Liebe Liste ! Ich stolpere seit 3 Wochen ueber ein Masquerading - Problem ! Kernel 2.2.18 von SUSE 71 (unveraendert) und ipchains und ipmasqadm Meine Konfig : +-------------------------+ | Internet - Router ins | | Internet mit | | 16 IP-Addressen | | Mask 255.255.255.240 | +-------------------------+ | | -----|---- Linux Maschine Anfang --------------- | | eth1 mit Alias (eth1:1, eth1:2, usw bis eth1:12) | IP-Addressen | eth1: = a.b.c.169 | eth1:1 = a.b.c.170 | eth1:2 = a.b.c.171 | usw, bis eth1:10 | +--------------+ | Linux -FW | (ipchains / ipmasqadm) +--------------+ | eth0 | 192.168.1.0 / 24 | | DMZ- Zone | ----------- Linux Maschine Ende --------------- Ich kann vom Internet jede einzelne offizielle IP-Addresse anpingen, Die Rueckantwort hat auch diesselbe IP-Addresse Wenn ich in der lokalen Zone einen Server-Dienst betreibe (MAIL,FTP etc) habe ich ipmasqadm portfw -a -p tcp -L a.b.c.173 80 -R 192.168.1.11 80 und ipchains -j MASQ -p tcp -s 192.168.1.0/24 80 -d ! 192.168.1.0/24 -i eth1:3 auf der Linux-FW verwendet. Soweit, so klar Es passiert leider folgendes : Wenn von aussen jemand den DMZ-WebServer erreichen will wird er ueber die offizielle ip-Addresse angesprochen (eh klar) Diese liegt auf eth1:3 (a.b.c.172) Der Server nimmts entgegen und leitet die Anforderung in die DMZ-Zone zum WebServer. (super) Dieser berantwortet die Anfrage und schickts an den offiziellen IP-Absender (auch klar) ABER JETZT : ---------------- der ipchains- Befehl IGNORIERT völlig die Angabe des virtuellen Netinterfaces (eth1:3) Er schickt saemtliche Antwortpakete mit der offiziellen IP-Addresse raus, die ich mit ifconfig eth1 <Addresse> direkt auf eth1 gesetzt habe. und nicht die mit ifconfig eth1:3 <Addresse> gesetzte IP-Addresse Wie kann ich eine Retouranwort erzwingen, sodass diese als Absender die IP-Addresse von eth1:3 (also a.b.c.172) hat und nicht (a.b.c.d.169) (Ich kann nicht 10 Netzwerkkarten in die Firewall einbauen, oder ?) Vielen Dank im vorraus mfg Alfred
participants (1)
-
Dörr Alfred