Hi,
ich wollte gerne mal wissen, wie ich ein Port-Forwarding einrichte.
Ich habe einen SuSE 8.0 Router auf dem eine SuSE FW2 läuft.
Dort will ich einige Ports forwarden, habe aber keine Ahnung wie genau ich das machen muss.
In der Configfile sind dazu 2 Befehle "FW_FORWARD" und "FW_FORWARD_MASQ", allerdings wird von beiden abgeraten...
Und wie genau ich die benutzen kann weis ich auch nicht.
Ich denke wenn ich einen service zu mehreren Clients in meinem Netzwerk weiterleiten will muss ich verschiedene ports nehmen, oder?
Wie würde ein Eintrag aussehen um FTP oder ICQ zu 3 rechnern in meinem internen Netzwerk zu forwarden? (Freigegeben hab ich sie schon mit "FW_SERVICES_EXT_TCP")

Thx

~Gh05t~

hi

die entsprechenden ports mußt du unter FW_FORWARD_MASQ eintragen. das könnte dann etwa so aussehen

FW_FORWARD_MASQ="0/O,192.168.0.1,tcp,20:21 0/0,192.168.0.2,tcp,1029"

die ip dementsprechend anpassen. du kannst auch ein ganzes netz freigeben z.b. 192.168.0.0/24. wichtig ist das die einzelnen einträge mit einem leerzeichen getrennt sind. ob der icq port stimmt weiß ich nicht, mußt mal googeln welche ports man da braucht.


ps: unter FW_SERVICES_EXT_TCP werden nur dienste freigegeben, die auch auf dem firewallrechner direkt laufen


Gruß HL

Das heißt also ich muss die dienste nicht mit FW_SERVICES_EXT_TCP freischalten wenn ich sie nur forwarden will?
Und ich kann den FTP Port in mein gesamtes Netzwerk weiterleiten? Woher weis der denn dann auf WELCHEN rechner im netzwerk der zugreifen soll?
Ich meine wenn ich jetzt 2 rechner habe auf denen beiden ein FTP-Server läuft und ich den Port für das ganze Netz freigebe, welcher wird denn dann angesprochen?

hi


Original geschrieben von ~Gh05t~
Das heißt also ich muss die dienste nicht mit FW_SERVICES_EXT_TCP freischalten wenn ich sie nur forwarden will?

nein, nur wenn die dienste auf dem firewall-rechner laufen



Und ich kann den FTP Port in mein gesamtes Netzwerk weiterleiten? Woher weis der denn dann auf WELCHEN rechner im netzwerk der zugreifen soll?
Ich meine wenn ich jetzt 2 rechner habe auf denen beiden ein FTP-Server läuft und ich den Port für das ganze Netz freigebe, welcher wird denn dann angesprochen?

du hast natürlich völlig recht und ich hab völligen quatsch gepostet. es muß schon die ip von dem ftp-server sein. naja war schon spät :D

Gruß HangLoose

ok, so weit war ich glaube schon mal...
scheise, dann muss ich ja um auf 2 Rechnern n FTP-Server laufen zu lassen nen anderen Port nehmen oder wie? D.h. man kann auch nur über nen anderen Port darauf zugreifen...
Geht es denn wenigstens, das ich den Port ändern kann, damit ich nicht noch bei den Clients alles ändern muss? Also sowas wie
FW_FORWARD_MASQ="0/0:21000,192.168.0.1,tcp,20:21"

Bis her war ich mit dem Router ganz zufrieden, aber das is ein wirklicher Nachteil...:(

hi

so ist es. wenn du 2 ftp-server anbieten willst, muß der eine auf einem anderen port lauschen. das problem ist bloß, in den clients ist der standard port eingestellt. das heißt die user die auf deinen *2.* ftp-server zugreifen wollen, müßten ihre clienteinstellungen ändern.

was anderes wäre es, wenn der 2. ftp-server ne öffentliche ip hätte.

ich kann mich natürlich irren und man kann mich natürlich verbessern.


Gruß HangLoose

also, wie müsste so ein eintrag dann aussehen?
könnte ich das so machen wie oben beschrieben?

PS: Thx, wenigstens einer der mir versucht zu helfen... ;)

hi

nur mal ein beispiel, wie ich mir das vorstellen könnte?

ftp-server 1

ip -> 192.168.0.1
port -> 21

ftp-server 2

ip -> 192.168.0.2
port -> 2121

der eintrag müßte dann so aussehen

FW_FORWARD_MASQ="0/0,192.168.0.1,tcp,21 0/0,192.168.0.2,tcp,2121"

außerdem müßte der ftp-server 2 auf port 2121 umgestellt werden und die clients die auf diesen ftp-server zu greifen sollen natürlich auch noch.


ich weiß nun nur nicht ob man für den ftp server 2 lieber einen priviligierten port nehmen sollte. eventuell gibt es ja auch ne elegantere lösung?


ps: wofür brauchst du eigentlich 2 ftp-server?


Gruß HangLoose

ich will es nur generell wissen... ich habe gar keinen FTP server im Netzwerk, der ist auf dem Server...
Aber ich habe diverse andere Programme die ich forwarden will/muss.
Gibt es nicht die Möglichkeit wenigstens den port des 2. FTP-Servers so zu lassen wie er ist?
D.h. das alle über port 2121 reinkommenden pakete zum port 21 auf 192.168.0.2 weitergeleitet werden?

hi


Original geschrieben von ~Gh05t~

Gibt es nicht die Möglichkeit wenigstens den port des 2. FTP-Servers so zu lassen wie er ist?
D.h. das alle über port 2121 reinkommenden pakete zum port 21 auf 192.168.0.2 weitergeleitet werden?

hm, da bin ich mir jetzt nicht ganz sicher. es gibt im firewall2 script eine variable FW_REDIRECT="". ob man die für deine zwecke nutzen kann, müßte man sich nochmal ansehen. aber ich glaube damit kann man die ports nur auf dem firewall-rechner direkt *umbiegen*


Gruß HangLoose

Zuerst wollte ich HangLosse korrigieren, dann habe ich seine Antwort aber so interpretiert, dass sie mit meiner Ansicht übereinstimmt => war prompt falsch. *SCNR*

Du brauchst natürlich die zwei ftp-Server nicht umkonfigurieren. Allerdings muss das Portforwarding von zwei unterschiedlichen Ports erfolgen, d. h. Router hat zwei Ports für ftp-geöffnet.
1. Port 21 (Standard) weiterleitung zu Server1
2. Port 1021 Weiterleitung zu Server2

Wie das mit der SuSEFirewall funktioniert: k. A.

na, das ist doch schon mal ein Anfang... :)

hi Jinto


Zuerst wollte ich HangLosse korrigieren

nur zu, ich lern ja gerne dazu ;) aber bitte HangLoose ;)

mein vorschlag von oben bezog sich auch auf die umsetzung mit der suse firewall. jedenfalls hab ich bis jetzt keine möglichkeit gefunden, das anders umzusetzen, bin aber auch noch nicht wirklich dazu gekommen, mich da ausführlicher mit zu beschäftigen.


Gruß HangLoose

hmmm... weis jemand wo ich ma ne ganze liste mit beschreibung für die suse fw2 bekomme?

hi

zumindest der größte teil wird hier erklärt => http://www.robidu.de/linux/firewall/#wasn_das

ansonsten liefert suse zur firewall auch doc's mit

-> /usr/share/doc/packages/SuSEfirewall2/EXAMPLES !
-> /usr/share/doc/packages/SuSEfirewall2/FAQ !
-> /usr/share/doc/packages/SuSEfirewall2/SuSEfirewall2.conf.EXAMPLE !


Gruß HangLoose