SuSE firewall2 auf SuSE 7.3 mit externem, internem und DMZ-Interface EXT: statische (offizielle) IP-Adresse (a.b.c.d) DMZ: statische (offizielle) IP-Adresse (w.x.y.z) mit eigenem dazugehoerigen Subnetz INT: 192.168.1.1 (masqueraded auf DEV_EXT) Soweit funktioniert alles, inkl. Routing zwischen den Subnetzen bei entsprechend gesetztem FW_FORWARD. Problem: ich möchte vom internen Netz zwar auf die DMZ zugreifen können, ein Rechner in der DMZ soll aber nicht 'von sich aus' eine Verbindung zum internen Netz aufbauen können. Damit bei einer Anfrage aus INT der Rückweg auch funktioniert, musste ich aber das Routing von DMZ nach INT prinzipiell (mind. für die betroffenen Ports) erlauben. Gibt es hier einen besseren Weg? Kann man irgendwie konfigurieren, dass nur von INT aus aufgebaute Verbindungen einen Rückweg finden? Weiterer ungelöster Nebeneffekt: für Rechner der DMZ soll die Destination 0/0 das interne Netz ausschliessen. Hat mir jemand einen Tip, wie ich hier weiterkommen kann? Andreas Leicht zensurierte firewall2.rc.config: FW_DEV_EXT="eth1" FW_DEV_INT="eth0" FW_DEV_DMZ="eth2" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="192.168.0.0/16" FW_PROTECT_FROM_INTERNAL="yes" FW_AUTOPROTECT_SERVICES="yes" FW_SERVICES_EXT_TCP="ssh domain" FW_SERVICES_EXT_UDP="domain" FW_SERVICES_EXT_IP="" FW_SERVICES_DMZ_TCP="domain ssh 3128" FW_SERVICES_DMZ_UDP="domain" FW_SERVICES_DMZ_IP="" FW_SERVICES_INT_TCP="ssh domain 3128" FW_SERVICES_INT_UDP="domain" FW_SERVICES_INT_IP="" FW_TRUSTED_NETS="" FW_ALLOW_INCOMING_HIGHPORTS_TCP="ftp-data" FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" FW_SERVICE_AUTODETECT="yes" FW_SERVICE_DNS="yes" FW_SERVICE_DHCLIENT="no" FW_SERVICE_DHCPD="no" FW_SERVICE_SQUID="yes" FW_SERVICE_SAMBA="no" FW_FORWARD="192.168.1.0/24,DMZ" FW_FORWARD_MASQ="" FW_REDIRECT="192.168.100.0/24,0/0,tcp,80,3128" FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="no" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW" FW_KERNEL_SECURITY="yes" FW_STOP_KEEP_ROUTING_STATE="no" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="yes" FW_ALLOW_PING_EXT="yes" FW_ALLOW_FW_TRACEROUTE="yes" FW_ALLOW_FW_SOURCEQUENCH="yes" FW_ALLOW_FW_BROADCAST="no" FW_IGNORE_FW_BROADCAST="yes" FW_ALLOW_CLASS_ROUTING="no"