sir.henry.k
Newbie
Guten Tag zusammen,
also ich habe folgende Problem mit SuSE 9.2 und der SuSEFirewall2.
Konfiguration :
->Internet (feste IPs) --> SuseFirewall -> internes Netz
|
|-> LANCOM VPN-Router -> internes Netz
|
|-> VPN-Tunnel zu 5 Aussenstellen
Nun es ist folgende Umgebung :
Das interne Netz hat das Subnet 192.168.100.0, die SFW 192.168.100.6 und der VPN-Router 192.168.100.21 und die Rechner und Server haben als Standardgateway die 192.168.100.6 also die SFW.
Dazu haben wir in dem Netzwerk noch einen Lancom VPN-Router 1711, der die fünf Ausstellen anbindet, was auch prima kennt.
Auf der Linuxfirewall habe ich folgende Routen zugefügt :
192.168.101.0 MASK 255.255.255.0 GW 192.168.100.21
192.168.102.0 MASK 255.255.255.0 GW 192.168.100.21
192.168.103.0 MASK 255.255.255.0 GW 192.168.100.21
192.168.105.0 MASK 255.255.255.0 GW 192.168.100.21
192.168.99.0 MASK 255.255.255.0 GW 192.168.100.21
So nun zu meinem Problem :
Wenn ich von einem Rechner aus dem Netz 192.168.100.x in ein anderes z.B. 192.168.99.1 pinge geht es, wenn ich aber von Netz 192.168.99.x nach 192.168.100.5 ( Server ) anpinge, bekomme ich die Fehlermeldung die folgende Meldung im Log :
Oct 27 17:20:46 mail kernel: SFW2-OUT-ERROR IN= OUT=eth1 SRC=192.168.100.6 DST=192.168.100.5 LEN=120 TOS=0x00 PREC=0xC0 TTL=64 ID=57601 PROTO=ICMP TYPE=5 CODE=1 GATEWAY=192.168.100.21 [SRC=192.168.100.5 DST=192.168.99.9 LEN=92 TOS=0x00 PREC=0x00 TTL=127 ID=1667 PROTO=ICMP TYPE=0 CODE=0 ID=512 SEQ=53775 ]
Oct 27 17:20:46 mail kernel: SFW2-FWDint-DROP-DEFLT-INV IN=eth1 OUT=eth1 SRC=192.168.100.5 DST=192.168.99.9 LEN=92 TOS=0x00 PREC=0x00 TTL=127 ID=1667 PROTO=ICMP TYPE=0 CODE=0 ID=512 SEQ=53775
Sobald ich Firewall beende, geht es!
Ich kapiere es nicht, in die eine Richtung geht es.
Das ist meine Konfiguration:
FW_QUICKMODE="no"
FW_DEV_EXT="eth-id-00:12:79:90:94:33"
FW_DEV_INT="eth-id-00:12:79:90:94:35"
FW_DEV_DMZ=""
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_TCP="25 443 80"
FW_SERVICES_EXT_UDP="isakmp"
FW_SERVICES_EXT_IP=""
FW_SERVICES_EXT_RPC=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_DMZ_RPC=""
FW_SERVICES_INT_TCP="domain ssh smtp 80 110 10000 1812 3128 8080 10025"
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP="esp"
FW_SERVICES_INT_RPC=""
FW_SERVICES_DROP_EXT=""
FW_SERVICES_REJECT_EXT=""
FW_SERVICES_QUICK_TCP="25 80 443"
FW_SERVICES_QUICK_UDP=""
FW_SERVICES_QUICK_IP=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP="no"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="no"
FW_FORWARD=""
FW_FORWARD_MASQ="0/0,192.168.100.3,tcp,80 0/0,192.168.100.3,tcp,443"
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="yes"
FW_LOG_ACCEPT_CRIT="no"
FW_LOG_ACCEPT_ALL="no"
FW_LOG_LIMIT=""
FW_LOG=""
FW_KERNEL_SECURITY="yes"
FW_ANTISPOOF="yes"
FW_STOP_KEEP_ROUTING_STATE="yes"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_FW_TRACEROUTE="yes"
FW_ALLOW_FW_SOURCEQUENCH="no"
FW_ALLOW_FW_BROADCAST="yes"
FW_IGNORE_FW_BROADCAST="no"
FW_ALLOW_CLASS_ROUTING="yes"
FW_CUSTOMRULES=""
FW_REJECT="no"
FW_HTB_TUNE_DEV=""
FW_IPv6=""
FW_IPv6_REJECT_OUTGOING="yes"
FW_IPSEC_TRUST="int"
Also ich weiß leider bald nicht mehr weiter ...
Ich hoffe von euch hat noch eine Idee.
Falls mehr Infos benötigt ... bitte schreiben.
danke, Henry
also ich habe folgende Problem mit SuSE 9.2 und der SuSEFirewall2.
Konfiguration :
->Internet (feste IPs) --> SuseFirewall -> internes Netz
|
|-> LANCOM VPN-Router -> internes Netz
|
|-> VPN-Tunnel zu 5 Aussenstellen
Nun es ist folgende Umgebung :
Das interne Netz hat das Subnet 192.168.100.0, die SFW 192.168.100.6 und der VPN-Router 192.168.100.21 und die Rechner und Server haben als Standardgateway die 192.168.100.6 also die SFW.
Dazu haben wir in dem Netzwerk noch einen Lancom VPN-Router 1711, der die fünf Ausstellen anbindet, was auch prima kennt.
Auf der Linuxfirewall habe ich folgende Routen zugefügt :
192.168.101.0 MASK 255.255.255.0 GW 192.168.100.21
192.168.102.0 MASK 255.255.255.0 GW 192.168.100.21
192.168.103.0 MASK 255.255.255.0 GW 192.168.100.21
192.168.105.0 MASK 255.255.255.0 GW 192.168.100.21
192.168.99.0 MASK 255.255.255.0 GW 192.168.100.21
So nun zu meinem Problem :
Wenn ich von einem Rechner aus dem Netz 192.168.100.x in ein anderes z.B. 192.168.99.1 pinge geht es, wenn ich aber von Netz 192.168.99.x nach 192.168.100.5 ( Server ) anpinge, bekomme ich die Fehlermeldung die folgende Meldung im Log :
Oct 27 17:20:46 mail kernel: SFW2-OUT-ERROR IN= OUT=eth1 SRC=192.168.100.6 DST=192.168.100.5 LEN=120 TOS=0x00 PREC=0xC0 TTL=64 ID=57601 PROTO=ICMP TYPE=5 CODE=1 GATEWAY=192.168.100.21 [SRC=192.168.100.5 DST=192.168.99.9 LEN=92 TOS=0x00 PREC=0x00 TTL=127 ID=1667 PROTO=ICMP TYPE=0 CODE=0 ID=512 SEQ=53775 ]
Oct 27 17:20:46 mail kernel: SFW2-FWDint-DROP-DEFLT-INV IN=eth1 OUT=eth1 SRC=192.168.100.5 DST=192.168.99.9 LEN=92 TOS=0x00 PREC=0x00 TTL=127 ID=1667 PROTO=ICMP TYPE=0 CODE=0 ID=512 SEQ=53775
Sobald ich Firewall beende, geht es!
Ich kapiere es nicht, in die eine Richtung geht es.
Das ist meine Konfiguration:
FW_QUICKMODE="no"
FW_DEV_EXT="eth-id-00:12:79:90:94:33"
FW_DEV_INT="eth-id-00:12:79:90:94:35"
FW_DEV_DMZ=""
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_TCP="25 443 80"
FW_SERVICES_EXT_UDP="isakmp"
FW_SERVICES_EXT_IP=""
FW_SERVICES_EXT_RPC=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_DMZ_RPC=""
FW_SERVICES_INT_TCP="domain ssh smtp 80 110 10000 1812 3128 8080 10025"
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP="esp"
FW_SERVICES_INT_RPC=""
FW_SERVICES_DROP_EXT=""
FW_SERVICES_REJECT_EXT=""
FW_SERVICES_QUICK_TCP="25 80 443"
FW_SERVICES_QUICK_UDP=""
FW_SERVICES_QUICK_IP=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP="no"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="no"
FW_FORWARD=""
FW_FORWARD_MASQ="0/0,192.168.100.3,tcp,80 0/0,192.168.100.3,tcp,443"
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="yes"
FW_LOG_ACCEPT_CRIT="no"
FW_LOG_ACCEPT_ALL="no"
FW_LOG_LIMIT=""
FW_LOG=""
FW_KERNEL_SECURITY="yes"
FW_ANTISPOOF="yes"
FW_STOP_KEEP_ROUTING_STATE="yes"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_FW_TRACEROUTE="yes"
FW_ALLOW_FW_SOURCEQUENCH="no"
FW_ALLOW_FW_BROADCAST="yes"
FW_IGNORE_FW_BROADCAST="no"
FW_ALLOW_CLASS_ROUTING="yes"
FW_CUSTOMRULES=""
FW_REJECT="no"
FW_HTB_TUNE_DEV=""
FW_IPv6=""
FW_IPv6_REJECT_OUTGOING="yes"
FW_IPSEC_TRUST="int"
Also ich weiß leider bald nicht mehr weiter ...
Ich hoffe von euch hat noch eine Idee.
Falls mehr Infos benötigt ... bitte schreiben.
danke, Henry