Hi zusammen....

Hab mal wieder eine Frage !!

Ich habe Suse 7.3 mit der SuseFirewall2 als Server.
Das Problem ist, das ich meinen Server von meinen Clients (Win)
nicht über die externe IP erreichen kann....
Hat jemand ne Ahnung was ich da freischalten muß ???
Wird jawohl an der Firewall liegen.....

Also über die interne IP des Servers erreiche ich diesen auch aber nicht
über die externe.... Auch anpingen ist erfolglos....

Wenn jemand ne Idee hat wäre ich Super Happy !!!

Danke schonmal im Voraus

Gruß Tim

Versuch es mal mit Port 80 oder http! ;)

cu

Jochen

Hab ich schon nur leider klappt es nicht :(

Sowas einfaches hätte ich auch selber rausbekommen ;)


Tim

Hallo!

Ich schätze dein Server ist auch dein Router mit Masquarading. Dadurch wird deine interne IP auf die externe "umgewandelt". Damit versuchst du dich mit deiner externen IP auf selbige zu verbinden. Das funktioniert natürlich nicht.

Wenn die FW Rules richtig eingerichtet sind, sollte es aber von "wo anders" aus dem www durchaus kunktionieren.

vg

HIHO

@N.D. Also Du hast recht der Server ist auch mein Router und im Firewallscript wird auch das Masquarading und so geregelt..... Aber verstehen tu ich das nicht ganz....

Das heißt doch nur das meine interne IP mit der des Routers "überschrieben" wird....
OK aber der Router selbst kann sich doch auch zum Beispiel anpingen über die externe IP...

Hmm hoffentlich nicht zu nervig die Fragen aber ich bin ein neugieriger Mensch und möchte alles verstehen nicht nur anwenden.....


Gruß Tim

Original geschrieben von N.D.
Hallo!

Ich schätze dein Server ist auch dein Router mit Masquarading. Dadurch wird deine interne IP auf die externe "umgewandelt". Damit versuchst du dich mit deiner externen IP auf selbige zu verbinden. Das funktioniert natürlich nicht.


Halt, da muss ich mal einhaken, da das nicht ganz stimmt.
tim's Probleme bestehen in der INPUT bzw. OUTPUT Chain von iptables. Maquerading greift aber NUR für die FORWARD.

Wie die SuSE Firewall das handhabt kann ich Dir nicht sagen, da ich händisch geschriebene IPTABLES bevorzuge.

Grüße

Manx

@Manx
Der Verkehr geht natürlich durch die FORWARD da er ja geroutet wird.
Also maskiert er auch.

Der Rechner connectet sich mit seiner eigenen IP auf sich selber.
Siehe iptables howto auf netflilter.org da steht das Problem beschrieben.

vg
Andi

Hi!

Interessante Frage.
Hast Du vielleicht einen Link zu der Problematik?
Mir ist die Sache nämlich nicht 100%ig klar ;)
kleines Diagramm:


->[PREROUTING] ----> routing? -ja-> FORWARD ---------- [POSTROUTING]->
| ˆ
| |
[INPUT] [OUTPUT]
| |
ˇ
lokal lokal


Wenn ich jetzt einen Webserver hab, der auf beiden Interfaces (intern und extern) lauscht und es kommt eine Anfrage übers interne Interface, allerdings auf die externe Adresse (die aber auch lokal erreichbar ist), stellt sich die Frage ob's in die FORWARD-Chain geht oder nicht.

:confused:

Grüße

Manx

Ich hab mir das jetzt nochmal durch den Kopf gehen lassen und bin zu dem Schluss gekommen, dass du natürlich Recht hast Manx.
Angenommen die Rule lautet so:

iptables -t nat -A POSTROUTING -o $EXT_IF -j MASQUERADE
und so sollte sie natürlich auch lauten.

Dann geht die Verbindung ja gar nicht aus $EXT_IF raus und wird daher nicht masqueradet, obwohl sie geroutet wird (von $int_if zu $ext_if).

Und deswegen funktionierts auch nicht.

Das Paket kommt zu $int_if -> routet zu $ext_if an den webserver (oder was auch immer). Der server merkt, es kommt aus dem LAN und schickt die Antwort direkt also über $int_if zum Client zurück. So und jetzt der Grund:
Der Client kann mit der Antwort nix anfengen, da sie nicht von der IP kommt, zu der er sie geschickt hat (statt $ext_ip kommt die von $int_ip) und verwirft das Paket.

So ich denke jetzt hab ich das ganze richtig erzählt.

sorry für den Schwachsinn vorher.

vg

Hi!

So ganz zufrieden bin ich mit Deiner Interpretation noch nicht ;)
Ob man hier schon von Routing spricht, ist eine Streitfrage. Für mich ist's erst dann Routing wenn ein Paket beim einen IF rein UND beim andern wieder rausgeht. (aber egal)
Zwischen den Interfaces wird IMHO auch nicht geroutet.

Meiner Ansicht liegt das Problem in der Config der INPUT und/oder OUTPUT Regeln.
Wenn in der SUSE Firewall nämlich alles auf Drop steht UND bei den INPUT-Regeln detailierte Optionen benutzt werden (Pakete von internen Netz nur an's interne IF zulassen) werden die Pakete von der Firewall verworfen.

Grüße

Manx

PS: Von intern auf die externe IP zuzugreifen muss ja funktionieren.
Angenommen ich hab einen Mailserver "mail.domain.tld" und Leute mit Laptops, die sowohl von intern als auch von extern Mails abrufen und senden.
Die haben in den Einstellungen des Mailprogramms natürlich den FQDN stehen.
Und ich hab keinen internen DNS ...

Manx

das kommt daher, da ein mailserver auf dem selben if antwortet, an dem er die anfrage bekommt.
das tut ein webserver allerdings nicht.
du kannst es ja gerne mal ausprobieren, wenn du mir das nicht glaubst.
(ich habs gerade ausprobiert)

ich wette mit dir, dass wenn du routing nicht aktivierst, du vom lan niemals auf das externe interface galangen wirst :) also wie würde man das sonst nennen können?

... dass ich auf einem Router natürlich Routing aktiviert habe, is schon klar.
Ich würd halt in diesem Fall nicht von Routing sprechen, da der Router ja in beiden Netzen zu Hause ist und die Anfrage ihm gilt (wurscht welches Interface)

... und ... aus! :D (da unsere Fachsimpeleien tim leider nicht weiterhelfen.

Grüße

Manx

Original geschrieben von [WCM]Manx
(da unsere Fachsimpeleien tim leider nicht weiterhelfen.

Grüße

Manx [/B]

Da muß ich Ihm leider Recht geben :(
Sorry das ich so selten schreiben aber ich Streiche grad den Flur ;)

Mmh wirklich verstanden hab ich nur das es an der Firewall liegt und
irgendwas damit zu tun hat das wenn mein Win Rechner die Daten
zurück bekommt das als Falschen Absender sieht und es wieder verwirft.

Hab ich das soweit richtig verstanden ????


Tim

Um auf oben nochmal einzugehen...

Natürlich ist mein Apache von ausn erreichbar....

Hier mal ein Link wo Ihr meine FW Config sehen könnt,
vielleicht bringt das ja was.......

FW2 Script (http://62.143.31.132/firewall2.rc.config)

So zum Beispiel diesen Link kann ich von dem Rechner hier nicht
testen, da er die externe IP beinhaltet :(

Müßte ich erst die interne des Routers einfügen dann kann ich den Link
auch sehen....

Gruß
Tim


P.S. Kann die Datei hosts oder wie die bei Win heißt auch was damit zu tun haben ?? :confused:

Hi!

Vorschlag:
Starte die SuSEfirewall2 und mach ein "iptables -vnL" und poste den Output (eventuell als Attachment) :D
Vielleicht findet sich ja der Hund.

Grüße

Manx

Original geschrieben von [WCM]Manx
Hi!

Vorschlag:
Starte die SuSEfirewall2 und mach ein "iptables -vnL" und poste den Output (eventuell als Attachment) :D
Vielleicht findet sich ja der Hund.

Grüße

Manx

Muß ich sie neu starten oder reicht es wenn ich das "iptables -vnL" so mache ???
Da die Firewall eh schon läuft !!

Also hier des Auswurf ohne die Firewall neu zu starten....

Ergebnis des iptables -vnL (http://62.143.31.132/iptables.txt)


Hoffe irgendwann versteh ich mal was los ist.....



Tim

... wenn Du nicht zusätzliche iptables-Kommandos auf der Kommandozeile reingeklopft hast, brauchst nicht neu starten.

Manx

Original geschrieben von [WCM]Manx
... wenn Du nicht zusätzliche iptables-Kommandos auf der Kommandozeile reingeklopft hast, brauchst nicht neu starten.

Manx



Nein hab ich nicht.....
Hab diese Firewall nur mal mit nem Kumpel für mich eingerichtet
und seit dem tut sie "Ihren Dienst" !?!


Tim

Genau das Problem hatte ich auch. Mir hat:

http://www.harry.homelinux.org/modules.php?name=iptables_Generator

Sehr geholfen! Dazu habe ich noch einige Regeln (emule etc) per vi korrigiert und nun läuft alles so wie ich es mir vorstelle.....

@tim

Ich hab da vielleicht einen Verdacht.
Wenn Du versuchst auf die externe Adresse (Webserver) zuzugreifen, welche Logs kommen dann?
Vielleicht ".... SuSE-FW-ACCESS_DENIED_FOR_INT"

Ich weiß jetzt nicht wohin die SuSE-FW2 loggt, aber verfolge das file mit tail -f filename
(mit CRTL-C) beenden.

Grüße

Manx

Ich habe noch eine Möglichkeit zu bieten:

Surfen über den Squid von den internen Clients aus, dann kommst du "von aussen" auch auf die Maschine....

@realtec

Von außen kommt man auf den Rechner ohne Probleme


Tim

so war es auch nicht gemeint! Wenn ich das Problem richtig verstanden habe kommst du vom lan nicht über das internet auf deinen server.
dies liegt daran, das du intern über masquerating surfst, und die firewall damit überfordert ist, den traffic ins i-net zu routen, und wieder zurück zu empfangen....
daher surfen über squid (und masqerating der firewall ausschalten)!
--> Problem gelöst!


ich kam auch nie auf meinen rechner durch eingabe von:
http://realtec.dyndns.org/

Seit squid gehts!

Das kann aber doch auch nicht Sinn und Zweck sein ??
Das dass geht glaub ich gerne aber es muß doch auch nen
anderen Weg mit einer Firewall und Ohne Squid geben oder ??

Naja wenn ich das nicht hinbekomme nehm ich wohl auch
Squid ;)


Tim

squid ist eh sicherer als masquerating

Original geschrieben von [WCM]Manx
@tim

Ich hab da vielleicht einen Verdacht.
Wenn Du versuchst auf die externe Adresse (Webserver) zuzugreifen, welche Logs kommen dann?
Vielleicht ".... SuSE-FW-ACCESS_DENIED_FOR_INT"

Ich weiß jetzt nicht wohin die SuSE-FW2 loggt, aber verfolge das file mit tail -f filename
(mit CRTL-C) beenden.

Grüße

Manx


@Manx
Also ich hab mir die Logs ne ganze Zeit angesehen und mehrmals versucht auf
meinen Server von Intern über die externe IP zuzugreifen.....
Es gab keine "Denied" Meldungen......

Ich hoffe das bringt uns der Lösung näher.....



Tim

Konntet Ihr das Problem in der Zwischenzeit lösen?

Habe nämlich das gleiche Problem und möchte ungern jedes mal eine extra internetverbindung machen, nur um meine Website zu begutachten, bzw. zu konfiguriernen, bzw. die Firewall ausschalten, schließlich soll die mich ja von außen schützen *g*.

Ich hab ne Firewall config von nem Kumpel bekommen damit geht das ohne Probleme....



Tim