Hi Leute
Ich hab jetzt das halbe Forum durchsucht, werde aber nicht so ganz schlau aus allem.
Folgendes:
SuSE 7.1 Mailserver (sendmail/fetchmail) und Proxy (squid) für mehrere Clients (Windows und Linux).

funktioniert auch alles!

Ich will jetzt aber auch noch zusätzliche Dienste wie FTP oder ICQ auf den Clients nutzen. Also klar, brauch ich Masquerading.

Aber da hört es sich bei mir leider schon auf (ausser dass ich das ganze vermutlich mit iptables lösen muss). Wie funktioniert das jetzt.
Nur ein kleines Beispiel würde mir schon helfen, prinzipiell versteh ich ja alles, aber was müsste ich beispielsweise machen, damit normales ftp (Ports 20 und 21) nutzbar für meine Clients ist (und somit nur noch http über den Proxy läuft).

Und woher "weiss" der Server, dass er in Internet soll wenn beispielsweise eine solche FTP Anfrage bei ihm ankommt
(das hat so weit ich weiss wiederum etwas mit Gateway zu tun)
:confused:

Ich würde es mal mit einem transparenten Proxy versuchen. Dazu brauchst du nur eine funktionierende Konfiguration von Squid (für diese Beispiel bitte den Proxy-Port auf 3128 setzen) und ne Firewall. Die kannste entweder selber bauen (IPTABLES) oder mit der SuSE Firewall 2 verwirklichen. Du musst dazu nur die /etc/rc.config.d/firewall2.rc.config folgendermaßen ändern:
FW_DEV_EXT="device das fürs internet zuständig ist"
FW_DEV_INT="device dass fürs netzwerk zuständig ist"
FW_DEV_DMZ=""
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="das Netz wo deine Clients drin sind z.B. 192.168.0.0/24"
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_TCP=""
FW_SERVICES_EXT_UDP=""
FW_SERVICES_EXT_IP="icmp"
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_INT_TCP="1:65535"
FW_SERVICES_INT_UDP="1:65535"
(ist zwar ziemlcih unsicher funzt aber auf jedenfall. Wenn du die intern benötigten Ports kennst, dann soltest du natrülich nur diese eintragen)
FW_SERVICES_INT_IP="igmp icmp"
FW_TRUSTED_NETS="das Netz wo deine Clients drin sind z.B. 192.168.0.0/24"
FW_ALLOW_INCOMING_HIGHPORTS_TCP="no"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="no"
FW_SERVICE_AUTODETECT="no"
FW_SERVICE_DNS="no" (auf yes wenn du nen DNS Server am laufen hast)
FW_SERVICE_DHCLIENT="no" (auf yes wenn du deine ip via dhcp kriegst)
FW_SERVICE_DHCPD="no" (Auf yes wenn du nen dhcp server hast)
FW_SERVICE_SQUID="no" (auf no lassen auch wenn squid aktiviert is)
FW_SERVICE_SAMBA="yes" (Falls du samba aktiviert hast, wenn nicht dann natürlich "no")
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT="192.168.1.0/16,0/0,tcp,80,3128 192.168.1.0/16,0/0,udp,80,3128"
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW"
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="yes"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="yes"

# #
# EXPERT OPTIONS - all others please don't change these! #
# #
FW_ALLOW_FW_TRACEROUTE="yes"
FW_ALLOW_FW_SOURCEQUENCH="yes"
FW_ALLOW_FW_BROADCAST="yes"
FW_IGNORE_FW_BROADCAST="no"
FW_ALLOW_CLASS_ROUTING="yes"

dann natürlich noch in der rc.config START_FW2="yes" und die Firewall mit "rcSuSEfirewall2 start" starten. Bei den Clients musst du alks Gateway nur noch die Adresse des Linux-Server angeben. Beachte : durch den transparenten Proxy musst du nirgends auf den Clients einen Proxyport angeben, das macht der Linux

wow, danke
ich sitz hier zwar grad vor nem ip-tables howto, werds aber erst mal mit Deiner beschribenen Variante mit der SuSEFirewall2 probieren. Wenn ich mich besser in das Thema eingearbeitet hab probier ich mir meine Regeln selber zusammen zu stellen.
Muss ich noch zusätzlich irgendwelche Kernelmodule laden oder sonst noch etwas beachten?

den kernel musst du nur neu kompilieren wenn du die regeln selber schreibst. Die Firewall2 musste nur runterladen (SuSE Webseite; in der Supportdatenbank SuSE Firewall 2 eingeben) und installieren.