Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Linux-Router auf 2 verschieden Gateways routen

Mitglied: jjlehto

jjlehto (Level 1) - Jetzt verbinden

16.02.2010, aktualisiert 18.10.2012, 6618 Aufrufe, 21 Kommentare

Hab ein Problem, an dem ich mir schon seit einiger Zeit die Zähne ausbeiße

Folgende Konfiguration ist vorhanden:

Windows-Domäne mit festen IP-Adressen xxx.xxx.97.1-255, wobei x für eine öffentliche IP-Adresse steht, das ist so vom Firmenverband vorgegeben.

Linux-Router mit 2 Netzwerkkarten und SQUID
eth1 = dynamische Adresse 192.168.178.xxx von Fritzbox
eth0 = feste IP xxx.xxx.97.135
Routing ins Internet funktioniert einwandfrei

Alle Windows-Pc's haben den Linux-Router alst Standard-Gateway eingetragen und kommen so ins Internet.

Problem: ein zweiter Hardware-Router hängt im Netz mit der IP xxx.xxx.97.2 und über den sollen die Windows-Pc's in ein Intranet des Firmenverbandes. Das funktioniert sobald man den Windows-Pc's die gewünschte Route zufügt mit dem gateway xxx.xxx.97.2
Da es aber ca. 70 IP's sind, die über den xxx.xxx.97.2 Router geroutet werden sollen und die sich auch von Zeit zu Zeit ändern, wollte ich diese Routen auch über den Linux-Router zentral verwalten, habe auf dem Linux-Router die entsprechenden Routen eingetragen. Von der Konsole aus routet der Linux-Router auch richtig über das xxx.xxx.97.2 GW, nur die Windows-Clients werden weiterhin ins Internet über die eth1 geroutet.
Also nochmal mit fiktiven IP-Adressen:
Linux-Router eth0: 64.123.97.135
Linux-Router eth1: 192.168.178.20 (dhcp von Fritzbox DSL)
Intranet-Router: 64.123.97.2
Windows-Pc's: 64.123.97.20-50
Intranetseite die über Intranetrouter erreichbar ist: 64.199.15.79

Auf Windows-PC ist folgende Route eingetragen:
Dest. Mask GW Metrik
64.199.15.79 255.255.255.255 64.123.97.2 1 -> funktioniert

Auf Linux-Router ist folgende Route eingetragen:
Dest. Mask GW Metrik Flags Use Iface
64.199.15.79 255.255.255.255 64.123.97.2 0 UGH 0 eth0 -> funktioniert lokal auf der Konsole, aber nicht von den Windows-Clients aus (Route wurde am Windows-Client vorher entfernt)

Hat da jemand eine Idee dazu? Ich tippe da vielleicht auch noch auf die Firewall, hab vorsichtshalber mal die Ausgabe von "iptables --list" angehängt.
Noch was - IP-Adressen können nicht geändert werden, die müssen so bleiben.

Noch einige Daten:
Linux-Router: SuSe 10.0
Squid
Avira-Webgate
Windows-Domäne: W2K3

Firewall-Regeln:
01.
Chain INPUT (policy DROP)
02.
target     prot opt source               destination
03.
ACCEPT     all  --  anywhere             anywhere
04.
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
05.
input_int  all  --  anywhere             anywhere
06.
input_ext  all  --  anywhere             anywhere
07.
input_ext  all  --  anywhere             anywhere
08.
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-IN-ILL-TARGET '
09.
DROP       all  --  anywhere             anywhere
10.

11.
Chain FORWARD (policy DROP)
12.
target     prot opt source               destination
13.
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
14.
forward_int  all  --  anywhere             anywhere
15.
forward_ext  all  --  anywhere             anywhere
16.
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWD-ILL-ROUTING '
17.
DROP       all  --  anywhere             anywhere
18.

19.
Chain OUTPUT (policy ACCEPT)
20.
target     prot opt source               destination
21.
ACCEPT     all  --  anywhere             anywhere
22.
ACCEPT     all  --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED
23.
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-OUT-ERROR '
24.

25.
Chain forward_ext (1 references)
26.
target     prot opt source               destination
27.
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp echo-reply
28.
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp destination-unreachable
29.
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp time-exceeded
30.
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp parameter-problem
31.
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp timestamp-reply
32.
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp address-mask-reply
33.
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp protocol-unreachable
34.
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp redirect
35.
ACCEPT     all  --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED
36.
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
37.
LOG        tcp  --  anywhere             anywhere            limit: avg 3/min burst 5 tcp flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-FWDext-DROP-DEFLT '
38.
LOG        icmp --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWDext-DROP-DEFLT '
39.
LOG        udp  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWDext-DROP-DEFLT '
40.
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 state INVALID LOG level warning tcp-options ip-options prefix `SFW2-FWDext-DROP-DEFLT-INV '
41.
DROP       all  --  anywhere             anywhere
42.

43.
Chain forward_int (1 references)
44.
target     prot opt source               destination
45.
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp echo-reply
46.
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp destination-unreachable
47.
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp time-exceeded
48.
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp parameter-problem
49.
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp timestamp-reply
50.
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp address-mask-reply
51.
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp protocol-unreachable
52.
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp redirect
53.
ACCEPT     all  --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED
54.
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
55.
LOG        tcp  --  anywhere             anywhere            limit: avg 3/min burst 5 tcp flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-FWDint-DROP-DEFLT '
56.
LOG        icmp --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWDint-DROP-DEFLT '
57.
LOG        udp  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWDint-DROP-DEFLT '
58.
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 state INVALID LOG level warning tcp-options ip-options prefix `SFW2-FWDint-DROP-DEFLT-INV '
59.
DROP       all  --  anywhere             anywhere
60.

61.
Chain input_ext (2 references)
62.
target     prot opt source               destination
63.
DROP       all  --  anywhere             anywhere            PKTTYPE = broadcast
64.
ACCEPT     icmp --  anywhere             anywhere            icmp source-quench
65.
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
66.
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp echo-reply
67.
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp destination-unreachable
68.
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp time-exceeded
69.
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp parameter-problem
70.
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp timestamp-reply
71.
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp address-mask-reply
72.
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp protocol-unreachable
73.
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp redirect
74.
LOG        tcp  --  anywhere             anywhere            limit: avg 3/min burst 5 tcp dpt:ssh flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-TCP '
75.
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
76.
reject_func  tcp  --  anywhere             anywhere            tcp dpt:ident state NEW
77.
LOG        tcp  --  anywhere             anywhere            limit: avg 3/min burst 5 tcp flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
78.
LOG        icmp --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
79.
LOG        udp  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
80.
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 state INVALID LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT-INV '
81.
DROP       all  --  anywhere             anywhere
82.

83.
Chain input_int (1 references)
84.
target     prot opt source               destination
85.
ACCEPT     all  --  anywhere             anywhere
86.

87.
Chain reject_func (1 references)
88.
target     prot opt source               destination
89.
REJECT     tcp  --  anywhere             anywhere            reject-with tcp-reset
90.
REJECT     udp  --  anywhere             anywhere            reject-with icmp-port-unreachable
91.
REJECT     all  --  anywhere             anywhere            reject-with icmp-proto-unreachable
Hier noch das gewünschte Diagramm, ich hoffe es ist damit verständlicher
de5d7d5212d72d00755a0600fc6e4b8f - Klicke auf das Bild, um es zu vergrößern

Vielen Dank im Voraus
Mitglied: iVirusYx
16.02.2010 um 09:49 Uhr
Dies ist sehr schwer sich das vor Augen zu führen...
Manche schaffen es vielleicht jedoch um jeglichen Zweifel auszuschliessen,
könntest du bitte ein Diagramm des Netzwerkes inklusiv aller Details posten?

Danke
Bitte warten ..
Mitglied: dog
16.02.2010 um 10:52 Uhr
Und die ganzen Listings in <code> Tags setzen
Bitte warten ..
Mitglied: aqui
16.02.2010 um 12:10 Uhr
2 Kardinalsfehler hast du bei der Umsetzung begangen, die du auch unbedingt ändern musst:

1.) Ein Router hat niemals eine DHCP Adresse an einem Port. Dem Linux Router im 192.168.178er Segment also eine DHCP IP zu vergeben ist schlicht falsch und zeugt von wenig Routing Fachwissen...sorry ! Router dienen der Wegefindung in einem Netzwerk und sind auf feste IP Adressen angewiesen. Du musst hier also eine statische IP vergeben außerhalb der DHCP Range der FB

2.) Statische Routen konfiguriert man niemals auf Endgeräten !! Diese Frickelei mit route add... auf Endgeräte PCs ist also schonmal grundfalsch. Statische Routen werden immer auf den Routern gesetzt NICHT auf Endgeräten. Denn...wozu heisst der Router "Router" ??

Zu Punkt 2. ist also die einzig relevante Frage WO haben deine PCs ihr Defualt Gateway konfiguriert ???
Auf diesen Routern werden die statischen Routen eingetragen..nirgendwo sonst !
Leider fehlt diese Angabe in deiner Beschreibung so das man hier nur wild raten kann statt dir qualifiziert zu helfen

So sollte dein Netzwerk eigentlich aussehen:

0c12c81794cb8712b4c000cbd8cd17ea - Klicke auf das Bild, um es zu vergrößern

Fragen die weiter ungeklärt sind:
  • Wo haben die PCs im 64.123.97.0er Netz ihr Standardgateway ?
  • Wo haben die PCs im 192.168.178.0er Netz ihr Standardgateway ?
Bitte warten ..
Mitglied: jjlehto
16.02.2010 um 12:19 Uhr
Zitat von aqui:
2 Kardinalsfehler hast du bei der Umsetzung begangen, die du auch unbedingt ändern musst:

1.) Ein Router hat niemals eine DHCP Adresse an einem Port. Dem Linux Router im 192.168.178er Segment also eine DHCP IP
zu vergeben ist schlicht falsch und zeugt von wenig Routing Fachwissen...sorry ! Router dienen der Wegefindung in einem Netzwerk
und sind auf feste IP Adressen angewiesen. Du musst hier also eine statische IP vergeben außerhalb der DHCP Range der
FB

Hier wird doch nur ins Internet geroutet, werde ich aber trotzdem auf eine statische IP ändern, Danke


2.) Statische Routen konfiguriert man niemals auf Endgeräten !! Diese Frickelei mit route add... auf Endgeräte
PCs ist also schonmal grundfalsch. Statische Routen werden immer auf den Routern gesetzt NICHT auf Endgeräten.
Denn...wozu heisst der Router "Router" ??

Deshalb ja die ganze Fragerei, das will ich ändern.

Zu Punkt 2. ist also die einzig relevante Frage WO haben deine PCs ihr Defualt Gateway konfiguriert ???
Als D-GW ist lokal auf den PC's der Linux-Router 64.123.97.135 konfiguriert
Auf diesen Routern werden die statischen Routen eingetragen..nirgendwo sonst !
Ja, habe ich, funktioniert aber nicht, geht nur vom Linux-Router lokal auf der konsole
Leider fehlt diese Angabe in deiner Beschreibung so das man hier nur wild raten kann statt dir qualifiziert zu helfen

So sollte dein Netzwerk eigentlich aussehen:

Fragen die weiter ungeklärt sind:
  • Wo haben die PCs im 64.123.97.0er Netz ihr Standardgateway ?
  • Wo haben die PCs im 192.168.178.0er Netz ihr Standardgateway ?

die PCs im 64.123.97.0er Netz haben ihr Standardgateway auf 64.123.97.135 gesetzt
es gibt keine PCs im 192.168.178.0er Netz, das ist nur die Verbindung vom Linux-Router zur Fritzbox, die dann eine dynamische IP der Telekom zugewiesen bekommt (DSL-Anschluß)
Bitte warten ..
Mitglied: jjlehto
16.02.2010 um 12:38 Uhr
Hab jetz mal die Firewall beobachtet, was passiert wenn ich auf eine Intranetadresse zugreifen will:

01.
Feb 16 12:31:56 linux-router kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=eth0 SRC=64.123.97.25 DST=64.199.170.59 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=28048 PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=23808
02.
Feb 16 12:32:00 linux-router kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=eth0 SRC=64.123.97.25 DST=64.199.170.59 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=28050 PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=24064
03.
Feb 16 12:32:04 linux-router kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=eth0 SRC=64.123.97.25 DST=64.199.170.59 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=28052 PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=24320
04.
Feb 16 12:33:05 linux-router kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=eth0 SRC=64.123.97.25 DST=64.199.170.59 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=28338 PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=33024
05.
Feb 16 12:33:09 linux-router kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=eth0 SRC=64.123.97.25 DST=64.199.170.59 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=28341 PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=33280
06.
Feb 16 12:33:14 linux-router kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=eth0 SRC=64.123.97.25 DST=64.199.170.59 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=28350 PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=33536
07.
Feb 16 12:33:18 linux-router kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=eth0 SRC=64.123.97.25 DST=64.199.170.59 LEN=92 TOS=0x00 PREC=0x00 TTL=2 ID=28352 PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=33792
08.
Feb 16 12:33:23 linux-router kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=eth0 SRC=64.123.97.25 DST=64.199.170.59 LEN=92 TOS=0x00 PREC=0x00 TTL=2 ID=28355 PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=34048
ich glaube hier liegt der Hund begraben, hab aber wenig bis gar keine Ahnung von der iptables FW
Bitte warten ..
Mitglied: aqui
16.02.2010, aktualisiert 18.10.2012
OK, dann hast du diese 3 Punkte zu erledigen damit es fehlerfrei klappt:
  • 2 Statische Routen auf der FritzBox eintragen:
a.) Zielnetz: 64.123.97.0, Maske: 255.255.255.0, Gateway: <Feste IP Linux Router im 192.168.178.0er Netz>
b.) Zielnetz: 64.199.15.0, Maske: 255.255.255.0, Gateway: <Feste IP Linux Router im 192.168.178.0er Netz>
b. kann ggf. entfallen wenn da keiner über die FB nach draussen geht !

  • 2 Statische Routen auf dem Linux Router:
a.) Zielnetz: 64.199.15.0, Maske: 255.255.255.0, Gateway: 64.123.97.2
b.) Default Route, Gateway: 192.168.7.1 (FritzBox IP)

  • Default Route vom Hardware Router .2 auf die .135

Das wars. Auf dem Linux Router musst du ggf. das IP Forwarding aktivieren sofern du das noch nicht gemacht hast !
Siehe hier im Tutorial:
https://www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-w ...
Bitte warten ..
Mitglied: jjlehto
16.02.2010 um 12:49 Uhr
Wenn ich das richtig verstanden habe dann wird wie folgt geroutet:
Anfrage ins Intranet 64.199.15.79
Client 64.123.97.25 -> Linux-Router 64.123.97.135 eth0 -> 192.168.178.20 eth1 -> FB 192.168.178.1 -> Linux-Router 64.123.97.135 eth0->eth0-> Intranet-Router 64.123.97.2 -> Intranet 64.199.15.79

Kann der Weg über die FB nicht gespart werden?
Ich lass mich gerne belehren
Hab inzwischen die eth1 auf statische IP 192.168.178.20 umgestellt und die IP aus dem DHCP-Bereich der FB genommen.
Bitte warten ..
Mitglied: jjlehto
16.02.2010 um 12:56 Uhr
Zitat von aqui:
  • Default Route vom Hardware Router .2 auf die .135
das geht nicht, der Router .2 ist ein fertig konfiguriertes geschlossenes Gerät, das wir nicht verändern können
Bitte warten ..
Mitglied: jjlehto
16.02.2010 um 13:09 Uhr
egal was ich wo eintrage, ein tracert vom Windows-PC kommt immer nur bis zum 64.123.97.135 = Linux-Router und dann Zeitüberschreitung - folgere daraus FW-Problem, da bräuchte ich aber Hilfe vom FW-Spezialisten. Siehe FW-Log oben
Bitte warten ..
Mitglied: jjlehto
16.02.2010 um 13:14 Uhr
Noch was - der Intranetrouter hat eine separate Standleitung ins Intranet, wird also nicht übers Internet getunnelt.
Bitte warten ..
Mitglied: dog
16.02.2010 um 14:14 Uhr
Folgender Regelsatz ist ausschlaggebend:

01.
38. LOG        tcp  --  anywhere             anywhere            limit: avg 3/min burst 5 tcp flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-FWDext-DROP-DEFLT ' 
02.
[...]
03.
41. DROP       all  --  anywhere             anywhere 
Bitte warten ..
Mitglied: jjlehto
16.02.2010 um 14:23 Uhr
Sorry, aber wie kann ich diesen Regelsatz löschen oder abändern, wie schon gesagt FW ist nicht mein Fachgebiet, und was bedeutet dieser Regelsatz überhaupt
Bitte warten ..
Mitglied: datasearch
16.02.2010 um 14:36 Uhr
Feb 16 12:31:56 linux-router kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=eth0 SRC=64.123.97.25 DST=64.199.170.59 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=28048 PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=23808

Die Routing-Tabelle auf dem Linux-System sieht also wie folgt aus?

ip route
01.
64.123.97.0/24 dev eth0  proto kernel  scope link  src 64.123.97.135
02.
64.199.15.79/24 via 64.123.97.2 dev eth0
03.
default via 192.168.178.1 dev eth1
Mit Yast wurde folgendes unter "Security and Users -> Firewall" Konfiguriert:
Interface eth0 INTERNAL
Interface eth1 EXTERNAL oder ANY
Masquerading auf ETH1 aktiviert

Mit YaST wurde folgendes unter "Network Settings->Routing" konfiguriert:
DEST 64.199.15.79 MASK 255.255.255.0 GATEWAY 64.123.97.2 DEVICE eth0

Enable IP Forwarding wurde aktiviert.

Gibt es noch zusätzliche, benutzerdefinierte Regeln? Eventuell verbeietest du dem System Redirects zu senden oder zu empfangen? Dein Log-Auszug sieht so aus, als währen alle Interfaces auf "extern" gesetzt. Kannst du bitte nochmal eine Ausgabe von "iptables -nvL" geben? Das ist etwas genauer.

Um zu testen ob es an der Firewall liegt, kannst du eine Permit any any Regel in die Forward-Table für eth0 schreiben.

01.
iptables -I FORWARD -i eth0 -o eth0 -j ACCEPT
Um auf die Original SuSE Regeln zurückzukommen, reicht ein "rcSuSEfirewall2 reload".
Bitte warten ..
Mitglied: jjlehto
16.02.2010 um 14:46 Uhr
Zitat von datasearch:
Um zu testen ob es an der Firewall liegt, kannst du eine Permit any any Regel in die Forward-Table für eth0 schreiben.

01.
> iptables -I FORWARD -i eth0 -o eth0 -j ACCEPT
02.
> 
Um auf die Original SuSE Regeln zurückzukommen, reicht ein "rcSuSEfirewall2 reload".

Super es funktioniert

nachdem ich die o.g. Regel eingetragen habe funktioniert alles wie gewollt - was oder wem habe ich damit Tür und Tor geöffnet oder wie kann ich eine sichere Regel erstellen oder ändern?
Bitte warten ..
Mitglied: datasearch
16.02.2010 um 14:56 Uhr
Vermutlich hast du irgendwo die Interfaces falsch zugewiesen. Ein iptables -nvL (n=Numerisch, v=verbose, L=list) gibt da genauere Informationen wo das Problem (hier werden dann auch EIN und AUSGABE INTERFACE angezeigt) liegt. Eventuell auch /etc/sysconfig/SuSEfirewall2.
Bitte warten ..
Mitglied: jjlehto
16.02.2010 um 15:19 Uhr
hier die Ausgabe von iptables -nvL
01.
Chain INPUT (policy DROP 0 packets, 0 bytes)
02.
 pkts bytes target     prot opt in     out     source               destination 
03.
 1578 1063K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0   
04.
 2461 1590K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
05.
   79  5226 input_int  all  --  eth0   *       0.0.0.0/0            0.0.0.0/0   
06.
    1    36 input_ext  all  --  eth1   *       0.0.0.0/0            0.0.0.0/0   
07.
    0     0 input_ext  all  --  *      *       0.0.0.0/0            0.0.0.0/0   
08.
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-IN-ILL-TARGET '
09.
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0   
10.

11.
Chain FORWARD (policy DROP 0 packets, 0 bytes)
12.
 pkts bytes target     prot opt in     out     source               destination 
13.
    4   368 ACCEPT     all  --  eth0   eth0    0.0.0.0/0            0.0.0.0/0   
14.
    0     0 TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU
15.
  121  8317 forward_int  all  --  eth0   *       0.0.0.0/0            0.0.0.0/0 
16.
   63  4885 forward_ext  all  --  eth1   *       0.0.0.0/0            0.0.0.0/0 
17.
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWD-ILL-ROUTING '
18.
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0   
19.

20.
Chain OUTPUT (policy ACCEPT 2 packets, 80 bytes)
21.
 pkts bytes target     prot opt in     out     source               destination 
22.
 1578 1063K ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0   
23.
 2969 1653K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED
24.
    2    80 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-OUT-ERROR '
25.

26.
Chain forward_ext (1 references)
27.
 pkts bytes target     prot opt in     out     source               destination 
28.
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 0
29.
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 3
30.
   15  1032 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 11
31.
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 12
32.
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 14
33.
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 18
34.
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 3 code 2
35.
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 5
36.
    0     0 ACCEPT     all  --  *      eth1    0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED
37.
   48  3853 ACCEPT     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
38.
    0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 tcp flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT '
39.
    0     0 LOG        icmp --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT '
40.
    0     0 LOG        udp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT '
41.
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT-INV '
42.
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0   
43.

44.
Chain forward_int (1 references)
45.
 pkts bytes target     prot opt in     out     source               destination 
46.
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 0
47.
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 3
48.
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 11
49.
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 12
50.
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 14
51.
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 18
52.
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 3 code 2
53.
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 5
54.
  121  8317 ACCEPT     all  --  *      eth1    0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED
55.
    0     0 ACCEPT     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
56.
    0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 tcp flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT '
57.
    0     0 LOG        icmp --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT '
58.
    0     0 LOG        udp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT '
59.
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT-INV '
60.
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0   
61.

62.
Chain input_ext (2 references)
63.
 pkts bytes target     prot opt in     out     source               destination 
64.
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = broadcast
65.
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 4
66.
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8
67.
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 0
68.
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 3
69.
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 11
70.
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 12
71.
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 14
72.
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 18
73.
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 3 code 2
74.
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 5
75.
    0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 tcp dpt:22 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
76.
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
77.
    0     0 reject_func  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:113 state NEW
78.
    0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 tcp flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
79.
    0     0 LOG        icmp --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
80.
    0     0 LOG        udp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
81.
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT-INV '
82.
    1    36 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0   
83.

84.
Chain input_int (1 references)
85.
 pkts bytes target     prot opt in     out     source               destination 
86.
   79  5226 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0   
87.

88.
Chain reject_func (1 references)
89.
 pkts bytes target     prot opt in     out     source               destination 
90.
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with tcp-reset
91.
    0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
92.
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-proto-unreachable
Die Zeile 13 ist von
01.
iptables -I FORWARD -i eth0 -o eth0 -j ACCEPT
Bitte warten ..
Mitglied: datasearch
16.02.2010 um 16:12 Uhr
Die Kette "forward_int" springt an, wenn Pakete von ETH0 kommen und nach Any weitergeleitet werden sollen. In dieser Kette werden Pakete, die über eth1 das System verlassen mit dem Status "NEU und BESTEHEND" erlaubt aber nur Pakete, die zu bestehenden Verbindungen gehören akzeptiert.

Über eth0 darf garnichts geforwarded werden. Normalerweise ist das auch kein problem, da sich hinter diesem interface alle Systeme im gleichen Subnetz befinden. Vermutlich akzeptieren aber die Systeme im Netz keinen ICMP Redirect oder das System ist nicht in der Lage, aufgrund der Firewallkonfiguration, diesen zu senden. Da es nun keine Regel gibt, greift Default Drop.


Da sich hinter eth0 sowieso das gleiche Netz verbirgt, kannst du relativ bedenkenlos Verbindungen in der Forward-Kette von eth0 nach eth0 akzeptieren.

Willst du eine saubere trennung zum restlichem Netz (der Intranet-Router) solltest du ein Subinterface konfigurieren und die Netze logisch (L3) trennen. Der Zugriff kann dann in der Firewall explizit in eine Richtung erlaubt werden (-m state ....).

01.
iptables -I FORWARD -i eth0 -o eth0 -j ACCEPT

Da du aber ein SuSE einsetzt, sollten diese Regeln eigentlich vorhanden sein. Prüfe bitte eine Interfacekonfiguration. eth0 muss auf INTERN stehen. Sollte das nicht helfen, trage die iptables Zeile unter "Custom Rules" ein, um die Konfiguration nicht zu versauen.
Bitte warten ..
Mitglied: jjlehto
16.02.2010 um 17:10 Uhr
Danke für die Hilfe, diese Regel macht ja nichts anderes als die Clients ja eh schon dürfen. Also in meinen Augen kein Sicherheitsproblem.
Würde jetzt bloß noch gerne wissen wie ich diese Regel so eintrage, daß nach einem Neustart diese automatisch vorhanden ist.
Bitte warten ..
Mitglied: datasearch
16.02.2010 um 18:49 Uhr
Im YaST oder direkt in der Datei /etc/sysconfig/SuSEfirewall2 gibt es einen Bereich für Benutzerdefinierte Regeln (custom Rules). Hier kannst du das Eintragen.
Bitte warten ..
Mitglied: jjlehto
19.02.2010 um 13:17 Uhr
Danke, hab jetzt alles so wi ich wollte.
In der /etc/sysconfig/scripts/SuSEfirewall2-custom habe ich die Regel eingetragen und es funktioniert.

Ein Lob an alle Helfer
Bitte warten ..
Mitglied: datasearch
19.02.2010 um 17:31 Uhr
Huch, ja, bei dieser Version sind die Benutzerdefinierten Regeln in einer extra Datei abgelegt. Aber nun hast du es ja hinbekommen.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
1 Adressbereich - 2 Gateways
gelöst Frage von Alexander90Router & Routing10 Kommentare

Hallo zusammen, ich Suche nach einer einfachen Möglichkeit den Internet-Traffic einzelner Geräte über einen VPN-Server zu schicken (z.B. ein ...

Linux
Linux auf dem Ipad 2
gelöst Frage von 122136Linux5 Kommentare

Moin Jungs, mir geht demnächst ein Ipad 2 zu. Nun sind Apple und ich philosophisch nicht unter einen Hut ...

Router & Routing
Mehrere Netze und mehrere Gateways
Frage von TleifightRouter & Routing7 Kommentare

Frohe Weihnachten euch allen :) Ich habe seit langem ein Problem, wo ich keine optimale Lösung dazu gefunden habe. ...

LAN, WAN, Wireless
MacBook verwendet IP des Gateways
gelöst Frage von PatrickHoeftLAN, WAN, Wireless12 Kommentare

Hallo zusammen, vielleicht kann mir ja jemand helfen bzw. vielleicht habe ich hier auch Leidensgenossen. Folgendes Problem tritt ab ...

Neue Wissensbeiträge
Viren und Trojaner

Staatstrojaner soll auch per Einbruch installiert werden können

Information von transocean vor 12 StundenViren und Trojaner2 Kommentare

Moin, Bundesinnenminister Horst Seehofer will dem Verfassungsschutz Wohnungseinbrüche erlauben, um den geplanten Staatstrojaner zu installieren. Gruß Uwe

Windows 7
Win7 Update scheitert KB4512506
Information von infowars vor 23 StundenWindows 7

Falls jemand auch das Problem hat mit dem: Monatliches Sicherheitsqualitätsrollup für Windows 7 für x64-basierte-Systeme (KB4512506) Das scheint mit ...

Humor (lol)
Wenn hacken nach hinten los geht
Information von em-pie vor 1 TagHumor (lol)4 Kommentare

Moin, weil heute Freitag ist, nachfolgender kurzer Artikel zum schmunzeln:) l+f: NULL ist ein notorischer Falschparker

Windows Update
Windows: August 2019 Patchday-Probleme
Information von kgborn vor 2 TagenWindows Update3 Kommentare

Ich kippe mal einige kurze Informationen hier rein - vielleicht hilft es Betroffenen. Die August 2019-Updates für Windows haben ...

Heiß diskutierte Inhalte
SAN, NAS, DAS
Leiser stromsparender Debian EXT4 NAS-Heimserver: ECC-RAM wie betreiben?
Frage von Laser12SAN, NAS, DAS25 Kommentare

Moin, aktuell stelle ich einen Rechner zusammen, den mein Computerhändler bauen wird. Nach Jahrzehnten mit Desktops und zwei Notebooks ...

Windows Server
Läuft Microsoft Server SQL2008R2 unter W2016, obwohl nicht supportet?
Frage von LochkartenstanzerWindows Server13 Kommentare

Moin Kollegen, Kurze Frage: Läuft Microsoft Server SQL2008R2 unter W2016, obwohl nicht supportet? Da ich i.d.R. nicht für die ...

Netzwerkgrundlagen
Proxmox auf dedicated Root Server mit nur einer IP nutzen
gelöst Frage von ndreier933Netzwerkgrundlagen12 Kommentare

Hallo Community, ich bin neu hier im Forum und weiß nicht ob ich das Thema richtg zugeordnet habe?Zusätzlich habe ...

Windows Server
Name einer neuen AD Gesamtstruktur ? immer .local?
gelöst Frage von Motte990Windows Server11 Kommentare

Hallo ihr Lieben Ich bin gerade dabei auf einem Windows Server 2019 Core oder Desktop eine neu Active Directory ...