Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Firewall & Port Forwarding unter SuSE 7.0

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

Antworten
-Phreak-
Newbie
Newbie
Beiträge: 2
Registriert: 1. Feb 2005, 17:03
Wohnort: Bremerhaven
Kontaktdaten:

Firewall & Port Forwarding unter SuSE 7.0

Beitrag von -Phreak- »

Hi. Ich habe einen Rechner, mit SuSE 7.0. Diesen benutze ich als Router. Er hat zwei Netzwerkkarten. Eine fürs interne "sichere" Netz und eine vom Router zum Modem. Darauf läuft die SuSEFirewall. Ich möchte nun eine Anfrage vom Internet auf den ssh-Port(22) weiterleiten an einen Rechner hinter der Firewall. Was muss ich da einstellen? So sieht meine momentane Config aus:

FW_DEV_WORLD="ppp0"

FW_DEV_INT="eth0"

FW_DEV_DMZ=""

FW_ROUTE="yes"

FW_MASQUERADE="yes"

FW_MASQ_NETS="192.168.0.10 192.168.0.101 192.168.0.200"

FW_MASQ_DEV="$FW_DEV_WORLD" # e.g. "ippp0" or "$FW_DEV_WORLD"

FW_PROTECT_FROM_INTERNAL="no"

FW_AUTOPROTECT_GLOBAL_SERVICES="yes"

FW_SERVICES_EXTERNAL_TCP="" # Common: smtp domain
FW_SERVICES_EXTERNAL_UDP="" # Common: domain

FW_SERVICES_DMZ_TCP="" # Common: smtp domain
FW_SERVICES_DMZ_UDP="" # Common: domain syslog

FW_SERVICES_INTERNAL_TCP="ssh"
FW_SERVICES_INTERNAL_UDP="ssh"

FW_TRUSTED_NETS=""

FW_SERVICES_TRUSTED_TCP="" # Common: ssh
FW_SERVICES_TRUSTED_UDP="" # Common: syslog time ntp

FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" # Common: "ftp-data" (sadly!)
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" # Common: "dns"

FW_SERVICE_DNS="no"
FW_SERVICE_DHCLIENT="no"
FW_SERVICE_DHCPD="yes"
FW_SERVICE_SAMBA="no"

FW_FORWARD_TCP=""
FW_FORWARD_UDP=""

FW_FORWARD_MASQ_TCP=""
FW_FORWARD_MASQ_UDP=""

FW_REDIRECT_TCP=""
FW_REDIRECT_UDP=""

FW_LOG_DENY_CRIT="yes"
FW_LOG_DENY_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"

FW_KERNEL_SECURITY="yes"

FW_STOP_KEEP_ROUTING_STATE="no"

FW_ALLOW_PING_FW="no"
FW_ALLOW_PING_DMZ="no"

FW_ALLOW_FW_TRACEROUTE="no"

FW_ALLOW_FW_SOURCEQUENCH="yes"

FW_MASQ_MODULES="autofw cuseeme ftp irc mfw portfw quake raudio user vdolive"

Die Firewall hat die IP 192.168.0.40/Internet IP und der Zielrechner hat die IP 192.168.0.101. Danke schonmal im vorraus.
MfG
Phreak
gaw
Hacker
Hacker
Beiträge: 464
Registriert: 28. Sep 2004, 16:33

Beitrag von gaw »

Was du möchtest ist kein Port Forwarding sondern DNAT. Zunächst musst du sicherstellen dass dein Port 22 auf der Firewall von aussen erreichbar ist. Anschließend folgt eine iptable Anweisung die bei laufender Firewalleinstellung in etwa so aussieht:

/usr/sbin/iptables -A PREROUTING -i ppp0 -t nat -p tcp --dport 22 -j DNAT --to-destination $ZIEL_IP

Mit diesem Befehl wird die Anfrage weitergeleitet.

Mit freundlichen Grüßen
gaw
-Phreak-
Newbie
Newbie
Beiträge: 2
Registriert: 1. Feb 2005, 17:03
Wohnort: Bremerhaven
Kontaktdaten:

Beitrag von -Phreak- »

Diese Anleitung dient zur schnellen Konfiguration eines Port-Forwording.
Dazu muss auf dem Rechner folgende Software installiert sein:

- Ipmasqadm

Eine temporäre Weiterleitung lässt sich mit folgendem Befehl einrichten:

Weiterleitung eintragen:
ipmasqadm portfw -a -P 'SERVICE' -L I-NET-IP PORT -R ZielIP PORT

Komplette Weiterleitungen löschen:
ipmasqadm portfw -f


Eine Weiterleitung bei der Einwahl einrichten funktioniert mit folgendem Befehlen, die in die Datei /etc/ppp/ip-up eingetragen werden. Am besten ganz oben.

1. INetIP=`/sbin/ifconfig ppp0 | grep inet | awk -F ':' ' { print $2 } ' | awk ' { print $1 } '`
2. /usr/sbin/ipmasqadm portfw -f
3. /usr/sbin/ ipmasqadm portfw -a -P 'SERVICE' -L $INetIP PORT -R ZielIP PORT

Zu Zeilen:
1. Auslesen der Internet IP in die Variable INetIP
2. Löscht alle vorhandenen Masquaradings
3. Legt die Weiterleitung mit Ports fest
MfG
Phreak
Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4316
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

Beitrag von framp »

Ich dachte ich haette mich verlesen - aber Du hast wohl wirklich SuSE 7.0. Du weisst dass es dafuer schon lange keine SecurityFixes gibt. Aber gottseidank ist Linux nicht Windows - so dass Dein Router wohl trotzdem noch sehr sicher ist.

Ich allerdings habe fuer mich entschieden meinen SuSE 9.3 FW&Router jetzt nach auslaufen der Wartung fuer 9.3 auf 10.2 zu heben :roll:
Rain_Maker

Was lange währt .....

Beitrag von Rain_Maker »

*Schmunzel*

4 1/2 Jahre musste der Thread auf eine Antwort warten, nun ist sie da!

Herzlichen Glückwunsch zum "Schliemann des Jahres".

1. Preis, eine kostenlose Ausgabe von

http://happydigger.nongnu.org/
Happydigger is a program which you can be used for cataloging archaeological finds.
Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4316
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

Beitrag von framp »

*looool*

Mir ist der Thread nur wg des Updates aufgefallen - dass der schon die Bartwickelmaschine im Keller hat - ne ne ne

Aber dann wird er wohl in der Zwischenzeit nicht mehr das unsupportete 7.0 benutzen :lol:
b3ll3roph0n
Moderator
Moderator
Beiträge: 3669
Registriert: 4. Dez 2005, 13:17
Kontaktdaten:

Beitrag von b3ll3roph0n »

framp hat geschrieben:Aber dann wird er wohl in der Zwischenzeit nicht mehr das unsupportete 7.0 benutzen :lol:
Bedauerlicherweise ist das sehr wahrscheinlich doch der Fall.
AFAIK wird ipmasqadm schon seit Ewigkeiten (Kernel 2.2 ?) nicht mehr benutzt.
Heutzutage (Kernel 2.6) wird Portforwarding mittels iptables eingerichtet.

Eine Distribution, die schon seit einer Ewigkeit nicht mehr mit Sicherheitsupdates versorgt wird auf einem Router - also einem Rechner, der ein wesentlicher Bestandteil der Sicherheit eines Netzwerks ist - einzusetzen, ist IMHO schon nichtmehr fahrlässig, sondern grenzt eher an Vorsatz ...
Gruß b3ll3roph0n
--
Denken hilft!

Ich beantworte keine Support-Anfragen per PN.
Für alle meine Beiträge gelten, außer bei Zitaten, die Creative Commons.
Antworten