OpenSuse11.1 als Firewall

2fast_driver · 14 Jan. 2009

Hallo linux-club,

ich bin Anfänger in Sachen Linux.

mein ziel ist ein Linux Firewall ein zurichten. Ich habe ein Server mit 2 Netzwerkkarten, eine sollte nach zum Internet verbinden und das andere als DHCP- server für Interne bereicht fungieren.

(Internet<--->Router<--(192.168.254.255 subnetz)-->LinuxServer<--(192.168.152.255 subnetz)-->Clients)

Router IP: 192.168.254.254 (internet)
eth0: 192.168.254.1 (externe zone)
eth1: 192.168.152.1 (interne zone)
Client: 192.168.152.10-250

(Linux Server routing eingestellt Destination: 192.168.152.0 Gateway: 192.168.254.1 Subnetzmaske: 255.255.255.0 )

die Clients bekommen per DHCP ip zugewiesen, das funktioniert auch bloß die können nicht in das Internet zugreifen.

mit Linux Server komme ich in das Internet. (mit standard gateway 192.168.254.254)

wie kann ich einstellen das die Clients auch in das Internet zugreifen können?

Vielen Dank an euch.

mfg

framp · 14 Jan. 2009

Die SuSEFireall konfigurieren (per yast oder mit Editor in /etc/sysconfig/SuSEFirewall2) und dann die FW starten. Da die Datei SuSEFirewall2 gut dokumentiert ist empfehle ich Dir den Editor. Probleme/Fragen hast zu einzelnen Einstellungen kannst Du ja in diesen Thread einstellen.

2fast_driver · 14 Jan. 2009

framp schrieb:
Die SuSEFireall konfigurieren (per yast oder mit Editor in /etc/sysconfig/SuSEFirewall2) und dann die FW starten. Da die Datei SuSEFirewall2 gut dokumentiert ist empfehle ich Dir den Editor. Probleme/Fragen hast zu einzelnen Einstellungen kannst Du ja in diesen Thread einstellen.

hier ist meine Susefirewall2 config:

Code:

FW_DEV_EXT="any br1 eth0 eth1"
FW_DEV_INT="br0"
FW_DEV_DMZ=""
FW_ROUTE="no"
FW_MASQUERADE="no"
FW_MASQ_DEV="zone:ext"
FW_MASQ_NETS="0/0"
FW_NOMASQ_NETS=""
FW_PROTECT_FROM_INT="yes"
FW_SERVICES_EXT_TCP="10000"
FW_SERVICES_EXT_UDP="10000"
FW_SERVICES_EXT_IP=""
FW_SERVICES_EXT_RPC=""

FW_CONFIGURATIONS_EXT="sshd"
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_DMZ_RPC=""
FW_CONFIGURATIONS_DMZ=""
FW_SERVICES_INT_TCP=""
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_SERVICES_INT_RPC=""
FW_CONFIGURATIONS_INT="avahi cups dhcp-server dnsmasq-dhcp dnsmasq-dns nfs-client ntp postfix samba-server sshd vnc-httpd vnc-server xdmcp xorg-x11-server ypbind"
FW_SERVICES_DROP_EXT=""
FW_SERVICES_DROP_DMZ=""
FW_SERVICES_DROP_INT=""
FW_SERVICES_REJECT_EXT=""
FW_SERVICES_REJECT_DMZ=""
FW_SERVICES_REJECT_INT=""
FW_SERVICES_ACCEPT_EXT=""
FW_SERVICES_ACCEPT_DMZ=""
FW_SERVICES_ACCEPT_INT=""
FW_SERVICES_ACCEPT_RELATED_EXT=""
FW_SERVICES_ACCEPT_RELATED_DMZ=""
FW_SERVICES_ACCEPT_RELATED_INT=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
FW_ALLOW_INCOMING_HIGHPORTS_UDP=""
FW_FORWARD=""
FW_FORWARD_REJECT=""
FW_FORWARD_DROP=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG_LIMIT=""
FW_LOG=""
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_FW_SOURCEQUENCH=""
FW_ALLOW_FW_BROADCAST_EXT="no"
FW_IGNORE_FW_BROADCAST_EXT="yes"
FW_IGNORE_FW_BROADCAST_INT="no"
FW_IGNORE_FW_BROADCAST_DMZ="no"
FW_ALLOW_CLASS_ROUTING=""
FW_CUSTOMRULES=""
FW_REJECT=""
FW_REJECT_INT="yes"
FW_HTB_TUNE_DEV=""
FW_IPv6=""
FW_IPv6_REJECT_OUTGOING=""
FW_IPSEC_TRUST="no"
FW_ZONES=""
FW_USE_IPTABLES_BATCH=""
FW_LOAD_MODULES="nf_conntrack_netbios_ns"
FW_FORWARD_ALWAYS_INOUT_DEV=""
FW_FORWARD_ALLOW_BRIDGING=""

das ist ja riesig *.*

framp · 15 Jan. 2009

2fast_driver schrieb:
FW_DEV_EXT="any br1 eth0 eth1"

Brauchst Du wirklich die beiden Brücken? Und dann noch eine nach draussen? Ausserdem sagtest Du ja eth1 sein innen. Also raus damit !

FW_DEV_INT="br0"

Sollte wohl eth1 sein[/quote]
...

FW_ROUTE="no"

Sollte yes sein

FW_MASQUERADE="no"

Sollte no sein

2fast_driver · 16 Jan. 2009

hallo danke schön,

aber was ich noch nicht gesagt habe ist, dass ich nicht per Grup boote sondern per XEN. Den ich möchte Suse 11.1 als Firewall Server (DHCP Server und OpenVPN server) und Windows Server 2008 als virtuale maschine laufen. Deswegen auch br0 und br1.

Ich probiere es mal.

Danke erstmal.

MfG

2fast_driver · 16 Jan. 2009

hallo,

das ist das was ich machen möchte http://wiki.linux-club.de/opensuse/Linux-Firewall_hinter_Hardware-Router, aber es klappt immer noch nicht wie es sein sollte.

MfG

framp · 16 Jan. 2009

Kommen die br0 und br1 durch XEN? Ich kenne mich mit XEN leider nicht aus

..

Poste dann doch moch mal Deine SuSEFirewall2.conf (excl kommentar und leerzeichen wie Du es oben schon gemacht hast).
Ausserdem hilft

Code:

FW_LOG_DROP_ALL="yes"

ungemein beim FW Fehlersuchen. Schalte das mal ein und versuche den FW Fehler anhand der Messages in /var/log/messages selbst zu finden. Ansonsten poste hier die Dropped Meldungen. Aber nicht vergessen das nach dem debuggen wieder auszuschalten :roll: Kann ich mir eigentlich

Linuxler · 17 Jan. 2009

ich würd mir mal den IPCOP anschauen, der ist auch einfach zu bedienen:
www.ipcop-forum.de

framp · 17 Jan. 2009

Linuxler schrieb:
ich würd mir mal den IPCOP anschauen, der ist auch einfach zu bedienen:
http://www.ipcop-forum.de

Ist auch eine Alternative. Siehe auch hier.

2fast_driver · 19 Jan. 2009

Danke an euch,

ich werde es damit versuchen.

MfG

framp · 19 Jan. 2009

2fast_driver schrieb:
Danke an euch,

ich werde es damit versuchen.

MfG

... bin ein wenig enttäuscht weil Du so schnell mit SuSE aufgibst. Das geht auch mit SuSE!

Wenn Du aber nur einen einfachen Router suchst ist IPCOP richtig. Wenn Du Dich allerdings mit Linux, Networking, Firewall usw näher beschäftigen willst solltest Du den Weg weiter mit SuSE gehen

Linuxler · 20 Jan. 2009

Lernen kann man natürlich mehr, wenn man das alles in Suse durchbeißt. Ich würd aber aus Überzeugung, dass eine Firewall nur eine Firewall sein soll und darauf keine unnötigen Sachen laufen sollen, eine Firewalldistribution bevorzugen. Es entzieht sich aber meiner Kenntnis, inwieweit man Suse zusammenstutzen kann bzw. soll.

2fast_driver · 20 Jan. 2009

framp schrieb:
... bin ein wenig enttäuscht weil Du so schnell mit SuSE aufgibst. Das geht auch mit SuSE!

Wenn Du aber nur einen einfachen Router suchst ist IPCOP richtig. Wenn Du Dich allerdings mit Linux, Networking, Firewall usw näher beschäftigen willst solltest Du den Weg weiter mit SuSE gehen

Ich habe das mal näher angeschaut, IPCop ist zwar schön und gut, aber wie du es richtig gesagt hast reine Router und Firewall.
Ich bin jetzt soweit mit Linux das ich Webmin installiert und DHCP Server eingerichtet habe.

Wie ist eure Erfahrung mit Webmin, zweck Routing, Firewall und DHCP?

Vielen Dank

Linuxler · 20 Jan. 2009

nö, ich mach keine Werbung für ipcop

...aber wollt nur noch erwähnen, dass der Ipcop neben vielen anderen Sachen auch DHCP bietet.

OpenSuse11.1 als Firewall

2fast_driver

Newbie

framp

Moderator

2fast_driver

Newbie

framp

Moderator

2fast_driver

Newbie

2fast_driver

Newbie

framp

Moderator

Linuxler

Member

framp

Moderator

2fast_driver

Newbie

framp

Moderator

Linuxler

Member

2fast_driver

Newbie

Linuxler

Member