Routing funktioniert nicht mehr nach dem Start der Firewall

O

OliverFfm

Mitglied
Hallo,

ich habe ein großes Problem und weiß nicht mehr weiter. Suche schon den ganzen Tag im Netz nach einer Problemlösung

Ich habe ein kleines Netzwerk zu Testzwecken aufgebaut.
Ein Router verbindet 2 lokale Netze miteinander. Es besteht KEINE Verbindung zum Internet. Nach dem Start der Firewall werden die Pakete nicht mehr geroutet. Stoppe ich die Firewall, funktioniert das Routing auch nicht mehr

Aufbau des Netzwerkes

Host 1 Suse Linux 10.2
192.168.2.10
| |
Switch
| |
192.168.2.254
Router 1 Suse Linux 10.2
192.168.1.254
| |
Switch
| |
192.168.1.5
Host 2 Windows XP SP1

Der Router hat folgende Routingtabelle, die ich selbst erstellt habe

IP_____________Gateway__________Netmask
192.168.1.0 ___ 192.168.1.254 ___ 255.255.255.255
192.168.2.0 ___ 192.168.2.254 ___ 255.255.255.255

Der Router hat keinen Standardgateway eingetragen. Er ist ja der Gateway
Zudem habe ich keinen DNS Server eingetragen.
Ich arbeite nähmlich nur mit IP-Adressen und da brauche ich dann keine Namensauflösung.

Port Forwarding ist gesetzt


Beide Hosts haben als Standard-Gateway folgendes eingetragen
Host 1 192.168.2.254
Host 2 192.168.1.254

Es ist bei beiden keine DNS Server eingetragen

Alle PCs haben die Domäne Heimnetzwerk

Ping ich die PCs an, klappt alles.

Nun habe ich die Firewall von Linux über Yast gestartet. Habe die eine Ethernetkarte als internes Netz deklariert und die andere als Externe Zone

Von außen nach innen waren nur der http Dienst und ssh erlaubt. Von innen nach außen gab es keine Restriktionen.
Also eine ganz einfach Firewall

Jetzt habe ich wieder versucht zu pingen. Ich kam weder raus noch rein. Aber ich konnte beide Netzwerkkarten des Routers anpingen.
Nun habe ich die Firewall gestoppt. Ich kann einfach das andere Netz nicht mehr anpungen. Habe sogar jede Möglichkeit von nmap ausprobiert.

Erst wenn ich wieder auf Konfiguration der Netzwerkkarte ging und dort Experteneinstellung für die Routingtabelle anklickte und ich alles speicherte ging das Routing wieder. Firewall ein und alles ging wieder nicht.

Habe das gleiche mit iptables versucht. Habe sogar Pings erlaubt.
Aber gleiche Problem.
Was ist da los?
Brauche bitte dringend Hilfe, da ich die Tests weiter machen muß und in 2 Wochen Abgabe habe

Gruß Oliver
 
Zuletzt bearbeitet:
Ich habe ein kleines Netzwerk zu Testzwecken aufgebaut.
Ein Router verbindet 2 lokale Netze miteinander. Es besteht KEINE Verbindung zum Internet. Nach dem Start der Firewall werden die Pakete nicht mehr geroutet. Stoppe ich die Firewall, funktioniert das Routing auch nicht mehr

Das heisst dann das Routing hat noch nie funktioniert?

Der Router hat keinen Standardgateway eingetragen. Er ist ja der Gateway
Zudem habe ich keinen DNS Server eingetragen.
Ich arbeite nähmlich nur mit IP-Adressen und da brauche ich dann keine Namensauflösung.

Ja, kann man so lassen.

Ping ich die PCs an, klappt alles.

Vom Router aus wahrscheinlich?

Nun habe ich die Firewall von Linux über Yast gestartet.

Die ist also das Problem.

Wahrscheinlich ist die falsch eingestellt.
Wenn du die runterfaehrst musst du mal ein cat /proc/sys/net/ipv4/ip_forward machen, das sollte immer noch "1" liefern, wenn nicht hat die Firewall das abgeschaltet.
 
Das heisst dann das Routing hat noch nie funktioniert?
.............
Die ist also das Problem.

Wahrscheinlich ist die falsch eingestellt.
Wenn du die runterfaehrst musst du mal ein cat /proc/sys/net/ipv4/ip_forward machen, das sollte immer noch "1" liefern, wenn nicht hat die Firewall das abgeschaltet.

Doch das Routing hat funktioniert. Habe von einem Host zum anderen ein Ping verschickt. Und auch Nmap Scans durchgeführt.

Ich habe eben gleich mal ausprobiert, was du empfohlen hast. Du hast da vollkommend recht. Forwarding wird auf 0 gesetzt.

Aber warum? Was kann ich denn über Yast groß falsch konfigurieren. Den Schnittstellen habe ich der einen die interne und der anderen die externe Zone zugewiesen.
Der externen Zone habe ich einfach mal die Dienste DHCP Client, httpd und SSH erlaubt

Auf dem Router sind folgende Dienste auf listen gesetzt

telnet, httpd, ssh, rpcbind

Auf dem Webserver läuft nichts. Einfach nur kurz konfiguriert, dass er einfach aktiv ist.

Masquerading ist bei mir garnicht konfiguriert. Brauche ich ja auch nicht.
Bei Broadcast habe ich einfach die beiden Kreuze bei "nicht akzeptierte Broadcastpakete protokollieren" gelassen. Aber nichts eingetragen.

keine IPSec Unterstützung

Und mehr kann man ja auch nicht über Yast einstellen.

Danach habe ich mit der Gui Firestarter iptables ausprobiert. Einfach um herauszufinden, ob es an Yast gelegen hat. Aber nein das gleiche passiert hier auch

Übrigens hat mal wieder Yast wie immer den Haken bei IP-Forwarding gelassen, obwohl es ja auf 0 gesetzt wurde. Typisch Suse. ;-)

Weißt du zufällig, was bei mir falsch läuft? Würdest du sagen, es liegt einzig und alleine an der Firewall? Zumindest ändert sich der Wert auf 0 beim Start der Firewall.

Schon mal Danke für den Tip

Gruß Oliver
 
Ich habe eben gleich mal ausprobiert, was du empfohlen hast. Du hast da vollkommend recht. Forwarding wird auf 0 gesetzt.

Aber warum?

Weil das das Standardverhalten von Firewalls ist, sonst muesste man ja nur die FW abschalten um alles zu erlauben.

Was kann ich denn über Yast groß falsch konfigurieren

Das kann ich dir leider nicht sagen, ich kenne mich mit SuSE nicht so aus.

Du kannst aber einfach mal ein: grep -i ip_forward /<pfad>/<zum>/<firewallscript> machen, wenn da etwas sinnvolles rauskommt kannst du es dort wahrscheinlich umstellen.

Das loest deine anderen Probleme zwar nicht aber vllt. schonmal das.

Du solltest die Doku zur SuSE-FW lesen oder sie im YaST einfach komplett disablen wenn die Kiste sowieso nicht am Inet haengt.
 
Schalt mal in der Firewall im YAST Masquerate an..... so habs ich gemacht!
Näheres dazu:
http://www.novell.com/coolsolutions/feature/16579.html
Hat mir geholfen (is zwar sehr für DAU-Admins geschrieben aber nunja....)


Danke, diesen Punkt kann man nur aktivieren, wenn man auch tatsächlich einen Anschluß zum Internet bereitstellt. Eigentlich wollte ich das nicht machen, da es ein größerer Aufwand ist, wie ich in der Anleitung ersehen konnte. Aber ich habe mir gedacht ich setze einfach wieder IP-Forwarding und dann geht´s auch wieder. Ich brauche die Funktion nur in den nächsten 5 Tagen. Dann habe ich alle Tests hinter mir.

Aber danke
.
.
.
EDIT (autom. Beitragszusammenführung) :
.

Weil das das Standardverhalten von Firewalls ist, sonst muesste man ja nur die FW abschalten um alles zu erlauben.

Du kannst aber einfach mal ein: grep -i ip_forward /<pfad>/<zum>/<firewallscript> machen, wenn da etwas sinnvolles rauskommt kannst du es dort wahrscheinlich umstellen.


Du solltestSuSE-FW im YaST einfach komplett disablen wenn die Kiste sowieso nicht am Inet haengt.

Ok. Wußte nicht, dass sich so Firewalls verhalten. Will sowieso ein eigenes Skript mit iptables schreiben. Ich brauche die Firewall, da ich dokumentieren muß, wie Nmap-Scans sich verhalten, wenn sie auf eine Firewall treffen. Ob es Methoden gibt, sie zu durchbrechen. Gehört zu meiner Diplomarbeit. Aber iptables ist halt Neuland für mich.

Leider kenn ich mich nicht so super aus in den ganzen Scripten von Suse.
In /etc/syscongif/sysctl ist ip_forwarding auf "yes" gesetzt. Nur hier sind nicht die Variablen, die die Firewall verändert.
Es muß wohl ein Script geben, wo solche Variablen stehen.

In /etc/sysconfig/scripts finde ich Scripte von der Firewall. Aber konnte jetzt nicht herausfiinden, ob da was nicht stimmt. Denn mit meinem bescheidenén Wissen, konnte ich nichts erkennen, ob eine Variable IP-forwading abgefragt wird oder was auch immer. Weiß noch nicht mal, ob ich im richtigen Verzeichnis bin für die aktuellen Einstellungen.
Vielleicht hat jemand Ahnung von Suse in Verbindung mit iptables

Kurze Frage, wo loggt iptables die Alerts

Ist das /var/log/firewall

Ich sehe da nämlich nur, welche Aktion ausgeführt wurde

Source zu Destination, welche Interfaces, Headerinfos

Aber leider nicht, ob die geblockt wurden oder nicht. Gibt es ein extra Logfile für kritische Pakete?

Denn nur die sind wichtig für mich.

Danke für die Hilfe

Gruß Oliver
 
Zuletzt bearbeitet:

Ähnliche Themen

OpenVPN - Server kann clients nicht erreichen.

Windows clients können nicht mehr auf lange laufendes System zugreifen

Routing Problematik

Router crash bei Fedora 15!?

Zweite Route will nicht

Zurück
Oben