Hallo,

folgende Konfiguration:

SUSE 7.3 Router mit DSL, Firewall2 Ver. 2.1

LAN mit 192.168.0.x IPs, die über DHCP vergeben werden.

DMZ mit fest vergebenen 10.0.1.x IPs

Wenn ich nun versuche, aus dem LAN über die externe IP auf meinen Webserver im DMZ zu kommen, kriege immer die Meldung die sagt, dass das aus dem LAN nicht geht:

SuSE-FW-NO_ACCESS_INT->FWEXT usw

Das ist ja schon ein altes Problem, aber ich habe trotz stundenlanger Suche im WWW noch keine Lösung gefunden :(

Weiß da vielleicht jemand von euch Rat?

Thomas

Rat kann ich dir nicht direkt geben, da ich das selbe Problem habe. Aber nimm doch einfach die interne IP. Das soll glaube ich ein Spionageschutz sein, wenn du dich z.B. von einem internen Rechner via ftp als root einloggen willst und dazu die externe Ip verwendest dann schickst du deinen Anfrage ja übers Internet und da dabei werden sehr vertrauliche Daten verschickt (z.B. das root-Passwort) werden stellt das ein sehr großes Sicherheitsrisiko dar, da FTP die Passwörter unverschlüsslet verschickt und daher jemand der deinen Internet-Datenverkehr mithöhrt (sniffer) sofort dein unverschlüsseltes root-passwort hätte und daher auf deinen rechner als root via ftp oder ssh zugreifen könnte. Entweder man freundet sich mit dieser Sicherheitsmaßnahme an und connectet den server nur über interne ips oder man schreibt sein iptables skript selbst.

Hi,

kurz und schlüssig erklärt, danke :)

Trotzdem fände ich es hilfreich, diesen Schutz mal eben ausschalten zu können, z.B. um zu testen, ob sich ein Spieleserver im DMZ über die externe IP erreichen lässt und welche eventuellen Probleme auftreten. Das kann ich natürlich auch alles mit den IPs im LAN testen, aber manchmal läuft es dann trotzdem so, dass von den geplanten 120 Minuten Spielzeit nur 10 Minuten übrigbleiben, weil wieder irgendetwas doch nicht so geht... :(
Insofern wäre ich an einer Lösung weiterhin heftig interessiert.

Zur Einarbeitung in Iptables fehlt mir aufgrund von Job und Familie leider die Zeit. Ich bin eigentlich schon sehr froh um die Firewall2, weil die viele Möglichkeiten und wohl auch einen recht guten Schutz bietet.

Thomas

In dem SuSEfirewall2 script gibt es irgendwo die option FW_PROTECT_FROM_INTERNAL="yes/no"(default yes).
Das könnte dir da helfen ...
Allerdings weise ich dich auch nochmal drauf hin das dies sehr schnell nach hinten losgehn.
Falls dir das nicht hilft dann schau dir am besten mal die man iptables an.
Oder tunnel alles mit ssh und verzichte komplett auf ftp.
Das wär wohl die beste bzw sicherste lösung ;)

nachtrag:
ganz vergessen ..geht auch noch anders.Lass FW_PROTECT_FROM_INTERNAL auf "yes" und trag die nötigen dienste unter Services ein.

ich hab FW_PROTECT_FROM_INTERNAL eigentlich schon immer auf no gehabt, bringt bei mir aber reichlich wenig. naja is auch besser so.