kleinemeise
Goto Top

Probleme mit Firewall und Routing

Hallo Leute,

ich befasse mich derzeit etwas intensiver mit Linux. Bin aber nicht wirklich der Linux Profi.

Zum Problem:

Es soll eine Firewall auf openSuse Basis aufgesetzt werden. Diese hat folgenden Aufbau:

c0ed415e0f61323793ba16ad83041fc9-firewall

Vorerst habe ich die suse Firewall deaktiviert und IP Weiterleitung aktiviert. Es soll ermal alles funktionieren und anschließend kommen die Firewallregel.

[code]
iptables -L [/code] zeigt also leere chains an --> was auch gut ist.

Nun kann ich bereits aus der internen Zone alle Netzwerkkarten der Firewall pingen. Aber alles hinter der Firewall lässt sich nicht von der internen Zone erreichen.

Wie verhält sich Linux, wenn die Firewall aus ist? Pingen kann ich die FW ja.
Könnt ihr mir noch einen Tip geben?

Danke

Content-ID: 106774

Url: https://administrator.de/contentid/106774

Ausgedruckt am: 22.11.2024 um 16:11 Uhr

aqui
aqui 22.01.2009 um 09:34:44 Uhr
Goto Top
Stimmen alle deine default Gateways der Endgeräte die du anpingst?? D.h. zeigen die alle auf die entsprechende FW IP aus dem Segment ??

Andere Frage: Wenn es nur eine Firewall sein soll warum machst du dir soviel Mühe und installierst den ganzen Linux Overhead mit ??

Es gibt fertig customizte Firewalls mit einer Weboberfläche zum konfigurieren wie z.B.

http://www.ipcop-forum.de/
und
http://m0n0.ch/
und
http://www.endian.com/en/community/

Einfacher und effektiver zu installieren indem man das ISO Image auf CD brennt und auf "Install" klickt.... wenns nur eine FW sein soll.... !
Alphavil
Alphavil 22.01.2009 um 09:37:34 Uhr
Goto Top
Ja da kann ich nur zustimmen, IP-Cop ist eine sehr gute Sache und einfacher zu konfigurieren wie über ein Suse-System. Zusätzlich ist es noch sicherer, da es auf eine Firewall optimiertes System ist ohne viel drum rum was du ja bei Suse genung hast
kleinemeise
kleinemeise 22.01.2009 um 09:43:40 Uhr
Goto Top
ok, ich werde es mir mal anschauen. Trotzdem würde ich noch gern das Problem lösen ;)

Hier die Routing Tabelle
<code >
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.20.0 * 255.255.255.0 U 0 0 0 eth0
192.168.2.0 * 255.255.255.0 U 0 0 0 eth2
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
link-local * 255.255.0.0 U 0 0 0 eth0
loopback * 255.0.0.0 U 0 0 0 lo
default 192.168.20.1 0.0.0.0 UG 0 0 0 eth0


192.168.20.1 ist der router hinter der Firewall.
aqui
aqui 22.01.2009 um 10:29:47 Uhr
Goto Top
Das sieht eigentlich gut aus. Wenn die iptables deaktiviert sind und in der Sysconfig ip_forwarding (Routing) aktiv ist sollte die Maschine ganz normal routen können.

Gesetzt den Fall du hast 2 PCs einen in eth 1 und einen in eth 2 und die haben diese Einstellungen:

PC in eth 1:
IP: 192.168.1.200
Maske: 255.255.255.0
Gateway: 192.168.1.1 (Linux)

PC in eth 2:
IP: 192.168.2.200
Maske: 255.255.255.0
Gateway: 192.168.2.1 (Linux)

und an eth 0 (192.168.20.20) ist der Router mit der 192.168.20.1 dann muss auch der Router 2 statische Routingeinträge haben und zwar:

Zielnetz: 192.168.1.0, Maske: 255.255.255.0, Gateway: 192.168.20.20
Zielnetz: 192.168.2.0, Maske: 255.255.255.0, Gateway: 192.168.20.20

Sonst würde er Pakete ins Internet routen aus diesen beiden Netzen, da er sie ja sonst (ohne diese 2 Routen) nicht kennt !
OK, die brauchst du natürlich NUR wenn du auch den Router pingen willst aus eth 1 und eth 2 und NICHT Adress Translation per iptables auf dem Interface eth 0 machst !! Also ganz normales Routing mit 3 Netzwerkkarten !

Ein Ping von eth 1 zu eth 2 ist auch so OHNE diese Routen immer möglich mit den o.a. Einstellungen.

Achte darauf das auch wirklich IP Forwarding auf dem Linux Rechner aktiviert ist und das ICMP Protokoll (Haken bei auf Echo Pakete antworten gesetzt !) in der lokalen FW der PCs aktiviert ist sofern diese Winblows Maschinen sind !!
Damit sollte es problemlos klappen.
Anregungen und Tips zu diesem Szenario findest du auch in diesem Tutorial:
kleinemeise
kleinemeise 22.01.2009 um 14:44:52 Uhr
Goto Top
ihr seid genial, waren tatsächlich die fehlenden routen im Router face-smile

Danke, speziell an aqui