suse FW2 routet keine 2 subnetze

[maxpowers]

Hmm laut

## Type:   string 
# 
# 9.) 
# Which services ON THE FIREWALL should be accessible from either the internet 
# (or other untrusted networks), the dmz or internal (trusted networks)? 
# (see no.13 & 14 if you want to route traffic through the firewall) XXX 
# 
# Enter all ports or known portnames below, seperated by a space. 
# TCP services (e.g. SMTP, WWW) must be set in FW_SERVICES_*_TCP, and 
# UDP services (e.g. syslog) must be set in FW_SERVICES_*_UDP. 
# e.g. if a webserver on the firewall should be accessible from the internet: 
# FW_SERVICES_EXT_TCP="www" 
# e.g. if the firewall should receive syslog messages from the dmz: 
# FW_SERVICES_DMZ_UDP="syslog" 
# For IP protocols (like GRE for PPTP, or OSPF for routing) you need to set 
# FW_SERVICES_*_IP with the protocol name or number (see /etc/protocols) 
# 
# Choice: leave empty or any number of ports, known portnames (from 
# /etc/services) and port ranges seperated by a space. Port ranges are 
# written like this: allow port 1 to 10 -> "1:10" 
# e.g. "", "smtp", "123 514", "3200:3299", "ftp 22 telnet 512:514" 
# For FW_SERVICES_*_IP enter the protocol name (like "igmp") or number ("2") 
# 
# Common: smtp domain 
FW_SERVICES_EXT_TCP="ssh www 2121 4000:8000 17100:17200 47624 2300:2400 34987 10266 5000" 
#                                  
## Type:   string 
# Common: domain 
FW_SERVICES_EXT_UDP="123 2121 4000:8000 2300:2600 5000"   # Common: domain 
#                                

## Type:   string 
# For VPN/Routing which END at the firewall!! 
FW_SERVICES_EXT_IP="" 

## Type:   string 
# 
# Common: smtp domain 
FW_SERVICES_DMZ_TCP="" 

## Type:   string 
# Common: domain 
FW_SERVICES_DMZ_UDP="" 

## Type:   string 
# For VPN/Routing which END at the firewall!! 
FW_SERVICES_DMZ_IP="" 

## Type:   string 
# 
# Common: ssh smtp domain 
FW_SERVICES_INT_TCP="ssh www 2121 17100:17200 47624 2300:2400 34987 10266 5000" 
#                                

## Type:   string 
# Common: domain syslog 
FW_SERVICES_INT_UDP="123 2121 2300:2400 5000"

sehe ich keinen Eintrag der ICMP erlaubt => es kann nicht gehen
ICMP ist ein genau genommen ein Protokoll und muss seperat erlaubt werden...
siehe /etc/protocols
doch ACHTUNG im ICMP gibt es mehr als nur PING und Antwort auf PING
mit IPTABLES kann man noch genau die ICMP Typen erlauben/verbieten...
aber zum Testen einfach mal

FW _SERVICES_INT_IP="ICMP"

Und warum sind an der Externen Schnittstelle so viele Dienste erlaubt?!

 

[gaw]

wieso?
es funktioniert alles bestens!

ppp0 ist doch quasi nur eine virtuelle schnittstelle! bremst auch nicht eth0 aus!

es funktioniert eigentlich alles bestens, obwohl es öfters zu collisionen kommt, da wie schon gesagt dsl und subnetz1 über die selbe physikalische schnittstelle laufen!

wenn ich ppp0 anspreche, spricht er mir sauber das inet an!
wenn ich eth0 anspreche, spricht er mir sauber das subnetz1 an!

wie ich auch schon sagte ist das nicht professionell sondern nur zum testen!

sobald das mal essenziell funktioniert ist eine 3. NIC da, und ich setz den server eh neu auf!
ist ja auch noch ne ram erweiterung fällig!

von daher...

*lol*
Es läuft alles bestens es wird nichts ausgebremst... aber es kommt zu Kollisionen, deine Firewall sperrt alles mögliche, die Konfiguration bekommst du nicht gebacken und ein Teil deines Netzes kannst du nicht erreichen.... widersprüchlicher kann eine Aussage kaum sein, du hättest Politiker werden sollen

mfg
gaw


ps: Warum soll denn eine RAM Erweiterung fällig sein? Als Router benötigt deine Linuxbox kaum zusätzlichen RAM.

 

[mitch-geht-ab]

jetzt wirds mir zu blöd!
irgendwie wird als geschwetzt und net mal was sinnvolles beigetragen, ausser am anfang von martin b.

@maxpowers: so viel ich weis ist ICMP essenziell quasi ping! darum gehts mir net mal! ich kann den rechner ja auch net über "\\IP" erreichen!
ich werds trotzdem nachher mal testen! wenns klappt schreib ich was rein, wenn net, geh von aus es hat nicht funktioniert!

@gaw: die struktur meines netzes kann dir doch vollkommen egal sein oder!?
ist doch eigentlich auch garkein thema hier!
für dich damit du es ganz genau hast:
meine server-client architektur im altag:

PC1 (XP- 192.168.1.11)
PC2 (XP- 192.168.1.12)
Laptop1 (XP- 192.168.1.13)
Laptop2 (XP- 192.168.1.14)

Printserver (192.168.1.2)
Accesspoint (192.168.1.3)

Server (eth0 192.168.1.99, eth1 192.168.1.254, ppp0 an eth1 mit xyIP)

UND DAS FUNKTIONIERT SUPER!!!!!!!!!!!!!!!!

warum so viele dienste laufen? weil ich viele dienste extern erreichen will/muss!
warum ich RAM erweitere? weil ich nen mldonkey hab der meinen swap zu 50% auslastet!
wenn ich den nicht hätte, bräuchte ich auch keinen RAM da hast du recht!


so nun hab ich aber was anderes vor! und bevor ich meine linux kiste neu aufsetzte, probier ich das einfach mal vorher aus was ich vor hab, oder?
bervor ich mir die arbeit mache und evt. noch geld ausgebe!

also hab ich einfach kurz die eth0 mit int.netz und dsl modem versehen, und an die eth1 einen laptop mit 10er netz via crossover angeschlossen.

das ich da collisionen hab ist mir so scheiss egal, weil wenn ich das ganze wieder zurückstelle, ich keine collisionen mehr habe!

also währe ich dankbar wenn du dir nicht über meine architektur gedanken machst, sondern über (wenn du noch lust hast, oder es kannst) mein firewall problem!

danke!

 

[gaw]

Ich sagte schon, ich weiß nicht ob die (personal) SuSEFirewall die Doppelbelegung berücksichtigt. Mit iptables lässt sich das sicher machen. Ein Test, bevor du dich weiter quälst (obwohl ich dein Netz nach wie vor für Chaos pur halte). Schalte die SuSEFirewall einmal komplett ab und gib dann folgende Befehle ein:

echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr

/usr/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Mit diesen drei Befehlen schaltest du das Masquerading ein. Damit sollte dein Internet dann funktionieren.

Die Firewall ist aber abgeschaltet. Alle Pakete dürfen den Filter im Kernel passieren. Wenn du dann immer noch nicht alle Rechner erreichen kannst, ist es kein Problem der Firewall sondern ein Problem des Routing oder der Namesauflösung.

mfG
gaw

 

[maxpowers]

btw: was auch immer Du mit \\IP meinst - ich denk mal Du meinst den Zugriff über Windowsfilesharing - dazu brauchst du natürlich auch gewisse Ports z.B.

137 UDP - NETBIOS Name Service
138 UDP - NETBIOS Datagram Service
139 TCP - NETBIOS Session Service

werden diese nicht geroutet siehts schlecht aus mit SMB...

und übrigens das ICMP Protokoll umfasst weit mehr als nur den PING, darum warn ich Dich ja davor (is ja schlieslich nur gut gemeint)... lies am besten mal die Protokollspezifikationen ..

 

[mitch-geht-ab]

also es hat sich etwas rausgestellt! :roll:
ich weis net seit wann das so geht... aber aus meinem 192.168.1.0 netz erreich ich meinen client im 10er netz!

also sprich:

ich habe PC1 (xp-192.168.1.2), mit dem kann ich laptop1 (xp-10.0.0.14) erreichen, allerdings nicht umgekehrt! heißt, laptop1 kann pc1 nicht erreichen, da kommt immer host unreachable.

an der firewall hab ich nun folgendes:

FW_DEV_INT="eth0 eth1"
FW_ALLOW_CLASS_ROUTING="YES"

also ist es kein problem des servers mehr, sondern das des clients!

nun ist das problem woran solls liegen?

also auf dem laptop1 ist folgendes eingestellt

ip: 10.0.0.14
subnet: 255.255.255.0
gateway: 10.0.0.99
dns: 10.0.0.99

mehr gibts da ja erstmal nicht!
zusätzlich hab ich mal noch folgede route eingetragen:

route ADD 192.168.0.0 MASK 255.255.255.0 10.0.0.14

damit der laptop nicht immer die internetverbindung nimmt!

ich weis das ist jetzt eigentlich ein WinXP problem, aber vielleicht weis der eine oder andere ja doch was drüber!?

 

[maxpowers]

versuchs lieber mal mit der Route

route add 192.168.1.0 mask 255.255.255.0 10.0.0.99

denn der einzige Weg ins 192.168.1.0 Netz ist dein Linuxserver 10.0.0.99

 

[mitch-geht-ab]

hab ich ehrlich gesagt auch schon probiert!
dann stand mit "route print" als gateway ins 192.168.1.0 netz der 10.0.0.99 drin, und der als schnittstelle der 10.0.0.14

funktioniert allerdings immer noch nicht =(

 

[maxpowers]

ist aber i.O. so

 

[mitch-geht-ab]

geht aber net manmanmanmanman so nen scheisdreck =(

 

[mitch-geht-ab]

also, ich weis nicht warum... ich hab nix geändert.. aber jetzt geht es! =(
warscheinlich hat sich die hardware gedacht.."der ist hardnäckig, ich geb auf"

naja... ich dank euch trotzdem allen!