Hallo liebe Liste, ich habe einen Router (Name=basar) mit SuSE 11.0 aufgesetzt mit 3 Subnetzen aufgesetzt. (routing table siehe unten). warum geht der ping zwischen 192.168.1.2 und 192.168.3.198 nicht? ======================================================== guenter:~ # route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo 0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth0 guenter@guenter:~> ping 192.168.3.198 PING 192.168.3.198 (192.168.3.198) 56(84) bytes of data. From 192.168.1.1: icmp_seq=1 Destination Protocol Unreachable ======================================================== obwohl auf dem router alles funktioniert: ======================================================== basar:~ # ping guenter PING guenter (192.168.1.2) 56(84) bytes of data. 64 bytes from guenter (192.168.1.2): icmp_seq=1 ttl=64 time=0.225 ms basar:~ # ping 192.168.3.198 PING 192.168.3.198 (192.168.3.198) 56(84) bytes of data. 64 bytes from 192.168.3.198: icmp_seq=1 ttl=64 time=2.73 ms ======================================================== und die route tab auf dem Router (basar) folgendermaßen aussieht: ======================================================== basar:~ # route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 217.0.118.22 * 255.255.255.255 UH 0 0 0 dsl1 192.168.3.0 * 255.255.255.0 U 0 0 0 eth2 192.168.2.0 * 255.255.255.0 U 0 0 0 eth1 192.168.1.0 * 255.255.255.0 U 0 0 0 eth0 link-local * 255.255.0.0 U 0 0 0 eth0 loopback * 255.0.0.0 U 0 0 0 lo default * 0.0.0.0 U 0 0 0 dsl1 ======================================================== forwarding ist eingeschaltet: ======================================================== basar:~ # cat /proc/sys/net/ipv4/ip_forward 1 ======================================================== Viele Grüße Günter -- Guenter Ohmer Jahnstrasse 24 D 76865 Rohrbach mailto:guenter.ohmer@gmx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Günter Ohmer wrote:
Hallo liebe Liste,
ich habe einen Router (Name=basar) mit SuSE 11.0 aufgesetzt mit 3 Subnetzen aufgesetzt. (routing table siehe unten).
warum geht der ping zwischen 192.168.1.2 und 192.168.3.198 nicht?
Vermutlich ein iptables-Problem. Was sagt denn "iptables -L"? -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Sonntag, 10. August 2008 13:57:42 schrieb Sandy Drobic:
Günter Ohmer wrote:
Hallo liebe Liste,
ich habe einen Router (Name=basar) mit SuSE 11.0 aufgesetzt mit 3 Subnetzen aufgesetzt. (routing table siehe unten).
warum geht der ping zwischen 192.168.1.2 und 192.168.3.198 nicht?
Vermutlich ein iptables-Problem. Was sagt denn "iptables -L"?
-- Sandy
Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com Das ist ein bißchen länglich, aber wenn man weiß wo man hinschauen muss .. :-) ============================================================== basar:~ # iptables -L Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere state ESTABLISHED ACCEPT icmp -- anywhere anywhere state RELATED input_int all -- anywhere anywhere input_int all -- anywhere anywhere input_int all -- anywhere anywhere input_ext all -- anywhere anywhere input_ext all -- anywhere anywhere LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-IN-ILL-TARGET ' DROP all -- anywhere anywhere
Chain FORWARD (policy DROP) target prot opt source destination TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU forward_int all -- anywhere anywhere forward_int all -- anywhere anywhere forward_int all -- anywhere anywhere forward_ext all -- anywhere anywhere LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWD-ILL-ROUTING ' DROP all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-OUT-ERROR ' Chain forward_ext (1 references) target prot opt source destination ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp echo-reply ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp destination-unreachable ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp time-exceeded ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp parameter-problem ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp timestamp-reply ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp address-mask-reply ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp protocol-unreachable ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp redirect ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED LOG all -- anywhere anywhere limit: avg 3/min burst 5 PKTTYPE = multicast LOG level warning tcp-options ip-options prefix `SFW2-FWDext-DROP-DEFLT ' DROP all -- anywhere anywhere PKTTYPE = multicast LOG tcp -- anywhere anywhere limit: avg 3/min burst 5 tcp flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-FWDext-DROP-DEFLT ' LOG icmp -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWDext-DROP-DEFLT ' LOG udp -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWDext-DROP-DEFLT ' LOG all -- anywhere anywhere limit: avg 3/min burst 5 state INVALID LOG level warning tcp-options ip-options prefix `SFW2-FWDext-DROP-DEFLT-INV ' DROP all -- anywhere anywhereChain forward_int (3 references) target prot opt source destination ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp echo-reply ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp destination-unreachable ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp time-exceeded ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp parameter-problem ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp timestamp-reply ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp address-mask-reply ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp protocol-unreachable ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp redirect ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED LOG all -- anywhere anywhere limit: avg 3/min burst 5 PKTTYPE = multicast LOG level warning tcp-options ip-options prefix `SFW2-FWDint-DROP-DEFLT ' DROP all -- anywhere anywhere PKTTYPE = multicast LOG tcp -- anywhere anywhere limit: avg 3/min burst 5 tcp flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-FWDint-DROP-DEFLT ' LOG icmp -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWDint-DROP-DEFLT ' LOG udp -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWDint-DROP-DEFLT ' LOG all -- anywhere anywhere limit: avg 3/min burst 5 state INVALID LOG level warning tcp-options ip-options prefix `SFW2-FWDint-DROP-DEFLT-INV ' reject_func all -- anywhere anywhere Chain input_ext (2 references) target prot opt source destination DROP all -- anywhere anywhere PKTTYPE = broadcast ACCEPT icmp -- anywhere anywhere icmp source-quench ACCEPT icmp -- anywhere anywhere icmp echo-request LOG all -- anywhere anywhere limit: avg 3/min burst 5 PKTTYPE = multicast LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT ' DROP all -- anywhere anywhere PKTTYPE = multicast LOG tcp -- anywhere anywhere limit: avg 3/min burst 5 tcp flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT ' LOG icmp -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT ' LOG udp -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT ' LOG all -- anywhere anywhere limit: avg 3/min burst 5 state INVALID LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT-INV ' DROP all -- anywhere anywhere Chain input_int (3 references) target prot opt source destination ACCEPT all -- anywhere anywhere Chain reject_func (1 references) target prot opt source destination REJECT tcp -- anywhere anywhere reject-with tcp-reset REJECT udp -- anywhere anywhere reject-with icmp-port-unreachable REJECT all -- anywhere anywhere reject-with icmp-proto-unreachable basar:~ # Viele Grüße Günter Ohmer -- Guenter Ohmer Jahnstrasse 24 D 76865 Rohrbach mailto:guenter.ohmer@gmx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Günter Ohmer wrote:
Hallo,
Am Sonntag, 10. August 2008 13:57:42 schrieb Sandy Drobic:
Günter Ohmer wrote:
Hallo liebe Liste,
ich habe einen Router (Name=basar) mit SuSE 11.0 aufgesetzt mit 3 Subnetzen aufgesetzt. (routing table siehe unten).
warum geht der ping zwischen 192.168.1.2 und 192.168.3.198 nicht? Vermutlich ein iptables-Problem. Was sagt denn "iptables -L"?
Das ist ein bißchen länglich, aber wenn man weiß wo man hinschauen muss .. :-)
Puh, das ist allerdings ziemlich länglich. Auf den ersten Blick sehe ich das Problem leider auch nicht. Was mir jedoch auffällst, ich sehe keine Interface-spezifischen Regeln. Ich vermute, dass eine spezifische Regelung, welche Schnittstellen wohin forwarden dürfen, noch fehlt. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Sonntag, 10. August 2008 17:08:16 schrieb Sandy Drobic:
Puh, das ist allerdings ziemlich länglich. Auf den ersten Blick sehe ich das Problem leider auch nicht. Was mir jedoch auffällst, ich sehe keine Interface-spezifischen Regeln.
Ich vermute, dass eine spezifische Regelung, welche Schnittstellen wohin forwarden dürfen, noch fehlt.
Kannst du mir einen Tipp geben, wie sowas aussieht?
-- Sandy
Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
-- Guenter Ohmer Jahnstrasse 24 D 76865 Rohrbach mailto:guenter.ohmer@gmx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Günter Ohmer wrote:
Hallo, Am Sonntag, 10. August 2008 17:08:16 schrieb Sandy Drobic:
Puh, das ist allerdings ziemlich länglich. Auf den ersten Blick sehe ich das Problem leider auch nicht. Was mir jedoch auffällst, ich sehe keine Interface-spezifischen Regeln.
Ich vermute, dass eine spezifische Regelung, welche Schnittstellen wohin forwarden dürfen, noch fehlt.
Kannst du mir einen Tipp geben, wie sowas aussieht?
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT Solche Regeln kannst du in einem ergänzenden Shellscript einsetzen, welche mit der Firewall aufgerufen werden. Wenn ich mich recht erinnere, gibt es eine dafür vorgesehene irgendwas.local, in der solche Befehle stehen können. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo. * Sonntag, 10. August 2008 um 15:29 (+0200) schrieb Günter Ohmer:
Am Sonntag, 10. August 2008 13:57:42 schrieb Sandy Drobic:
Vermutlich ein iptables-Problem. Was sagt denn "iptables -L"?
Das ist ein bißchen länglich, aber wenn man weiß wo man hinschauen muss .. :-) ============================================================== basar:~ # iptables -L
[...] Ohne die Option "-v" ist 'iptables -L' IMHO ziemlich nutzlos, weil halt die Interfaces fehlen... Besser (nochmal) 'iptables -L FORWARD -nv' und 'iptables -L forward_int -nv' mailen. Gruß Andreas -- Amarok spielt gerade nichts... GPG-ID/Fingerprint: 6F28CF96/0B3B C287 30CE 21DF F37A AF63 A46C D899 6F28 CF96 GPG-Key on request or on public keyservers -- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Sonntag, 10. August 2008 23:02:05 schrieb Andreas Koenecke:
Hallo.
* Sonntag, 10. August 2008 um 15:29 (+0200) schrieb Günter Ohmer:
Am Sonntag, 10. August 2008 13:57:42 schrieb Sandy Drobic:
Vermutlich ein iptables-Problem. Was sagt denn "iptables -L"?
Das ist ein bißchen länglich, aber wenn man weiß wo man hinschauen muss .. :-) ============================================================== basar:~ # iptables -L
[...]
Ohne die Option "-v" ist 'iptables -L' IMHO ziemlich nutzlos, weil halt die Interfaces fehlen...
Besser (nochmal) 'iptables -L FORWARD -nv' und 'iptables -L forward_int -nv' mailen.
Gruß
Andreas
-- Amarok spielt gerade nichts...
GPG-ID/Fingerprint: 6F28CF96/0B3B C287 30CE 21DF F37A AF63 A46C D899 6F28 CF96 GPG-Key on request or on public keyservers --
================================================================================================================================== basar:~ # iptables -L FORWARD -nv Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 94 5528 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU 2118 126K forward_int all -- eth0 * 0.0.0.0/0 0.0.0.0/0 0 0 forward_int all -- eth1 * 0.0.0.0/0 0.0.0.0/0 0 0 forward_int all -- eth2 * 0.0.0.0/0 0.0.0.0/0 3560 4941K forward_ext all -- dsl1 * 0.0.0.0/0 0.0.0.0/0 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `SFW2-FWD-ILL-ROUTING ' 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ================================================================================================================================== basar:~ # iptables -L forward_int -nv Chain forward_int (3 references) pkts bytes target prot opt in out source destination 0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 0 LOG flags 6 level 4 prefix `SFW2-FWDint-FWD-RELA' 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 0 0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3 LOG flags 6 level 4 prefix `SFW2-FWDint-FWD-RELA' 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3 0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 11 LOG flags 6 level 4 prefix `SFW2-FWDint-FWD-RELA' 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 11 0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 12 LOG flags 6 level 4 prefix `SFW2-FWDint-FWD-RELA' 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 12 0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 14 LOG flags 6 level 4 prefix `SFW2-FWDint-FWD-RELA' 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 14 0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 18 LOG flags 6 level 4 prefix `SFW2-FWDint-FWD-RELA' 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 18 0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3 code 2 LOG flags 6 level 4 prefix `SFW2-FWDint-FWD-RELA' 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3 code 2 0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 5 LOG flags 6 level 4 prefix `SFW2-FWDint-FWD-RELA' 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 5 2141 127K LOG all -- eth0 dsl1 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `SFW2-FWDint-ACC-MASQ ' 2141 127K ACCEPT all -- eth0 dsl1 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED 0 0 LOG all -- eth1 dsl1 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `SFW2-FWDint-ACC-MASQ ' 0 0 ACCEPT all -- eth1 dsl1 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED 0 0 LOG all -- eth2 dsl1 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `SFW2-FWDint-ACC-MASQ ' 0 0 ACCEPT all -- eth2 dsl1 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = multicast 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT ' 0 0 reject_func all -- * * 0.0.0.0/0 0.0.0.0/0 ================================================================================================================================== Viele Grüße Günter -- Guenter Ohmer Jahnstrasse 24 D 76865 Rohrbach mailto:guenter.ohmer@gmx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo. * Montag, 11. August 2008 um 07:48 (+0200) schrieb Günter Ohmer:
================================================================================================================================== basar:~ # iptables -L forward_int -nv Chain forward_int (3 references) pkts bytes target prot opt in out source destination 0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 0 LOG flags 6 level 4 prefix `SFW> 2-FWDint-FWD-RELA' 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 0 0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3 LOG flags 6 level 4 prefix `SFW>2-FWDint-FWD-RELA' 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3 0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 11 LOG flags 6 level 4 prefix `SF>W2-FWDint-FWD-RELA' 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 11 0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 12 LOG flags 6 level 4 prefix `SF>W2-FWDint-FWD-RELA' 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 12 0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 14 LOG flags 6 level 4 prefix `SF>W2-FWDint-FWD-RELA' 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 14 0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 18 LOG flags 6 level 4 prefix `SF>W2-FWDint-FWD-RELA' 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 18 0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3 code 2 LOG flags 6 level 4 pref>ix `SFW2-FWDint-FWD-RELA' 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3 code 2 0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 5 LOG flags 6 level 4 prefix `SFW>2-FWDint-FWD-RELA' 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 5 2141 127K LOG all -- eth0 dsl1 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `SFW2-FWDint-ACC-MASQ ' 2141 127K ACCEPT all -- eth0 dsl1 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED 0 0 LOG all -- eth1 dsl1 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `SFW2-FWDint-ACC-MASQ ' 0 0 ACCEPT all -- eth1 dsl1 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED 0 0 LOG all -- eth2 dsl1 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `SFW2-FWDint-ACC-MASQ ' 0 0 ACCEPT all -- eth2 dsl1 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = multicast 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT ' 0 0 reject_func all -- * * 0.0.0.0/0 0.0.0.0/0 ==================================================================================================================================
Laut diesem Regelsatz werden gar keine aufbauenden ("state NEW") Verbindungen zwischen den internen Netzwerkkarten zugelassen, sondern nur einige ICMP-Anworten (und Verbindungen zum DSL-Interface). Ich kenne mich mit der SUSE-Firewall nicht aus, aber das scheint mir ein grundsätzliches Konfigurationsproblem zu sein. Kontrolliere, ob die Netzwerkkarten alle der internen Zone zugewiesen sind. Gruß Andreas -- Amarok spielt gerade nichts... GPG-ID/Fingerprint: 6F28CF96/0B3B C287 30CE 21DF F37A AF63 A46C D899 6F28 CF96 GPG-Key on request or on public keyservers -- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Am Montag, 11. August 2008 11:46:50 schrieb Andreas Koenecke:
Laut diesem Regelsatz werden gar keine aufbauenden ("state NEW") Verbindungen zwischen den internen Netzwerkkarten zugelassen, sondern nur einige ICMP-Anworten (und Verbindungen zum DSL-Interface).
Also, ich versteh' das alles nicht. Was hat die Firewall mit dem Internen Netzwerk zu tun? Nach dem routing sollte doch alles gehen.
Ich kenne mich mit der SUSE-Firewall nicht aus, aber das scheint mir ein grundsätzliches Konfigurationsproblem zu sein. Kontrolliere, ob die Netzwerkkarten alle der internen Zone zugewiesen sind.
=== Auszug aus /etc/sysconfig/SuSEfirewall2 ================ # Which are the interfaces that point to the internal network? # # Enter all trusted network interfaces here. If you are not # connected to a trusted network (e.g. you have just a dialup) leave # this empty. # # Format: space separated list of interface or configuration names # # Examples: "tr0", "eth0 eth1" # FW_DEV_INT="eth0 eth1 eth2" ==================================================== Viele Grüße Günter -- Guenter Ohmer Jahnstrasse 24 D 76865 Rohrbach mailto:guenter.ohmer@gmx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo. * Montag, 11. August 2008 um 21:24 (+0200) schrieb Günter Ohmer:
Am Montag, 11. August 2008 11:46:50 schrieb Andreas Koenecke:
Also, ich versteh' das alles nicht. Was hat die Firewall mit dem Internen Netzwerk zu tun? Nach dem routing sollte doch alles gehen.
Die Routing-Tabelle gibt lediglich an, an welches Netzwerk-Interface die Pakete weitergeleitet werden sollten. Bevor sie aber tatsächlich an das Interface weitergeleitet werden, müssen die durch den Paketfilter des Kernels. Und welche Pakete den Paketfilter passieren dürfen und welche nicht wird vom Regelsatz des (SUSE-)Firewallskripts bestimmt.
Ich kenne mich mit der SUSE-Firewall nicht aus, aber das scheint mir ein grundsätzliches Konfigurationsproblem zu sein. Kontrolliere, ob die Netzwerkkarten alle der internen Zone zugewiesen sind.
=== Auszug aus /etc/sysconfig/SuSEfirewall2 ================ [ ... ] FW_DEV_INT="eth0 eth1 eth2" ====================================================
Ja, das reicht anscheinend nicht. Ich habe gerade selbst mal mit der SUSE-Firewall herumgespielt (Und weiss jetzt wieder, warum ich sie nicht mag...): Ich habe es auch nicht mit einfachen Mitteln geschafft, eine simple, unbeschränkte Verbindung zwischen zwei Netzwerk-Interfaces einzurichten. Erreicht habe ich es mit folgendem Vorgehen: Änderungen in "/etc/sysconfig/SuSEfirewall2: - 'FW_ROUTE="yes"' setzen. - In "FW_FORWARD" die Netzwerkadressen der zu verbindenden Netzwerk-Interfaces eintragen, und zwar beide Richtungen. Also 'FW_FORWARD="192.168.1.0/24,129.168.2.0/24 192.168.2.0/24,192.168.1.0/24 192.168.1.0/24,192.168.3.0/24 192.168.3.0/24,192.168.1.0/24 192.168.2.0/24,192.168.3.0/24 192.168.3.0/24,192.168.2.0/24"' (alles in eine Zeile). - Firewaall neustarten. Das Ganze ist so elegant wie ein Hammerwerfer beim Bodenturnen, aber etwas Besseres habe ich nicht gefunden... Gruß Andreas -- Amarok spielt gerade nichts... GPG-ID/Fingerprint: 6F28CF96/0B3B C287 30CE 21DF F37A AF63 A46C D899 6F28 CF96 GPG-Key on request or on public keyservers -- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Andreas, Am Dienstag, 12. August 2008 01:19:41 schrieb Andreas Koenecke:
Also, ich versteh' das alles nicht. Was hat die Firewall mit dem Internen Netzwerk zu tun? Nach dem routing sollte doch alles gehen.
Die Routing-Tabelle gibt lediglich an, an welches Netzwerk-Interface die Pakete weitergeleitet werden sollten. Bevor sie aber tatsächlich an das Interface weitergeleitet werden, müssen die durch den Paketfilter des Kernels. Und welche Pakete den Paketfilter passieren dürfen und welche nicht wird vom Regelsatz des (SUSE-)Firewallskripts bestimmt.
Habe ich mir fast schon gedacht, aber die Bestätigung war mir wichtig.
Ich kenne mich mit der SUSE-Firewall nicht aus, aber das scheint mir ein grundsätzliches Konfigurationsproblem zu sein. Kontrolliere, ob die Netzwerkkarten alle der internen Zone zugewiesen sind.
=== Auszug aus /etc/sysconfig/SuSEfirewall2 ================ [ ... ] FW_DEV_INT="eth0 eth1 eth2" ====================================================
Ja, das reicht anscheinend nicht. Ich habe gerade selbst mal mit der SUSE-Firewall herumgespielt (Und weiss jetzt wieder, warum ich sie nicht mag...):
Und was nimmt man statt dessen?
Ich habe es auch nicht mit einfachen Mitteln geschafft, eine simple, unbeschränkte Verbindung zwischen zwei Netzwerk-Interfaces einzurichten.
Erreicht habe ich es mit folgendem Vorgehen: Änderungen in "/etc/sysconfig/SuSEfirewall2:
- 'FW_ROUTE="yes"' setzen.
- In "FW_FORWARD" die Netzwerkadressen der zu verbindenden Netzwerk-Interfaces eintragen, und zwar beide Richtungen. Also 'FW_FORWARD="192.168.1.0/24,129.168.2.0/24 192.168.2.0/24,192.168.1.0/24 192.168.1.0/24,192.168.3.0/24 192.168.3.0/24,192.168.1.0/24 192.168.2.0/24,192.168.3.0/24 192.168.3.0/24,192.168.2.0/24"' (alles in eine Zeile).
Mit der Variablen habe ich auch schon rumgespielt, aber mir die Beispiele nicht richtig angeschaut, dann hätte ich gesehen, dass man "Quelle,Ziel" eingeben muss, so wie du es mir vorgemacht hast, und jetzt geht's! Danke :-) Ich hab jetzt, weil ich tippfaul bin "0/0,0/0" eingegeben. Mach ich mir da andere Löcher auf? Viele Grüße Günter -- Guenter Ohmer Jahnstrasse 24 D 76865 Rohrbach mailto:guenter.ohmer@gmx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Günter. * Dienstag, 12. August 2008 um 08:24 (+0200) schrieb Günter Ohmer:
Am Dienstag, 12. August 2008 01:19:41 schrieb Andreas Koenecke:
Ja, das reicht anscheinend nicht. Ich habe gerade selbst mal mit der SUSE-Firewall herumgespielt (Und weiss jetzt wieder, warum ich sie nicht mag...):
Und was nimmt man statt dessen?
Natürlich ein selbst erstelltes, an die lokalen Gegebenheiten angepasstes Paketfilter-Skript. (Ja, ich weiss...)
Erreicht habe ich es mit folgendem Vorgehen: Änderungen in "/etc/sysconfig/SuSEfirewall2:
- 'FW_ROUTE="yes"' setzen.
- In "FW_FORWARD" die Netzwerkadressen der zu verbindenden Netzwerk-Interfaces eintragen, und zwar beide Richtungen. Also 'FW_FORWARD="192.168.1.0/24,129.168.2.0/24 192.168.2.0/24,192.168.1.0/24 192.168.1.0/24,192.168.3.0/24 192.168.3.0/24,192.168.1.0/24 192.168.2.0/24,192.168.3.0/24 192.168.3.0/24,192.168.2.0/24"' (alles in eine Zeile).
Mit der Variablen habe ich auch schon rumgespielt, aber mir die Beispiele nicht richtig angeschaut, dann hätte ich gesehen, dass man "Quelle,Ziel" eingeben muss, so wie du es mir vorgemacht hast, und jetzt geht's! Danke :-) Ich hab jetzt, weil ich tippfaul bin "0/0,0/0" eingegeben. Mach ich mir da andere Löcher auf?
Ich bin zwar kein Freund solcher "Catch-All-Regeln", aber solange dein internes Netz nur mit privaten IPs hinter dem masqueradenden Router arbeitet, sehe ich keine Sicherheitsprobleme. Gruß Andreas -- Amarok spielt gerade nichts... GPG-ID/Fingerprint: 6F28CF96/0B3B C287 30CE 21DF F37A AF63 A46C D899 6F28 CF96 GPG-Key on request or on public keyservers -- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (3)
-
Andreas Koenecke -
Günter Ohmer -
Sandy Drobic