• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

frage zu suse 10 mit SuSEfirewall2

happo1

Newbie
hi !

habe da ein problem mit der SuSEfirewall2 (SuSE10) auf meinem gateway.

ich würde gerne nur bestimmte protokolle aus meinem netzwerk ins inet lassen

SuSEfirewall2:

FW_MASQ_NETS="192.168.10.0/24,0/0,tcp,443 192.168.10.0/24,0/0,tcp,25"

sprich ich lasse 192.168.10.0/24 https und smtp nach draussen. das funktioniert auch prächtig.

das gleiche versuche ich mit dem pptp protokoll auch, aber das geht irgendwie nich ... zumindest bei mir nich :D )

FW_MASQ_NETS="192.168.10.0/24,0/0,tcp,1723 192.168.10.0/24,0/0,udp,1723"

erst wenn ich FW_MASQ_NETS="0/0" stelle geht´s. dann geht aber alles nach draussen und das will ich auch nich :cry:

leider droppt er nichts im logfile ....


weiss jemand wie man das lösen kann ???

tHx!!
 

Martin Breidenbach

Ultimate Guru
PPTP geht nicht so einfach da da ja nicht nur der eine Port sondern noch das ganze GRE Protokoll durchgelassen werden muss.

EDIT: hab grad mal etwas gegoogelt und die hier sehen interessant aus (zum Thema 'GRE durchlassen)):

http://www.linuxforen.de/forums/showthread.php?t=201590

http://www.mcseboard.de/showthread.php?t=37354
 
OP
H

happo1

Newbie
ok !

thx für die links !
hab mich da mal schlau gemacht,

schafffs aber trotzdem nich das protokoll gre (47) durchzubringen.

hab schon herumgegooglt um eine iptables regel in den custom script der SuSEfirewall2 einzubinden, aber noch nichts gefunden.

need help :?: :?: :?:
 

framp

Moderator
Teammitglied
Also ich habe das Proto 50 (ESP) bei mir so freigeschaltet:
Code:
/usr/sbin/iptables $cmd FORWARD -p 50 -i $NIC -o dsl0 -d 0.0.0.0/0 -s $IP -j ACCEPT
/usr/sbin/iptables $cmd FORWARD -p 50 -o $NIC -i dsl0 -s 0.0.0.0/0 -d $IP -j ACCEPT
mit cmd="-I" bz "-D", NIC="die interne nic" und IP="die ip des internen Clients"
 
OP
H

happo1

Newbie
hab die iptables befehle in meine SuSEfirewall2-custom eingetragen:

iptables -I FORWARD -p 47 -i eth1 -o ppp0 -d 0.0.0.0/0 -s 192.168.10.1 -j ACCEPT
iptables -I FORWARD -p 47 -o eth1 -i ppp0 -s 0.0.0.0/0 -d 192.168.10.1 -j ACCEPT


funzt leider auch nicht, laut logfiles dürften die notwendigen protokolle korrekt durchgehen.

der client bleibt aber trozdem stehen bei benutzername und kennwort prüfung ...
 
OP
H

happo1

Newbie
habs gelöst *juhuu*

folgende iptables regel muss in die SuSEfirewall2-custom

in den punkt:

fw_custom_before_denyall()

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 1723 -j DNAT --to 192.168.10.1
iptables -t nat -A PREROUTING -i ppp0 -p 47 -j DNAT --to 192.168.10.1


damit wird pptp korrekt über ppp0 zu dem host 192.168.10.1 geleitet !!


tHx !!
 

framp

Moderator
Teammitglied
happo1 schrieb:
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 1723 -j DNAT --to 192.168.10.1
iptables -t nat -A PREROUTING -i ppp0 -p 47 -j DNAT --to 192.168.10.1
Congratulations !
Ich kenne pptp nicht. Ich habe das nur aus netfilter Gesichtspunkten betrachtet. Aber das heisst, dass nur 192.168.10.1 in Deinem Netz pptp benutzen kann. Alle anderen gehen leer aus ,,,
 
Oben