SeeksTheMoon
21.10.03, 11:22
Ich hab ein kleines Problem mit Shorewall:
Der Shorewall-Rechner hat eine Netzwerkkarte eth0 mit einer festen IP.
eth0 hat noch den alias eth0:0 mit einer privaten IP (10.33.33.1).
Er hängt mit einem anderen Rechner (10.33.33.2) aus dem gleichen privaten Bereich (für den er Masquerading macht) an einem Switch, der mit dem Internet verbunden ist.
Einfaches Masquerading klappt, aber wenn ich die Firewall einschalte, dann sperre ich mich vom Netz und dem Shorewall-Rechner aus, habe aber keine Ahnung warum.
Auf dem Firewall-Rechner läuft neben webmin+usermin noch cvs, ssh und apache. ICQ sollte auch an den Rechner im Privatnetz weitergeleitet werden
Das ist meine Konfiguration (ich mache das mit webmin und habe das mal mit Copy+Paste herausgeholt):
ZONES:
Zone Name Description
net Net Internet <-das war so vorgegeben und wird auch im Tut auf der Shorewall-Seite verwendet
INTERFACES:
Interface Zone name Broadcast address Options
eth0 net Automatic None <-das sollte so richtig sein; anstatt net hatte ich auch mal any ausprobiert.
POLICY:
Source zone Destination zone Policy Syslog level Traffic limit
Firewall net ACCEPT None None
net Any DROP info None
Any Any REJECT info None
Die obigen policy-Einträge habe ich aus dem Tutorial von der Shorewall-Seite. Das soll alles externe blocken und alles interne erlauben.
Als Ergänzung habe ich zu den rules folgendes hinzugefügt:
RULES:
Action Source Destination Protocol Source ports Destination ports
ACCEPT Any Firewall TCP Any 80 <-apache
ACCEPT Any Firewall TCP Any 22 <-ssh
ACCEPT Any Firewall TCP Any 2401 <-cvs
ACCEPT Any Firewall TCP Any 10000,20000 <-usermin und webmin
ACCEPT Any Firewall TCP Any 4000 <-icq
ACCEPT Any Firewall UDP Any 4000 <-icq
Zwischenfrage: ist der ICQ-Eintrag richtig? ICQ läuft ja nicht auf der Firewall sondern im Masquerade-Bereich.
MASQ:
Outgoing interface Network to masquerade SNAT address
eth0 Network on eth0
ich weiß nicht wirklich, wie ich das Masquerading konfigurieren soll. Stimmt der obige Eintrag?
NAT:
External address External interface Internal address
meine_internet_ip eth0:0 10.33.33.1
Selbst wenn das Masquerading nicht korrekt eingestellt ist, warum komme ich dann gar nicht erst auf den Shorewall-Rechner?
Der Shorewall-Rechner hat eine Netzwerkkarte eth0 mit einer festen IP.
eth0 hat noch den alias eth0:0 mit einer privaten IP (10.33.33.1).
Er hängt mit einem anderen Rechner (10.33.33.2) aus dem gleichen privaten Bereich (für den er Masquerading macht) an einem Switch, der mit dem Internet verbunden ist.
Einfaches Masquerading klappt, aber wenn ich die Firewall einschalte, dann sperre ich mich vom Netz und dem Shorewall-Rechner aus, habe aber keine Ahnung warum.
Auf dem Firewall-Rechner läuft neben webmin+usermin noch cvs, ssh und apache. ICQ sollte auch an den Rechner im Privatnetz weitergeleitet werden
Das ist meine Konfiguration (ich mache das mit webmin und habe das mal mit Copy+Paste herausgeholt):
ZONES:
Zone Name Description
net Net Internet <-das war so vorgegeben und wird auch im Tut auf der Shorewall-Seite verwendet
INTERFACES:
Interface Zone name Broadcast address Options
eth0 net Automatic None <-das sollte so richtig sein; anstatt net hatte ich auch mal any ausprobiert.
POLICY:
Source zone Destination zone Policy Syslog level Traffic limit
Firewall net ACCEPT None None
net Any DROP info None
Any Any REJECT info None
Die obigen policy-Einträge habe ich aus dem Tutorial von der Shorewall-Seite. Das soll alles externe blocken und alles interne erlauben.
Als Ergänzung habe ich zu den rules folgendes hinzugefügt:
RULES:
Action Source Destination Protocol Source ports Destination ports
ACCEPT Any Firewall TCP Any 80 <-apache
ACCEPT Any Firewall TCP Any 22 <-ssh
ACCEPT Any Firewall TCP Any 2401 <-cvs
ACCEPT Any Firewall TCP Any 10000,20000 <-usermin und webmin
ACCEPT Any Firewall TCP Any 4000 <-icq
ACCEPT Any Firewall UDP Any 4000 <-icq
Zwischenfrage: ist der ICQ-Eintrag richtig? ICQ läuft ja nicht auf der Firewall sondern im Masquerade-Bereich.
MASQ:
Outgoing interface Network to masquerade SNAT address
eth0 Network on eth0
ich weiß nicht wirklich, wie ich das Masquerading konfigurieren soll. Stimmt der obige Eintrag?
NAT:
External address External interface Internal address
meine_internet_ip eth0:0 10.33.33.1
Selbst wenn das Masquerading nicht korrekt eingestellt ist, warum komme ich dann gar nicht erst auf den Shorewall-Rechner?