Hi Leute, also ich habe eine SuSEfirewall2 und möchte mittels der Zeile FW_FORWARD="0/0,192.168.1.240,tcp,80" den http Port von aussen auf einen intern stehenden Webserver leiten, aber irgendwie klappt das nicht. Woran kann das liegen? Gruß Can -- ____________________________________________________________________________ Registered Linux User No. 314644 ____________________________________________________________________________
Hallo Can-Carlo: Can-Carlo Doertbudak wrote:
Hi Leute,
also ich habe eine SuSEfirewall2 und möchte mittels der Zeile FW_FORWARD="0/0,192.168.1.240,tcp,80" den http Port von aussen auf einen intern stehenden Webserver leiten, aber irgendwie klappt das nicht. Woran kann das liegen?
192.168.x.x ist ein privates Netz. Der Eintrag muss bei FW_FORWARD_MASQ stehen. FW_FORWARD ist für nicht-private IP's.
Gruß Can --
____________________________________________________________________________
Registered Linux User No. 314644
____________________________________________________________________________ Einen schönen Abend noch, Michael
Hallo Michael,
192.168.x.x ist ein privates Netz. Der Eintrag muss bei FW_FORWARD_MASQ stehen. FW_FORWARD ist für nicht-private IP's. Ok, das klingt logisch. Aber auch hier bringt der Eintrag 0/0,192.168.0.240,tcp,80 nicht den gewünschten Erfolg. Ist das 0/0 falsch für jeden Zugriff?
Gruß Can -- ____________________________________________________________________________ Registered Linux User No. 314644 ____________________________________________________________________________
Hallo Can-Carlo, Can-Carlo Doertbudak wrote:
Hallo Michael,
192.168.x.x ist ein privates Netz. Der Eintrag muss bei FW_FORWARD_MASQ stehen. FW_FORWARD ist für nicht-private IP's. Ok, das klingt logisch. Aber auch hier bringt der Eintrag 0/0,192.168.0.240,tcp,80 nicht den gewünschten Erfolg. Ist das 0/0 falsch für jeden Zugriff?
Ich habe noch mal nachgesehen: Bei mir steht FW_FORWARD_MASQ="0.0.0.0/0,192.168.x.x,tcp,80,80" Eigentlich könnte man sich, laut den auskommentierten Beispielen, das letzte 80 sparen.
Gruß Can
--
____________________________________________________________________________
Registered Linux User No. 314644
____________________________________________________________________________ Best regards, Michael
Hallo Michael,
Bei mir steht FW_FORWARD_MASQ="0.0.0.0/0,192.168.x.x,tcp,80,80" Eigentlich könnte man sich, laut den auskommentierten Beispielen, das letzte 80 sparen. Wunderbar, so klappt es endlich! Danke schön!
Gruß Can -- ____________________________________________________________________________ Registered Linux User No. 314644 ____________________________________________________________________________
Hi
Ich will ebenfalls u.a. einen im priv. Netz liegenden Webserver ansprechen -
auf Port 83.
Ich habe folgendes mit Yast in die FW bei fw_forward_masq eingetragen :
0/0,192.168.1.10,tcp,83,83
Aber funktionieren tut's einfach nicht - habe auch andere Ports ohne Erfolg
getestet.
Im Rechner sind 3 Netzwerkkarten :
Eth0 : Internet
Eth1 : 192.168.1.20
Eth2 : 10.1.1.20
Mit "tcpdump -i eth1 port 83" sehe ich zwar die korrekten SYN-Pakete aber es
kommen keine ACK-Pakete zurück.
So sehen diese Pakete aus :
22:18:19.977617 AUS.DEM.INTERNET.wsicopy > BUERO.LOKALES.NETZ.mit-ml-dev: S
4154819359:4154819359(0) win 5840
Hallo. office wrote:
Hi
Ich will ebenfalls u.a. einen im priv. Netz liegenden Webserver ansprechen - auf Port 83.
Ich habe folgendes mit Yast in die FW bei fw_forward_masq eingetragen
0/0,192.168.1.10,tcp,83,83
Die Zeile muss FW_FORWARD_MASQ="0.0.0.0/0,192.168.1.10,tcp,83,83" lauten. "0/0" ist nicht erlaubt.
Aber funktionieren tut's einfach nicht - habe auch andere Ports ohne Erfolg getestet.
Im Rechner sind 3 Netzwerkkarten :
Eth0 : Internet Eth1 : 192.168.1.20 Eth2 : 10.1.1.20
Mit "tcpdump -i eth1 port 83" sehe ich zwar die korrekten SYN-Pakete aber es kommen keine ACK-Pakete zurück.
So sehen diese Pakete aus :
22:18:19.977617 AUS.DEM.INTERNET.wsicopy > BUERO.LOKALES.NETZ.mit-ml-dev: S 4154819359:4154819359(0) win 5840
(DF) Kann jemand helfen ?
Gruss Walter
Best regards, Michael
Hallo Walter, also bei mir gehts z.B. für Terminalserver (Port 3389) über das Scriptfile in /etc/sysconfig/script/SuSEfirewall2-custom im Bereich fw_custom_before_denyall() mit den Zeilen iptables -t nat -I PREROUTING -p tcp --dport 3389 -j DNAT --to IPADRESSE iptables -I INPUT -p tcp --dport 3389 -j ACCEPT iptables -I OUTPUT -p tcp --dport 3389 -j ACCEPT iptables -I FORWARD -p tcp --dport 3389 -j ACCEPT Hab ich aber auch schon für httpd, pop, usw. gemacht. Maximilian Steinbauer
-----Ursprüngliche Nachricht----- Von: Heinrich Michael Schmitz [mailto:darthbach@gmx.de] Gesendet: Dienstag, 22. März 2005 07:21 An: suse-linux@suse.com Betreff: Re: Portforwarding mit FW2 will nicht funktionieren Hallo. office wrote:
Hi
Ich will ebenfalls u.a. einen im priv. Netz liegenden Webserver ansprechen - auf Port 83.
Ich habe folgendes mit Yast in die FW bei fw_forward_masq eingetragen
0/0,192.168.1.10,tcp,83,83
Aber funktionieren tut's einfach nicht - habe auch andere Ports ohne Erfolg getestet.
Im Rechner sind 3 Netzwerkkarten :
Eth0 : Internet Eth1 : 192.168.1.20 Eth2 : 10.1.1.20
Mit "tcpdump -i eth1 port 83" sehe ich zwar die korrekten SYN-Pakete aber es kommen keine ACK-Pakete zurück.
So sehen diese Pakete aus :
22:18:19.977617 AUS.DEM.INTERNET.wsicopy > BUERO.LOKALES.NETZ.mit-ml-dev: S 4154819359:4154819359(0) win 5840
(DF) Kann jemand helfen ?
Gruss Walter
Best regards, Michael -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Schade, die manuellen IPTABLES-Einträge in der SuSEfirewall2-custom haben auch kein besseres Ergebnis ... Woran kann es noch liegen ? Habe ich in dem Kaffeesatz, den mir tcpdump ausgibt vielleicht etwas übersehen ? Gruss Walter
Hi
Ich will ebenfalls u.a. einen im priv. Netz liegenden Webserver ansprechen - auf Port 83.
Ich habe folgendes mit Yast in die FW bei fw_forward_masq eingetragen
0/0,192.168.1.10,tcp,83,83
Aber funktionieren tut's einfach nicht - habe auch andere Ports ohne Erfolg getestet.
Im Rechner sind 3 Netzwerkkarten :
Eth0 : Internet Eth1 : 192.168.1.20 Eth2 : 10.1.1.20
Mit "tcpdump -i eth1 port 83" sehe ich zwar die korrekten SYN-Pakete aber es kommen keine ACK-Pakete zurück.
So sehen diese Pakete aus :
22:18:19.977617 AUS.DEM.INTERNET.wsicopy > BUERO.LOKALES.NETZ.mit-ml-dev: S 4154819359:4154819359(0) win 5840
(DF) Kann jemand helfen ?
Gruss Walter
Best regards, Michael -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
office schrieb:
-----Ursprüngliche Nachricht----- Von: Heinrich Michael Schmitz [mailto:darthbach@gmx.de] Gesendet: Dienstag, 22. März 2005 07:21 An: suse-linux@suse.com Betreff: Re: Portforwarding mit FW2 will nicht funktionieren
Hallo.
office wrote:
Hi
Ich will ebenfalls u.a. einen im priv. Netz liegenden Webserver ansprechen - auf Port 83.
Ich habe folgendes mit Yast in die FW bei fw_forward_masq eingetragen
0/0,192.168.1.10,tcp,83,83
Hallo Michael,
Das hatte ich schon probiert - leider ohne Erfolg.
Man möge mich verbessern wenn folgendes falsch ist... Hast Du den Quickmode der Firewall eingeschaltet? In dem Fall sind die Einträge an den obigen Stellen vermutlich wirkungslos, ich meine es gibt eine eigene Sektion für entsprechende Einträge wenn Quickmode an - bzw. der Quickmode müsste evt. deaktiviert werden. Gruß Eric
-----Ursprüngliche Nachricht----- Von: Eric Scheen [mailto:Dr-Frank-N-Furter@gmx.de] Gesendet: Dienstag, 22. März 2005 12:13 An: SuSE Linux ML Betreff: Re: Portforwarding mit FW2 will nicht funktionieren office schrieb:
-----Ursprüngliche Nachricht----- Von: Heinrich Michael Schmitz [mailto:darthbach@gmx.de] Gesendet: Dienstag, 22. März 2005 07:21 An: suse-linux@suse.com Betreff: Re: Portforwarding mit FW2 will nicht funktionieren
Hallo.
office wrote:
Hi
Ich will ebenfalls u.a. einen im priv. Netz liegenden Webserver ansprechen - auf Port 83.
Ich habe folgendes mit Yast in die FW bei fw_forward_masq eingetragen
0/0,192.168.1.10,tcp,83,83
Hallo Michael,
Das hatte ich schon probiert - leider ohne Erfolg.
Man möge mich verbessern wenn folgendes falsch ist... Hast Du den Quickmode der Firewall eingeschaltet? In dem Fall sind die Einträge an den obigen Stellen vermutlich wirkungslos, ich meine es gibt eine eigene Sektion für entsprechende Einträge wenn Quickmode an - bzw. der Quickmode müsste evt. deaktiviert werden. Gruß Eric ... Nein, Quickmode ist nicht eingestellt. Die Pakete kommen ja laut tcpdump bis zum korrekten internen Interface eth1 - nur dann geht wohl nix mehr weiter. Auf der Zielmaschine kommt kein Paket an. Rufe ich die Zielmaschine direkt von der FW auf, funzt's dagegen prima über eth1. Wo kann nur das Problem liegen ??
Hallo Office, ich hab z.T. in SuSEfirewall2-custom noch masquerading mit drin iptables -t nat -I POSTROUTING -p tcp --dport 83 -j MASQUERADE und habe natürlich auf DEV_INT und DEV_EXT in SuSEfirewall2 die entsprechenden Ports auch frei gegeben. Maximilian Steinbauer
Hallo Maximilian, Yep, die Masquerading-Zeile hat's gemacht :-)) Aber warum funzt es nicht mit den recht genauen Beschreibungen von Suse selber, wo entsprechende Einträge simple mit Yast gemacht werden sollen ... Mir gefällt diese Mixtur aus IPTABLES Alias SuseFirewall2 und "echten" IPTABLE-Anweisungen nicht sonderlich. Da Problem des Zugriffs auf das externe Interface von innen konnte ja auch nur so vollständig gelöst werden .... Ist nur schade, das hier niemand von Suse selber dazu gepostet hat .... Aber vemutlich wissen die selber, dass ihre eigenen YAST-Konfigurationsvorschläge nicht funktionieren. Ich nutze übrigens Suse 9.0 .... Und da gab's tatsächlich ein Yast-Update zur Umsetzung der FW2-Parameter in IPTABLES, da Yast wohl manchmal bei der Umsetzung Fehler gemacht hat, genauer : es wurden konfigurierte Regeln einfach "vergessen". - Dieses Update scheint wohl das Problem noch nicht gelöst zu haben. Besten Dank und Gruss Walter -----Ursprüngliche Nachricht----- Von: Maximilian Steinbauer [mailto:steinbauer@cenis.de] Gesendet: Dienstag, 22. März 2005 14:47 An: suse-linux@suse.com Betreff: AW: Portforwarding mit FW2 will nicht funktionieren Hallo Office, ich hab z.T. in SuSEfirewall2-custom noch masquerading mit drin iptables -t nat -I POSTROUTING -p tcp --dport 83 -j MASQUERADE und habe natürlich auf DEV_INT und DEV_EXT in SuSEfirewall2 die entsprechenden Ports auch frei gegeben. Maximilian Steinbauer -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
participants (5)
-
Can-Carlo Doertbudak
-
Eric Scheen
-
Heinrich Michael Schmitz
-
Maximilian Steinbauer
-
office