Andreas Bogan wrote:
Matthias Keller schrieb:
Also, ich benutze die SuSEfirewall 2 unter SuSE 9.0, 2 Netzwerkkarten sind drin, eine am Intranet, die andere am Internet, Masquerading&Forward ist aktiv, gegen aussen alles zu was nicht spezifisch offen ist ( FW_SERVICES_EXT_*** ) PROTECT_FROM_INTERNALS ist off Funktioniert alles wunderbar AUSSER wenn ich ausm intranet den server über seine externe IP ansprechen will.. dann wird das paket vom firewall DENYed und vernichtet...... Wie sag ich dem firewall dass er gefälligst alle anfragne die vom internen interface her kommen durchlassen soll?
Problem ist:
# Anti Spoofing/Cirumvention protection - interface dependent #
Schau dir mal deine /sbin/SuSEfirewall2 an, da gibts einen Eintrag.
Hi Andreas Danke für den Hinweis auf diesen Eintrag in der SuSEfirewall2 Nach etlichem weiteren googeln hab ich schliesslich ein interessantes dokument gefunden: http://cesnet.dl.sourceforge.net/sourceforge/susefaq/firewall2-a4-0-9.pdf Dort steht beschrieben wie man im custom-file eine Regel erstellt die das zulässt... ich habe sie ein wenig generalisiert damit ich keine gehardcodeten IFs und externe IPs drin hab und jetzt funktionierts gut :D fw_custom_before_antispoofing() { for DEVi in $FW_DEV_INT; do for IPe in $DEV_EXT; do $IPTABLES -A INPUT -i $DEVi -s 192.168.0.0/24 -d $IPe -j ACCEPT done done true } Meine letzte Frage: WARUM ist dies vom Sicherheitsstandpunkt her nicht wirklich gut??? Schliesslich werden ja nur Packete vom internen Netz so gehandhabt und KEINE vom externen? (das -i $DEVi sollte dies ja sicherstellen....) Gruss Matti