Firewall & Port Forwarding unter SuSE 7.0

Hi. Ich habe einen Rechner, mit SuSE 7.0. Diesen benutze ich als Router. Er hat zwei Netzwerkkarten. Eine fürs interne "sichere" Netz und eine vom Router zum Modem. Darauf läuft die SuSEFirewall. Ich möchte nun eine Anfrage vom Internet auf den ssh-Port(22) weiterleiten an einen Rechner hinter der Firewall. Was muss ich da einstellen? So sieht meine momentane Config aus:

FW_DEV_WORLD="ppp0"

FW_DEV_INT="eth0"

FW_DEV_DMZ=""

FW_ROUTE="yes"

FW_MASQUERADE="yes"

FW_MASQ_NETS="192.168.0.10 192.168.0.101 192.168.0.200"

FW_MASQ_DEV="$FW_DEV_WORLD" # e.g. "ippp0" or "$FW_DEV_WORLD"

FW_PROTECT_FROM_INTERNAL="no"

FW_AUTOPROTECT_GLOBAL_SERVICES="yes"

FW_SERVICES_EXTERNAL_TCP="" # Common: smtp domain
FW_SERVICES_EXTERNAL_UDP="" # Common: domain

FW_SERVICES_DMZ_TCP="" # Common: smtp domain
FW_SERVICES_DMZ_UDP="" # Common: domain syslog

FW_SERVICES_INTERNAL_TCP="ssh"
FW_SERVICES_INTERNAL_UDP="ssh"

FW_TRUSTED_NETS=""

FW_SERVICES_TRUSTED_TCP="" # Common: ssh
FW_SERVICES_TRUSTED_UDP="" # Common: syslog time ntp

FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" # Common: "ftp-data" (sadly!)
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" # Common: "dns"

FW_SERVICE_DNS="no"
FW_SERVICE_DHCLIENT="no"
FW_SERVICE_DHCPD="yes"
FW_SERVICE_SAMBA="no"

FW_FORWARD_TCP=""
FW_FORWARD_UDP=""

FW_FORWARD_MASQ_TCP=""
FW_FORWARD_MASQ_UDP=""

FW_REDIRECT_TCP=""
FW_REDIRECT_UDP=""

FW_LOG_DENY_CRIT="yes"
FW_LOG_DENY_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"

FW_KERNEL_SECURITY="yes"

FW_STOP_KEEP_ROUTING_STATE="no"

FW_ALLOW_PING_FW="no"
FW_ALLOW_PING_DMZ="no"

FW_ALLOW_FW_TRACEROUTE="no"

FW_ALLOW_FW_SOURCEQUENCH="yes"

FW_MASQ_MODULES="autofw cuseeme ftp irc mfw portfw quake raudio user vdolive"

Die Firewall hat die IP 192.168.0.40/Internet IP und der Zielrechner hat die IP 192.168.0.101. Danke schonmal im vorraus.

Was du möchtest ist kein Port Forwarding sondern DNAT. Zunächst musst du sicherstellen dass dein Port 22 auf der Firewall von aussen erreichbar ist. Anschließend folgt eine iptable Anweisung die bei laufender Firewalleinstellung in etwa so aussieht:

/usr/sbin/iptables -A PREROUTING -i ppp0 -t nat -p tcp --dport 22 -j DNAT --to-destination $ZIEL_IP

Mit diesem Befehl wird die Anfrage weitergeleitet.

Mit freundlichen Grüßen
gaw

Diese Anleitung dient zur schnellen Konfiguration eines Port-Forwording.
Dazu muss auf dem Rechner folgende Software installiert sein:

- Ipmasqadm

Eine temporäre Weiterleitung lässt sich mit folgendem Befehl einrichten:

Weiterleitung eintragen:
ipmasqadm portfw -a -P 'SERVICE' -L I-NET-IP PORT -R ZielIP PORT

Komplette Weiterleitungen löschen:
ipmasqadm portfw -f


Eine Weiterleitung bei der Einwahl einrichten funktioniert mit folgendem Befehlen, die in die Datei /etc/ppp/ip-up eingetragen werden. Am besten ganz oben.

1. INetIP=`/sbin/ifconfig ppp0 | grep inet | awk -F ':' ' { print $2 } ' | awk ' { print $1 } '`
2. /usr/sbin/ipmasqadm portfw -f
3. /usr/sbin/ ipmasqadm portfw -a -P 'SERVICE' -L $INetIP PORT -R ZielIP PORT

Zu Zeilen:
1. Auslesen der Internet IP in die Variable INetIP
2. Löscht alle vorhandenen Masquaradings
3. Legt die Weiterleitung mit Ports fest

Ich dachte ich haette mich verlesen - aber Du hast wohl wirklich SuSE 7.0. Du weisst dass es dafuer schon lange keine SecurityFixes gibt. Aber gottseidank ist Linux nicht Windows - so dass Dein Router wohl trotzdem noch sehr sicher ist.

Ich allerdings habe fuer mich entschieden meinen SuSE 9.3 FW&Router jetzt nach auslaufen der Wartung fuer 9.3 auf 10.2 zu heben :roll:

*Schmunzel*

4 1/2 Jahre musste der Thread auf eine Antwort warten, nun ist sie da!

Herzlichen Glückwunsch zum "Schliemann des Jahres".

1. Preis, eine kostenlose Ausgabe von

http://happydigger.nongnu.org/

Happydigger is a program which you can be used for cataloging archaeological finds.

Zum Vergrößern anklicken....

*looool*

Mir ist der Thread nur wg des Updates aufgefallen - dass der schon die Bartwickelmaschine im Keller hat - ne ne ne

Aber dann wird er wohl in der Zwischenzeit nicht mehr das unsupportete 7.0 benutzen

framp schrieb:

Aber dann wird er wohl in der Zwischenzeit nicht mehr das unsupportete 7.0 benutzen

Zum Vergrößern anklicken....

Bedauerlicherweise ist das sehr wahrscheinlich doch der Fall.
AFAIK wird ipmasqadm schon seit Ewigkeiten (Kernel 2.2 ?) nicht mehr benutzt.
Heutzutage (Kernel 2.6) wird Portforwarding mittels iptables eingerichtet.

Eine Distribution, die schon seit einer Ewigkeit nicht mehr mit Sicherheitsupdates versorgt wird auf einem Router - also einem Rechner, der ein wesentlicher Bestandteil der Sicherheit eines Netzwerks ist - einzusetzen, ist IMHO schon nichtmehr fahrlässig, sondern grenzt eher an Vorsatz ...