Durchrouten in DMZ nicht möglich

Hi

Ich hoffe mir kann jemand helfen. Ich kenne mich nicht so gut aus mit Linux.
Habe folgendes Netzwerk:
Internet
|
Server1 --- Server2 (DMZ) mit Apache 192.168.10.2
|
Internes Netzwerk 192.168.2.x

Ich möchte gerne, dass man vom externen Netz direkt auf den Apache vom Server2 zugreifen kann. Funktioniert aber nicht.
Woran kann das liegen?

Hier meine Config der Suse Firewall

FW_DEV_EXT="eth-id-00:03:47:6b:c1:43 eth0"
FW_DEV_INT="eth-id-00:0e:0c:22:0f:81 eth1"
FW_DEV_DMZ="eth-id-00:4f:4e:11:8e:d9 eth2"
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INT="no"
FW_SERVICES_EXT_TCP="9999 ssh"
FW_SERVICE_DNS="yes"
FW_SERVICES_EXT_UDP=""
FW_SERVICES_EXT_IP=""
FW_SERVICES_EXT_RPC=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_DMZ_RPC=""
FW_SERVICES_INT_TCP=""
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_SERVICES_INT_RPC=""
FW_SERVICES_DROP_EXT=""
FW_SERVICES_REJECT_EXT=""
FW_SERVICES_ACCEPT_EXT=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP="no"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="no"
FW_FORWARD=""
FW_FORWARD_MASQ="0/0,192.168.10.2,tcp,80"
FW_REDIRECT="192.168.2.0/16,0/0,tcp,80,3128 192.168.2.0/16,0/0,udp,80,3128"
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG_LIMIT=""
FW_LOG=""
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="yes"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_FW_SOURCEQUENCH=""
FW_ALLOW_FW_BROADCAST_EXT=""
FW_ALLOW_FW_BROADCAST_INT=""
FW_ALLOW_FW_BROADCAST_DMZ=""
FW_IGNORE_FW_BROADCAST_EXT="yes"
FW_IGNORE_FW_BROADCAST_DMZ="no"
FW_CUSTOMRULES=""
FW_REJECT=""
FW_HTB_TUNE_DEV=""
FW_IPv6="no"
FW_IPv6_REJECT_OUTGOING=""
FW_IPSEC_TRUST="no"
FW_ZONES=""
FW_USE_IPTABLES_BATCH=""
FW_LOAD_MODULES=""
FW_FORWARD_ALWAYS_INOUT_DEV=""

Kann mir jemand sagen warums nicht geht?

Jede Wette - Falsches Routing. Aber vielleicht postest du erstmal `ip a`, dann sehn'ma weiter.

Wie sieht denn die Internetanbindung aus? Ist das ein Router, dem du erstmal sagen mußt, daß da was zum Durchleiten ist?

Hier mein IP a

1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
2: eth0: <BROADCAST,MULTICAST,NOTRAILERS,UP> mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:03:47:6b:c1:43 brd ff:ff:ff:ff:ff:ff
inet 85.199.18.74/24 brd 85.199.18.255 scope global eth0
3: eth2: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:4f:4e:11:8e:d9 brd ff:ff:ff:ff:ff:ff
inet 192.168.10.1/24 brd 192.168.10.255 scope global eth2
4: eth1: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:0e:0c:22:0f:81 brd ff:ff:ff:ff:ff:ff
inet 192.168.2.1/24 brd 192.168.2.255 scope global eth1

und durch den Router werden alle Ports durchgelassen.
Daran solte es nicht liegen

Und was machst du, um von außen eine Verbindung in die DMZ herzustellen?

Ich denke der Befehl FW_FORWARD_MASQ="0/0,192.168.10.2,tcp,80" sollte das ganze regeln.
Ich versuche das ganze über meinen PDA oder von meiner Firma aus.

Zwischen Linux Firewall und Internet befindet sich doch ein Router oder haben wir Dich falsch verstanden ?

Bei diesem Router müssen ingehende Verbindungen in die DMZ weitergeleitet werden. Ist da irgendein Portforwarding konfiguriert ?

Der Router, der das können muß ist das DSL-Teil. Also nicht dein PC

sirmoes schrieb:

Ich denke der Befehl FW_FORWARD_MASQ="0/0,192.168.10.2,tcp,80" sollte das ganze regeln.
Ich versuche das ganze über meinen PDA oder von meiner Firma aus.

Zum Vergrößern anklicken....

MASQ = SNAT. Du bräuchtest aber DNAT, wenn schon.

Ich habe zwei Server in meinem Netzwerk.
Der erste verfügt über drei Netzwerkkarten (Internet, Interne Zone und DMX) der zweite Server ist im DMZ Netzwerk.
Der erste Server ist mit einem Kablemodem mit dem Internet verbunden und hat einen öffentliche IP Adresse auf der eth0. Bei meinem Kablemodem sind alle Ports freigeschalten (ich kann vom Internet per SSH oder per Webmin auf den Server1 zugreifen. Das durchrouten zum Server2 hat vor ein paar Monaten schon mal funktioniert, ich weiß aber nicht mehr was ich da anders hatte.

ich wollte noch mal nachfragen ob jemanden noch eine Lösung für mein Problem einfällt?

funktioniert leider nicht.

OK Neue Erkenntnis:

Ich habe versucht den Route anstatt in den DMZ in das Interne Netzwerk durchzurouten. Das funktioniert.
Gibts irgenwo ein Setting dass mann auch in den DMZ durchrouten kann? oder woran kanns noch liegen

Nochmal eine neue Erkenntnis:

Ich habe jetzt auch meinen Server auf den ich nicht zugreifen kann mit den Regeln als Internes Netz definiert.
Leider kann ich trotzdem nicht auf den ApacheServer zugreifen.
Also weil der Server im DMZ Netzwerk ist kanns auch nicht liegen.

Gibts noch Ideen von eurer Seite?
(Vorab auf dem ApacheServer läuft keine Firewall!)

So jetzt hab ich entlich eine Lösung gefunden.
Kleiner Fehler große Wirkung.
Der zweite Server auf dem der Apache Webserver läuft und auf dem man vom Internet aus zugreifen soll hatte keinen Standardgateway eingestellt. Somit konnte dieser Server nicht auf externe Anfragen antworten. Die Firewall war also von Anfang an richtig konfiguriert.