frage1: Warum geht der Request von der VM nicht an die 192.168.10.1 (das ist die Adresses des VMNET1 Interfaces des Hosts, sondern an die externe IP (IP von eth0)
Gute Frage. Kann es sein, dass Du im VMware-Gastsystem die default route auf eth0 bzw. deren IP gesetzt hast? BTW: die default route kann auch durch DHCP gesetzt werden! Oder hast Du die IP von eth0 als wins-Server o. ä. eingetragen? Sprich: irgendein Grund, warum das Gastsystem auf diese IP will?
aus der VM: --- cut here --- C:\>ipconfig /all Windows IP Configuration Host Name . . . . . . . . . . . . : vm11 Primary Dns Suffix . . . . . . . : Node Type . . . . . . . . . . . . : Peer-Peer IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : vmnet.local Ethernet adapter Local Area Connection: Connection-specific DNS Suffix . : vmnet.local Description . . . . . . . . . . . : AMD PCNET Family PCI Physical Address. . . . . . . . . : 00-0C-29-D2-05-DF Dhcp Enabled. . . . . . . . . . . : Yes Autoconfiguration Enabled . . . . : Yes IP Address. . . . . . . . . . . . : 192.168.10.128 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.10.1 DHCP Server . . . . . . . . . . . : 192.168.10.254 DNS Servers . . . . . . . . . . . : 192.168.10.1 Primary WINS Server . . . . . . . : 192.168.10.1 Lease Obtained. . . . . . . . . . : Mittwoch, 10. März 2004 Lease Expires . . . . . . . . . . : Donnerstag, 11. März 2004 C:\> --- cut here --- Das 192er Netz ist mein privates Subnet von vmnet1 (host-only network). Ich habe einen lokalen DNS laufen, der alle requests auf den Linux-Rechner mit seiner Adresse 192.168.10.1 beantwortet.
Ich weiss, das die FW2 per default alle Requests von den internen IPs an die externen Adresses blockt. Aber eigentlich muss die VM doch für den Samba Zugriff doch gar nicht an das externe IF, oder?
Prinzipiell wohl nicht. Allerdings kenne ich VMware fast nicht, so dass ich nicht garantieren kann, dass meine Antwort richtig ist.
Samba ist allerdings auch an eth0 gebunden, da auch andere auf den Rechner zugreifen. Das funktioniert auch.
Ist Samba auch an vmnet1 gebunden?
Klar. Sonst bringt das wohl gar nix. Ich brauche Sambe doch gerade an vmnet1 für den Zugriff.
Ggf. kannst Du das ja mal per telnet IP.von.vmnet1 139 testen. Falls Samba dort lauscht, müsste die Meldung "Connected to ..." erscheinen. Auch ein netstat -tulpen kann helfen, die Sache zu klären.
Prinzipiell läuft Samba ja, Und ohne die SuSE-FW2 auch ohne Probleme. Aber sobald ich die FW2 einschalte, kommt es zu meinem oben beschriebenen Phänomen. Aber egal: Ich habe mir gerade mal shorewall installiert und konfiguriert. Nach 'nem bischen anpassen kann ich mit shorewall so arbeiten wie ich will. Ich denke, ich schmeiss die SuSE FW2 einfach auf den Müll Andreas
participants (2)
-
Andreas Kyek
-
Christian Boltz