Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

SuSE 9.3 routing/masquerading Problem

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

Antworten
Furious_Jack
Newbie
Newbie
Beiträge: 3
Registriert: 24. Aug 2005, 22:32

SuSE 9.3 routing/masquerading Problem

Beitrag von Furious_Jack »

Hallo liebe Linux-Freunde,

ich habe langsam keine Idee mehr an was es liegen könnte, das mein Routing nicht geht...

Mein Netz:
1 PC -> IP: 192.168.10.11 GW: 192.168.10.100
1 Server -> IP: 192.168.10.100 Internet: dsl0

Seit ich SuSE 9.3 installier habe (ich hatte voher 8.2) geht bei mir
kein Routing mehr vom Windows PC (PC01) über den Linux Rechner...

Hier meine Linux-Konfiguration:

Susefirewall2:

Code: Alles auswählen


FW_DEV_INT="eth-id-00:10:dc:86:71:ca"
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="192.168.10.0/24"
FW_PROTECT_FROM_INT="no"
FW_SERVICES_EXT_TCP=""
FW_SERVICES_EXT_UDP=""
FW_SERVICES_EXT_IP=""
FW_SERVICES_EXT_RPC=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_DMZ_RPC=""
FW_SERVICES_INT_TCP="smtp"
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_SERVICES_INT_RPC=""
FW_SERVICES_DROP_EXT=""
FW_SERVICES_REJECT_EXT="0/0,tcp,113"
FW_SERVICES_ACCEPT_EXT=""
FW_TRUSTED_NETS="192.168.10.0/24"
FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
FW_ALLOW_INCOMING_HIGHPORTS_UDP=""
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="yes"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="yes"
FW_ZONES=""
FW_DEV_EXT="dsl0 eth-id-00:30:f1:6a:fb:cc"

Dann noch der output von "route":

Code: Alles auswählen

Extended IPv6Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
217.0.116.74    *               255.255.255.255 UH    0      0        0 dsl0
192.168.99.0    *               255.255.255.0   U     0      0        0 eth0
192.168.10.0    *               255.255.255.0   U     0      0        0 eth1
link-local      *               255.255.0.0     U     0      0        0 eth0
loopback        *               255.0.0.0       U     0      0        0 lo
default         217.0.116.74    0.0.0.0         UG    0      0        0 dsl0


wäre wirklich toll wenn von euch jemand eine Idee hätte an was es liegen könnte....


Danke schon mal
SP
Member
Member
Beiträge: 206
Registriert: 14. Mär 2004, 09:43

Beitrag von SP »

versuch ma (nur testweise) die susefirewall auszuschalten

Code: Alles auswählen

SuSEfirewall2 stop
und dann mit

Code: Alles auswählen

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -t nat -A POSTROUTING -j MASQUERADE
die regeln für den filter selber zu setzen - evtl musste noch mit

Code: Alles auswählen

cat "1" > /proc/sys/net/ipv4/ip_forward
das routing freischalten

gruß sp
Die Optimisten glauben, dass wir auf der besten aller möglichen Welten leben;
Die Pessimisten befürchten, dass das stimmt.

openSUSE 10.3
Furious_Jack
Newbie
Newbie
Beiträge: 3
Registriert: 24. Aug 2005, 22:32

Beitrag von Furious_Jack »

WOW vielen Dank - wenn ich das mache dann gehts...

aber das kann ja auch nicht sein - ich will ja ne firewall und die
von SuSE muss ja eigentlich gehen.

Hat jemand eine Idee?

Vielleicht hilft das noch...
Das ist der output von iptables -L wenn die firewall läuft:

Code: Alles auswählen

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
input_int  all  --  anywhere             anywhere            
input_ext  all  --  anywhere             anywhere            
input_ext  all  --  anywhere             anywhere            
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-IN-ILL-TARGET ' 
DROP       all  --  anywhere             anywhere            

Chain FORWARD (policy DROP)
target     prot opt source               destination         
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU 
forward_int  all  --  anywhere             anywhere            
forward_ext  all  --  anywhere             anywhere            
forward_ext  all  --  anywhere             anywhere            
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWD-ILL-ROUTING ' 
DROP       all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED 
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-OUT-ERROR ' 

Chain forward_ext (2 references)
target     prot opt source               destination         
ACCEPT     icmp --  anywhere             anywhere            state ESTABLISHED icmp echo-reply 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp echo-reply 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp destination-unreachable 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp time-exceeded 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp parameter-problem 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp timestamp-reply 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp address-mask-reply 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp protocol-unreachable 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp redirect 
LOG        tcp  --  anywhere             anywhere            limit: avg 3/min burst 5 tcp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-FWDext-DROP-DEFLT ' 
LOG        icmp --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWDext-DROP-DEFLT ' 
LOG        udp  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWDext-DROP-DEFLT ' 
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 state INVALID LOG level warning tcp-options ip-options prefix `SFW2-FWDext-DROP-DEFLT-INV ' 
DROP       all  --  anywhere             anywhere            

Chain forward_int (1 references)
target     prot opt source               destination         
ACCEPT     icmp --  anywhere             anywhere            state NEW icmp echo-request 
ACCEPT     icmp --  anywhere             anywhere            state NEW icmp echo-request 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp echo-reply 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp destination-unreachable 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp time-exceeded 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp parameter-problem 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp timestamp-reply 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp address-mask-reply 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp protocol-unreachable 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp redirect 
LOG        tcp  --  anywhere             anywhere            limit: avg 3/min burst 5 tcp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-FWDint-DROP-DEFLT ' 
LOG        icmp --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWDint-DROP-DEFLT ' 
LOG        udp  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWDint-DROP-DEFLT ' 
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 state INVALID LOG level warning tcp-options ip-options prefix `SFW2-FWDint-DROP-DEFLT-INV ' 
DROP       all  --  anywhere             anywhere            

Chain input_ext (2 references)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere            PKTTYPE = broadcast 
ACCEPT     icmp --  anywhere             anywhere            icmp source-quench 
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp echo-reply 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp destination-unreachable 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp time-exceeded 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp parameter-problem 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp timestamp-reply 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp address-mask-reply 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp protocol-unreachable 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp redirect 
LOG        all  --  192.168.10.0/24      anywhere            limit: avg 3/min burst 5 state NEW LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-TRUST ' 
ACCEPT     all  --  192.168.10.0/24      anywhere            state NEW,RELATED,ESTABLISHED 
reject_func  tcp  --  anywhere             anywhere            tcp dpt:ident state NEW 
LOG        tcp  --  anywhere             anywhere            limit: avg 3/min burst 5 tcp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT ' 
LOG        icmp --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT ' 
LOG        udp  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT ' 
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 state INVALID LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT-INV ' 
DROP       all  --  anywhere             anywhere            

Chain input_int (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            

Chain reject_func (1 references)
target     prot opt source               destination         
REJECT     tcp  --  anywhere             anywhere            reject-with tcp-reset 
REJECT     udp  --  anywhere             anywhere            reject-with icmp-port-unreachable 
REJECT     all  --  anywhere             anywhere            reject-with icmp-proto-unreachable 
SP
Member
Member
Beiträge: 206
Registriert: 14. Mär 2004, 09:43

Beitrag von SP »

also für mich sieht das so aus als würde der nur icmp nachrichten weiterleiten - schau mal ob ein ping geroutet wird
Die Optimisten glauben, dass wir auf der besten aller möglichen Welten leben;
Die Pessimisten befürchten, dass das stimmt.

openSUSE 10.3
Benutzeravatar
Martin Breidenbach
Ultimate Guru
Ultimate Guru
Beiträge: 5632
Registriert: 26. Mai 2004, 21:33
Wohnort: N 50.17599° E 8.73367°

Beitrag von Martin Breidenbach »

Hmm.... es kann sein daß ich hier jetzt gerade Quatsch erzähle... ich sehe Du hast die Definition für das externe Interface am Ende der SuSEFirewall2. Ich glaube mich dumpf zu erinnern daß wir hier mal einen Fall hatten wo es half die Definition für das externe Interface 'nach oben' zu befördern wo sie laut Kommentaren ursprünglich hingehörte.
Nicht Böse sein ! Der Onkel macht doch nur Spaß !
Furious_Jack
Newbie
Newbie
Beiträge: 3
Registriert: 24. Aug 2005, 22:32

Beitrag von Furious_Jack »

Danke Martin - es wirklich die Variable...

Jetzt geht es.

Danke nochmal allen die mir geholfen haben!
Benutzeravatar
Martin Breidenbach
Ultimate Guru
Ultimate Guru
Beiträge: 5632
Registriert: 26. Mai 2004, 21:33
Wohnort: N 50.17599° E 8.73367°

Beitrag von Martin Breidenbach »

Dann spekuliere ich mal wild: FW_MASQ_DEV="$FW_DEV_EXT" dürfte ins Leere laufen wenn FW_DEV_EXT erst später definiert wird.
Nicht Böse sein ! Der Onkel macht doch nur Spaß !
mue_mortal
Newbie
Newbie
Beiträge: 1
Registriert: 9. Sep 2005, 10:47

Beitrag von mue_mortal »

Hi, Kann das sein das du suse 9.3 von der Ct hast? Ich habe das selbe dämliche problem wie du....

Am Anfang der installation klappte alles bis ich irgendwie ein paar sachen geändert hatte. Da ich bei mir ein contentfilter laufen habe geht bei mir http aber alles andere nicht. Also wenn ich das umleiten von port 80 auf 8080(contentfilter) ausschalten geht garnix mehr.

ich werde das mal gleich bei mir probieren. ich hoffe dasselbe klappt bei mir auch.

Achso ein frage noch: kann man so was als bug bezeichnen? :)
chefweb
Newbie
Newbie
Beiträge: 26
Registriert: 28. Apr 2005, 22:34

Beitrag von chefweb »

Hmm.... es kann sein daß ich hier jetzt gerade Quatsch erzähle... ich sehe Du hast die Definition für das externe Interface am Ende der SuSEFirewall2. Ich glaube mich dumpf zu erinnern daß wir hier mal einen Fall hatten wo es half die Definition für das externe Interface 'nach oben' zu befördern wo sie laut Kommentaren ursprünglich hingehörte.
Das ist evtl. eine dumme frage, aber wie schiebt man die Definition für das externe Interface nach oben?
Benutzeravatar
Martin Breidenbach
Ultimate Guru
Ultimate Guru
Beiträge: 5632
Registriert: 26. Mai 2004, 21:33
Wohnort: N 50.17599° E 8.73367°

Beitrag von Martin Breidenbach »

Beliebiger Texteditor ?
Nicht Böse sein ! Der Onkel macht doch nur Spaß !
Antworten