Am Son, 2003-06-08 um 13.03 schrieb Michael Meyer:
Joerg Rossdeutscher wrote:
Ist halt ein bescheidenes Problem mit der SuseFirewall2, das mir absolut nicht in den Kopf will, warum das nicht endlich mal gefixt wird...
it's not a bug, it's a feature.
It's shit. :-)
...dann können die Clients sich die Website unter http://192.168.0.1 angucken, aber mit http://www.domain.foo kommt -nichts-. Für alle Dienste.
das ist eine anti-spoofing-regel, die dir da in die quere kommt. in [1] wird dir in abschnitt 8.1.6 die lösung präsentiert.
Ja, kenne ich, ich war schon von allein drauf gekommen. Finde ich Müll. Das leitet _alle_ internen Anfragen auf das externe Interface auf ACCEPT. Das will ich nicht. Also fange ich an, einen ganzen Stapel Regeln einzubauen: Anfrage OK für http. Für ftp. Für DNS. Für POP3. Für SMTP. Für... Wenn ich eine komplette Route für diverse Services selbst einbauen muß, dann besorge ich mir lieber eine andere FW. Genau die Aufgabe sollte mir die FW2 ja eigentlich abnehmen, indem ich einfach nur "ftp,http,bind,pop3" in eine Configdatei schreiben muß. Das Gewurschtel mit teilweise Sachen in die Configdatei schreiben und teilweise "pures" iptables geht mir zu sehr durcheinander. Man muß zur Ehrenrettung der FW2 sagen, daß andere FW-Software auch nicht transparenter ist, oder sogar die gleiche Macke mitbringt (Shorewall. Allerdings sagen die's wenigstens groß in der Anleitung, samt Lösung) Daher ziehe ich "plain" iptables vor, und nicht "generiertes" iptables.
Daher setze ich die SuseFW2 zukünftig nicht mehr ein. Die FW2 setzt die notwendigen Regeln nicht.
die SF2 macht in diesem fall genau das, was sie machen soll.
Wo soll da der Sinn sein? Ich habe 'ne Linuxkiste im Netz hängen, die macht für einen kleinen Betrieb "alles", und ich muß Klimmzüge machen, damit die Kollegen auf die Website, an ihre Post und ans ftp drankommen. Das ist ja irgendwie auch eine Allerweltskonfiguration. Wenn ich das mit DMZ und Router!=Server realisiere, habe ich mehr Linuxkisten in der Firma stehen als Arbeitsplätze. :-))) Und die Geschichte mit zwei ip's oder Namen nehmen, je nachdem sich die Laptopuser befinden kriegst du in die Köpfe Normalsterblicher nicht rein. Es klappt einfach nicht. Ist auch Quatsch. Gruß, Ratti -- -o) fontlinge | Font management for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/