Seit einiger zeit haben wir einen squid laufen, was echt super klappt.
nun haben wir uns entschlossen eine Firewall aufzusetzen.
nun ist es so, dass die firewall nichts mehr durch lässt.

wo habe ich den fehler gemacht?
squid ist aktiv,und forwarding und routing auch.

FW_DEV_EXT="eth1"
FW_DEV_INT="eth0"
FW_DEV_DMZ=""
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="192.77.2.0/24,0/0,tcp,25,53,110,119
192.77.2.0/24,0/0,udp,25,53,110,119"
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_SERVICES="no"
FW_SERVICES_EXT_TCP="25 80 110"
FW_SERVICES_EXT_UDP="53"
FW_SERVICES_EXT_IP=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_INT_TCP="22 23 25 53 80 110 3128"
FW_SERVICES_INT_UDP="53"
FW_SERVICES_INT_IP=""
FW_TRUSTED_NETS="192.77.2.0/24,tcp,53,25,110,119"
FW_ALLOW_INCOMING_HIGHPORTS_TCP="ftp-data"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS"
FW_SERVICE_AUTODETECT="yes"
FW_SERVICE_DNS="yes"
FW_SERVICE_DHCLIENT="no"
FW_SERVICE_DHCPD="no"
FW_SERVICE_SQUID="yes"
FW_SERVICE_SAMBA="yes"
FW_FORWARD="yes"
FW_FORWARD_MASQ="yes"
FW_REDIRECT="192.77.2.0/24,0/0,tcp,80,3128"
FW_ALLOW_PING_FW="no"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_FW_TRACEROUTE="no"
FW_ALLOW_FW_SOURCEQUENCH="yes"
FW_ALLOW_FW_BROADCAST="no"
FW_IGNORE_FW_BROADCAST="yes"
FW_ALLOW_CLASS_ROUTING="no"

danke im voraus
herner

Funzt es denn, wenn Du
FW_REDIRECT="192.77.2.0/24,0/0,tcp,80,3128"
nicht setzt, dafür aber bei den Clients den proxy angibst?

Gruß

FW_DEV_EXT="eth1"

das müsste ppp0 oder ippp0 sein. je nachdem ob du dsl oder isdn benutzt.

moin moin

FW_MASQ_NETS="192.77.2.0/24,0/0,tcp,25,53,110,119

das ist so imho nicht möglich, du mußt für jeden port den du freigeben willst, einen extra eintrag machen. ausserdem muss das ganze in einer zeile stehen.

FW_MASQ_NETS="192.77.2.0/24,0/0,tcp,80 192.77.2.0/24,0/0,udp,53

wenn du von innen alles erlauben möchtest, setz das ganze auf 0/0.
-------------------------------------------------------------------------------------------------
FW_SERVICES_EXT_TCP="25 80 110"

dort kommen nur dienste rein, die direkt auf dem firewallrechner laufen und vom inet aus erreichbar sein sollen. für _EXT_UDP etc. gilt das gleiche.
--------------------------------------------------------------------------------------------------------------------
FW_SERVICES_INT_TCP="22 23 25 53 80 110 3128"

hier das gleiche wie oben, bloß das es hier um die dienste geht, die vom lan aus erreichbar sein sollen z.b. ssh
-------------------------------------------------------------------------------------------------------
FW_FORWARD="yes"

yes ist an dieser stelle nicht erlaubt. diese variable wird nur benötigt, wenn die rechner an die *geforwarded* werden soll, öffentliche ip's besitzen. das ganze also nicht maskiert werden muss.
----------------------------------------------------------------------------------------------------------
FW_FORWARD_MASQ="yes"

dito wie oben, nur das hier MASQ zum einsatz kommt. angenommen du hast einen webserver mit der ip 192.168.1.2 und möchtest das dieser vom inet erreichbar ist.

FW_FORWARD_MASQ="0/0,192.168.1.1,tcp,80"
-----------------------------------------------------------------------------------------------------------
FW_ALLOW_PING_FW="no"
FW_ALLOW_PING_EXT="no"

würde ich auf yes setzen. beim ersteren kannst die FW anpingen und beim 2. erlaubst das pingen ins inet.


ps: mal ne blöde frage 192.77.xx.xx sind das noch ip's aus dem privaten addressraum?

Gruß HL