hallo,
dieses thema gab es schon x-mal aber bei mir geht es leider nicht.
folgendes problem:
2 linux-rechner mit suse 8.0
rechner anton hat internetverbindung mit modem.
rechner berta hat verbindung zu rechner anton mittels eth0

habe nun auf rechner anton squid installiert und bei nach jedem einloggen squid neu gestartet. rechner berta kann nun surfen. funktioniert einwandfrei. leider kann rechner berta aber keine mails abrufen. also muss ich nun die pakete maskieren, oder? wie geht das? gibt es irgendwo eine einfache anleitung für suse? brauche ich dann eigentlich noch squid? was ist der unterschied zwischen routen bzw. router und maskieren von paketen? ist das nicht dasselbe?

fragen über fragen aber ich denke mal, dass diese problemstellung recht häufig vorkommt, so dass man nach der lösung daraus vielleicht einen kleinen artikel machen könnte.

Eremit

nachtrag:
der rechner a) ist nur temporär im internet. daher sollten emails auch sofort abgerufen und versendet werden wenn ein benutzer auf rechner a oder b mails sendet/empfängt.

Eremit

hi

mit squid kenne ich mich nicht aus. aber wenn ich nicht völlig falsch liege, ist squid ein reiner http-proxy.

wenn du also mehr wie surfen von rechner b machen willst, würde ich mir an deiner stelle, die susefirewall2 einrichten.

howto findest du hier => http://www.robidu.de/linux/firewall/#wasn_das


Gruß HangLoose

hmm.
danke für die seite. habe nun den ersten rechner mit der firewall eingerichtet.

wie stelle ich aber nun den zweiten rechner ein, dass er über rechner a) surfen soll?

Eremit

hi

beim client brauchst du nur noch das standard-gateway und die nameserver deines providers eintragen.

standard-gateway => ip von rechner a

kannst du übrigens bequem mit yast machen, unter konfiguration der netzwerkkarte


Gruß HangLoose

aha.
kommt an aber nicht durch.
Oct 16 18:54:27 eremit kernel: SuSE-FW-DROP-DEFAULT IN=eth0 OUT=ppp0 SRC=192.168.0.2 DST=195.93.74.134 LEN=56 TOS=0x10 PREC=0x00 TTL=63 ID=39943 DF PROTO=UDP SPT=1024 DPT=53 LEN=36

anbei noch meine firewall-datei.

Eremit

nachtrag:
scheinbar findet er den nameserver nicht. habe dem zweiten rechner die adresse 195.93.74.134 angegeben.

scheinbar ist es egal ob ich nun vom zweiten client aus email abfrage oder surfen will. er findet wohl den nameserver nicht. auf den ersten ersten rechner aber greift er aus zu.

hat jemand eine lösung?

Eremit

junge, junge du fackelst ja nicht lange mit port-freigaben :)

ich schreib gleich noch was dazu, muß erstmal abendbrot essen. wenn du in der zwischenzeit von rechner b surfen willst, änder mal folgendes

FW_MASQ_NETS="192.168.0.0/24,0/0,tcp,80 192.168.0.0/24,0/0,tcp,21" auf

FW_MASQ_NETS="0/0"

oh. es funktioniert.
danke.

die portfreigaben nehme ich schrittweise zurück. jetzt funktioniert es ja und ich kann wieder alles einschränken. ist zwar nicht die beste methode aber immerhin geht es.

Eremit

hi


die portfreigaben nehme ich schrittweise zurück

man macht es genau anders rum, erst alles dicht und dann öffnen was gebraucht wird ;)

noch ein paar erklärungen

FW_MASQ_NETS="192.168.0.0/24,0/0,tcp,80 192.168.0.0/24,0/0,tcp,21"

mit diesem eintrag erlaubst du den rechner aus deinem lan 192.168.0.0/24 nur die anwendungen www und ftp. deshalb konnte auch kein dns server erreicht werden. dafür hätte der eintrag so aussehen müssen.

FW_MASQ_NETS="192.168.0.0/24,0/0,tcp,80 192.168.0.0/24,0/0,tcp,21 192.168.0.0/24,udp,53"

jetzt geht www, ftp und dns. mail würde immer noch nicht gehen. dafür müßtest du noch den pop3-port freigeben. wie das geht dürfte ja jetzt klar sein.

FW_MASQ_NETS="0/0"

so wie es jetzt läuft, ist ein kompromiss. der eintrag besagt, das jede anwendung, die von innen gestartet wurde, erlaubt ist. online spielen und was es da noch alles gibt. ein paar ausnahmen gibt es noch, für die ein extra modul benötigt wird.
wenn nur du zugriff auf die lan-rechner hast, dürfte das mit der einstellung ok sein. ein restrisiko hast du, wenn du dir z.b. einen trojaner einfängst und dieser von sich aus ne verb. nach draussen startet.


FW_SERVICES_EXT_TCP="4660:4665 60001:60100 6346 6347 ssh 53 domain www 25 110"

hast du edonkey auf deinem firewall/router laufen? wenn nicht kannst du die ports dort rausnehmen. das gleiche gilt für sämtliche andere ports. unter dieser variable trägst du nur ports ein, wenn der entsprechende service/dienst auch auf firewall-rechner, also rechner a läuft. demnach gehört dort maximal ssh hin, wenn du wirklich vom i-net aus, per ssh auf den rchner zugreifen willst.

FW_SERVICES_EXT_UDP="22 25 110 53"

hier brauchst du nichts eintragen.

# Common: ssh smtp domain
FW_SERVICES_INT_TCP="ssh 137 138 139 53"
# Common: domain syslog
FW_SERVICES_INT_UDP="53 137 138 139"
# For VPN/Routing which END at the firewall!!
FW_SERVICES_INT_IP=""

auch hier mußt du nichts eintragen, da du weiter oben FW_PROTECT_FROM_INTERNAL= auf no gesetzt hast.

FW_SERVICE_SAMBA="no"

du hast oben auch samba ports freigegeben, deshalb auf yes setzen. falls du wirklich samba verwendest, schau dir den link nochmal genau an. es gibt da ein kleines sicherheitsprob mit dem susefirewall-script, wenn samba auf dem firewall-rechner läuft.



Gruß HangLoose

danke für deine hilfe. war wirklich informativ und hat mir sehr geholfen. nun funktioniert auch alles.

werde aus deiner anleitung vielleicht mal eine webseite mit screenshots bauen. mal sehen wieviel zeit ich habe. das oben beschriebene problem dürften wohl mehrere benutzer haben.

Eremit

hi

keine schlechte idee mit den screenshot's :)


Gruß HangLoose