Solved: Linux-Firewall will nur www routen

Seite 1 von 1 - Forum: Linux and other OS auf overclockers.at

URL: https://www.overclockers.at/linux/solved_linux-firewall_will_nur_www_routen_150055/page_1 - zur Vollversion wechseln!

Hallo!

Das Problem ist gelöst!

Auf der Firewall war der Router des "äußeren" Netzwerks zum Internet nicht mehr als Default-Gateway definiert, das dürfte der Grund gewesen sein. Das www hat wahrscheinlich deshalb trotzdem funktioniert weil es über einen Proxy geht, der über DNS auffindbar war und daher dann automatisch der Weg über den Router genommen wurde. Dahinter gekommen bin ich deshalb, weil ich festgestellt habe, dass auch von meiner Firewall aus nur das www funktioniert hat.

Das war das Problem:

Habe ein LAN über einen Linux-Rechner (Firewall) in ein anderes LAN gehängt, über Ipforwarding und Masquerading. Über das "äußere" LAN komme ich über einen Router (bzw. eine Firewall), auf den/die ich keinen Einfluss habe, ins Internet. Über diesen Weg ist meines Wissens nichts gesperrt, http, ftp, auch spielen z.B. WoW oder Q3A ist möglich (wenn man direkt in diesem LAN hängt).

Mit meiner Firewall dazwischen funktioniert es auch einigermaßen, ich schreibe gerade diesen Post von einem Rechner im privaten LAN, der über meine Linux-Maschine am Netz hängt.

Das PROBLEM ist, es funktioniert aber nur das http://www. Weder WoW noch P2P-Clients oder Miranda etc. funktionieren. Auch Outlook nicht.

Langsam tippe ich darauf, dass es am Windows-Client liegt und nicht an meiner Firewall (habe nur Ipforwarding und Masquerading aktiviert, alle Firewall-Regeln habe ich schon deaktiviert, Default Policy ist ACCEPT).
In Windows habe ich als Default-Gateway einfach die (interne) IP meiner Linux-Maschine eingetragen. (Mehr habe ich nicht gemacht.)

Kann mir bitte jemand helfen? Vielleicht liegt das Problem wirklich Windows-Seitig begraben, oder ich muss SNAT oder DNAT verwenden, wenngleich mir nicht klar wäre warum...

MfG
Freak

Code:

#!/bin/sh 
# 2005 - Philipp.Hocher at bbzs.ch 
# GRUNDKONFIGURATION -- SCENARIO1 Firewall with no Filtering 

# Schnittstelle zum lokalen Netzwerk 
IFACE_INT=eth1 

# Internetschnittstelle 
IFACE_EXT=eth0 

# Loopback device 
IFACE_LO=lo 

case "$1" in 

start) 
echo -n "Starting firewall: iptables" 

# Alte Regeln löschen 
iptables -F 
iptables -F -t mangle 
iptables -F -t nat 
iptables -X 
iptables -X -t mangle 
iptables -X -t nat 

# ************ 
# * POLICIES * 
# ************ 

# Default-Policies setzen - alles darf durch 
iptables -P INPUT ACCEPT 
iptables -P FORWARD ACCEPT 
iptables -P OUTPUT ACCEPT 

# Einschalten von ip-Forwarding 
echo "1" > /proc/sys/net/ipv4/ip_forward 

# ********************* 
# * REGELN DEFINIEREN * 
# ********************* 


# leider sind keine Regeln vorhanden, da wir hier alles durchlassen 

# *********** 
# * LOGGING * 
# *********** 

# Alles was bis hier kommt, mitprotokollieren 
iptables -A OUTPUT -j LOG --log-prefix "Nicht raus: " 
iptables -A FORWARD -j LOG --log-prefix "Nicht durch: " 
iptables -A INPUT -j LOG --log-prefix "Nicht rein: " 
echo "." 
;; 

stop) 
echo -n "Stopping firewall: iptables" 

# Alte Regeln löschen 
iptables -F 
iptables -F -t mangle 
iptables -F -t nat 
iptables -X 
iptables -X -t mangle 
iptables -X -t nat 

# ************ 
# * POLICIES * 
# ************ 

# Default-Policies setzen 
iptables -P INPUT ACCEPT 
iptables -P FORWARD DROP 
iptables -P OUTPUT ACCEPT 

# Deaktivierung des ip-Forwarding 
echo "0" > /proc/sys/net/ipv4/ip_forward 

echo "." 
;; 

restart) 
$0 start 
;; 

status) 
iptables -L 
;; 

*) 
echo "Usage: /etc/init.d/firewall start|stop|restart|status" 
exit 1 
;; 

esac
 

Soll die Kiste nur routen? Mach dir dann doch nicht so eine Arbeit und installier dir einen IPCop 1.4.8. Da ist dann sofort alles richtig eingestellt und auch sicher.

Danke Ohtan!
Hab im Prinzip ohnehine genau das gemacht, was dein script macht, nur händisch Zeile für Zeile eingegeben.
Was bei deinem Script bezogen auf meinen Fall fehlt ist das Masquerading, ohne das geht es nicht.
Das Problem bleibt aber bestehen, ich denke es liegt wirklich an Windows, kann es sein, dass ich da noch mehr einstellen muss als nur den Default-Gateway?

@Crash:
Die Maschine soll erst mal Routen, wenn das dann geht, will ich sie als richtige Firewall einsetzen. Trotzdem schau ich mir das Tool an...

Das ist kein Tool sondern eine Firewalldistribution mit Routing per NAT, also Masquerading. Ist in ca 10-20min. je nach Erfahrung mit Netzwerken voll eingerichtet und konfiguriert. Gute Hilfe findest du unter http://www.ipcop-forum.de , allerdings wird dir da nicht die Doku vorgelesen.

Interessant, aber das muss ich mir noch überlegen, ob ich wirklich eine neue Distri aufsetzen will. Jetzt mit SuSE ist es immerhin ein vollwertiger Rechner.

Das mit "vorlesen" verstehe ich nicht, spielst darauf an, dass ich lieber die Doku lesen soll als hier zu fragen? Wenn ich nicht schon 14 Stunden (seit gestern Nachmittag, ausgenommen Nacht) ohne brauchbares Ergebnis daran Arbeiten würde, würde ich eh nicht fragen...

Jetzt versuch ichs jedenfalls noch weiter mit SuSE und iptables.

dns server eingetragen?

Ein paar Fakten wären schon gut.

Welche IPs haben die beteiligten NICs? Welche Netzwerkmasken werden verwendet? Wie genau hast du "Ipforwarding und Masquerading aktiviert"?

Zitat von spunz

dns server eingetragen?

Code:

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Verwende jetzt das Script aus diesem Thread.

Das Problem ist:
Das Problem besteht noch immer!

Vielleicht hat also noch jemand einen Tipp. Wie gesagt, es geht noch immer darum, dass ich nur im Web surfen kann, während alle Programme über die Firewall nicht ins Netz kommen. Und ich vermute noch immer, dass das Problem am Windows-Client liegt. Ich habe aber keine Ahnung wo genau...

Bitte um Hilfe!

MfG
Freak

Also die Windows-Firewall hast Du ja hoffentlich deaktiviert. Vermutlich mußt Du die entsprechenden Ports forwarden. Am besten mit iptables:

iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 2300:2330 -j DNAT --to-destination 192.168.1.10:2300-2330

So funktioniert das bei mir wunderbar. In diesem Fall werden Ports 2300 bis 2330 an den Rechner 192.168.1.10, der an Interface eth1 hängt, weitergeleitet. Mach das für HTTP/FTP/WoW/... was auch immer Du brauchst. Aufpassen, manche Protokolle erfordern zusätzlich UDP! (statt -p tcp dann -p udp). Sinnvollerweise alle iptables vorher mit iptables -F löschen.

Gib mal ipcop eine chance. Wenn es nach einer halben Stunde nicht läuft hast du nicht viel verloren. Baue einfach eine alte unbenutzte Platte ein, und gönne dir den 50 MB download. Mit doku wird nicht vorgelesen meinte ich das IPCop Forum. Die Duku zu IPCop ist kurz und einfach, und trotzdem wird sie selten gelesen. Ich brauche zum aufsetzen und Konfigurieren für einen IPCop 7-10min. Hardware ist dann ca:

CPU: P1 133 - Celeron 333
RAM: 32 - 256 MB
HDD: 1 - 10 GB
Netzwerkkarten: Diverse 3Com, Intel, Realtek Clones mit 10 oder 100Mbit/s

Das reicht als Router für DSL auch bei 6000kbit/s lange aus. Ausserdem ist das Webinterface etwas sehr nettes.

@Crash Override: Stehst du eigentlich bei einem der IPCop-Entwickler auf der Lohnliste? Egal wo das eigentliche Problem liegt, überall empfiehlst du den Einsatz von IPCop.
Die Distri ist zwar nicht schlecht, aber es gibt durchaus Alternativen bzw. wollen die Leute ja vielleicht einfach nur das Problem bei ihrer bestehenden Firewall lösen und nicht gleich ganz umsteigen.

Was heiist hier Lohnliste? Ich entwickle manchmal kleinigkeiten dafür, supporte ihn kostenplichtig in meiner Umgebung und kostenlos im Forum. Einen Entwickler kenne ich privat, sowie die meisten sehr aktiven sowie admins und mods im ipcop-forum. Und ich bin der Meinung das wir da eine sehr gute Software zusammengebastelt haben.

Zitat von Crash Override

Und ich bin der Meinung das wir da eine sehr gute Software zusammengebastelt haben.

overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2025