Am Donnerstag, 2. September 2004 14:47 schrieb Andreas Scherer:
Am Donnerstag, 2. September 2004 06:36 schrieb Martin Hochreiter:
Die Source-Ports spielen keine Rolle. Für die Firewallkonfiguration, ist nur der Destination-Port relevant. Bei den Highports brauchst du dann nur die 8080 eintragen. Alles was zur bestehenden Verbindung gehört wird AFAIK so wie so durchgelassen. (established, related)
Hi Andi!
Sobald ich statt xxx.xxx.xxx.a/32 xxx.xxx.xxx.a/32,0/0,tcp,8080 verwende (also nicht den gesamten Rechner a freigebe) kommen zwar Anfragen rein, die Antwort wird aber blockiert, sobald ich den ganzen Rechner freigebe funktionierts wieder - das dürfte aber nicht passieren, wenn die gesamte Kommunikation auf Port 8080 läuft.
Sind die xxx.xxx.xxx.a Adressen locale Adressen oder sind das offizielle IP-Adressen. Wenn es lokale Adressen sind blockiert die SuSE-Firewall mit ihren anti-spoofing-Regeln den Verkehr, da sie lokale Anforderungen verwirft.
Bin selber grad dabei mir ein eigenes Firewallskript zu basteln, weil die SuSEFirewall mit ihren absonderlichen Anti-Spoofing (welches in Umgebungen mit offiziellen Adressen durchaus seine Berechtigung hat) mir die eine oder andere gewünschte Kommunikation verwehrt.
Das kann man aber mit der Variable FW_ANTISPOOF ausschalten. Zumindest unter 9.1 Mfg, Thomas