nicht angemeldet
Linux Suse Firewalll
Hallo zusammen, befinde mich momentan auf Kriegsfuß mit einer Linux Firewall.
Ich versuche ersteinmal meine Absichten zu erläutern:
Also ich befinde mich in einem Netzwerk mit mehreren Subnetzen, in einem dieser Subnetze befindet sich auch die Firewall(alles externes Netz). Hinter der Firewall(im internen Netz) befindet sich ein PC der versciedene Dinge visualisiert.
So jetzt zum Problem: Das Routing bzw. die Maskierung des PC hinter der Firewall funktioniert, wenn ich mich mit meinem PC im selben Subnetz(z.B. 10.53.54.x) wie die Firewall befinde. Wechsele ich in ein anderes Subnetz( z.B 10.53.53.x) als die Firewall wird mir leider keine Visualisierung mehr angezeigt! Andere PC in dem Subnetz der Firewall lassen sich weiterhin erreichen(z.B. pingen)
Hat jemand eine Idee was mir den Zugriff verweigert und wieso??
Bin inzwischen etwas ratlos...
Danke und Gruß
Skylla
-
Hallo,
So jetzt zum Problem: Das Routing bzw. die Maskierung des PC hinter der Firewall funktioniert, wenn ich mich mit meinem PC im selben Subnetz(z.B. 10.53.54.x) wie die Firewall befinde. Wechsele ich in ein anderes Subnetz( z.B 10.53.53.x) als die Firewall wird mir leider keine Visualisierung mehr angezeigt! Andere PC in dem Subnetz der Firewall lassen sich weiterhin erreichen(z.B. pingen)
könntest Du das Netzwerk bitte skizzieren, ASCII-Art reicht. Ich kann mir derzeit nicht vorstellen wie es genau aussieht - und welche Funktion welcher Rechner hat.
Unter Windows wird mit der Netzmaske nach meiner Erfahrung großzügig umgegangen, Linux nimmt es hingegen sehr genau.
Freundliche Grüße
Charybdis
-
hi,
Unter Windows wird mit der Netzmaske nach meiner Erfahrung großzügig umgegangen, Linux nimmt es hingegen sehr genau.
Ohje, wie meinst Du das denn? Also wer geht mit der Netzmaske großzügig um?
Hotte
--
Wenn der Kommentar nicht zum Code passt, kann auch der Code falsch sein. -
Hallo zusammen,
dann versuch ich das ganze mal kurz zu skizzieren:
| internets Netz || externes Netz |
_______ ________ ________
| | | | | |---10.53.54.x (funktioniert)
| PC |------|Firewall|------|Netzwerk|
|_______| |________| |________|---10.53.53.x (funktioniert nicht)
192.168.0.2 192.168.0.1/
10.53.54.190Hoffe das trägt ein bisschen zum Verständniss bei!
Wo wir schon bei Netmask sind:
192.168.0.1 , 255.255.255.0
10.53.54.190 , 255.255.0.0-
Tach,
Wo wir schon bei Netmask sind:
192.168.0.1 , 255.255.255.0
10.53.54.190 , 255.255.0.0du hast also zwei Netze 192.168.0.0/24 und 10.53.0.0/16
So jetzt zum Problem: Das Routing bzw. die Maskierung des PC hinter der Firewall funktioniert, wenn
ich mich mit meinem PC im selben Subnetz(z.B. 10.53.54.x) wie die Firewall befinde. Wechsele ich
in ein anderes Subnetz( z.B 10.53.53.x) als die Firewall wird mir leider keine Visualisierung mehr
angezeigt! Andere PC in dem Subnetz der Firewall lassen sich weiterhin erreichen(z.B. pingen)Hier schreibst du allerdings, dass du das Subnetz von 10.53.54.x nach 10.53.53.x wechselst; das ist kein Wechsel, du bleibst im selben Subnetz.
mfg
Woodfighter-
Moin moin zusammmen,
Hier schreibst du allerdings, dass du das Subnetz von 10.53.54.x nach 10.53.53.x wechselst; das ist kein Wechsel, du bleibst im selben Subnetz.
Mag ja sein, so tief bin ich in der Materie dann nicht drin!
Ändert nur leider nix daran dass es aus dem einen IP-Kreis(..54.x) funktioniert und aus dem anderen halt nicht(..53.x)!Hab ich vielleicht irgendwo nen Denkfehler oder hat die Firewall ne Macke?
-
Tach,
Hab ich vielleicht irgendwo nen Denkfehler oder hat die Firewall ne Macke?
Ich habe leider keine Ahnung, was du mit "Hinter der Firewall(im internen Netz) befindet sich ein PC der verschiedene Dinge visualisiert." meinst.
Die Rechner mit den IPs 10.53.54.x bzw. 10.53.53.x haben auch alle eine /16-Subnetzmaske?
mfg
Woodfighter-
Mahlzeit,
Ich habe leider keine Ahnung, was du mit "Hinter der Firewall(im internen Netz) befindet sich ein PC der verschiedene Dinge visualisiert." meinst.
Auf dem PC hinter der Firewall läuft ein Apache Webserver + ein FTP-Server, ich route als die Ports 80,21 und 20. Mit visualisieren meine ich also eine Webseite die gewisse Dinge anzeigt.
Die Rechner mit den IPs 10.53.54.x bzw. 10.53.53.x haben auch alle eine /16-Subnetzmaske?
Das kann ich leider nicht genau sagen, befinde mich in einem Firmen Netzwerk.
Aber eigentlich gehe ich davon aus das es so ist, da Ping und Zugriffe(z.B: ftp, html) die nicht die Firewall betreffen in beide Richtungen (von 10.53.54.x auf 10.53.53.x und umgekehrt) funktionieren.Thx....
-
Yerf!
» Die Rechner mit den IPs 10.53.54.x bzw. 10.53.53.x haben auch alle eine /16-Subnetzmaske?
Das kann ich leider nicht genau sagen, befinde mich in einem Firmen Netzwerk.
Ein "ipconfig" (Windows) oder "ifconfig" (Unix) auf der Konsole sollte Aufschluss geben.
Aber eigentlich gehe ich davon aus das es so ist, da Ping und Zugriffe(z.B: ftp, html) die nicht die Firewall betreffen in beide Richtungen (von 10.53.54.x auf 10.53.53.x und umgekehrt) funktionieren.
Es könnten auch 2 Subnetze mit einem Router dazwischen sein.
Gruß,
Harlequin
--
<!--[if IE]>This page is best viewed with a webbrowser. Get one today!<![endif]-->-
Ein "ipconfig" (Windows) oder "ifconfig" (Unix) auf der Konsole sollte Aufschluss geben.
Mhm auf "ipconfig" hätte ich auch selbst kommen können!
Daraus folgt dann, Netmask=255.255.255.0 hab das ich in einem Subnetz mit einem zwischengeschalteten Router sitze.
Werde mich also gleich mal über ein Hub/Switch mit der Firewall verbinden und mal testen. Dementsprechend auch meine Netmask in 255.255.0.0 ändern.Wenn ich über einen Router gehen würde um zwischen den Subnetzen zu kommunizieren, muss ich dann die Router IP in der Firewall freigeben?
Irgendwie alles nicht so einfach wie ich dachte ;)
-
Yerf!
Wenn ich über einen Router gehen würde um zwischen den Subnetzen zu kommunizieren, muss ich dann die Router IP in der Firewall freigeben?
Du musst dem Firewall-Rechner die richtige Subnetz-Maske geben (255.255.255.0) und ihm den Router ins andere Subnetz mitteilen (vermutlich als Default-Route, müsste dann ja beim ipconfig mit aufgetaucht sein, die IP vom Router).
Gruß,
Harlequin
--
<!--[if IE]>This page is best viewed with a webbrowser. Get one today!<![endif]-->-
Du musst dem Firewall-Rechner die richtige Subnetz-Maske geben (255.255.255.0) und ihm den Router ins andere Subnetz mitteilen (vermutlich als Default-Route, müsste dann ja beim ipconfig mit aufgetaucht sein, die IP vom Router).
Argh auch eigentlich total logisch!
Jetzt das nächste Problem: Finde es in den Yast2 EInstellungen nicht?
Bin ich einfach nur zu blind?Ja und ich weiß das die Linuxcracks jetzt weinen oder sich die Haare raufen,weil ichs nicht über Kommandozeile konfiguriere^^
P.S. Feierabend... bis morgen
-
Yerf!
Jetzt das nächste Problem: Finde es in den Yast2 EInstellungen nicht?
Irgendwo ist die bestimmt, allerdings kenn ich mich im Yast2 nicht aus (bin nie wirklich damit klargekommen)
Ja und ich weiß das die Linuxcracks jetzt weinen oder sich die Haare raufen,weil ichs nicht über Kommandozeile konfiguriere^^
Kenn ich von früher, da haben die Leute auch immer gemeckert, weil ich Yast (1) benutzt hab ;-)
Aber mit dem Umstieg auf Yast2 hab ich dann die Distribution gewechselt...
Gruß,
Harlequin
--
<!--[if IE]>This page is best viewed with a webbrowser. Get one today!<![endif]-->
-
-
-
Tach,
Wenn ich über einen Router gehen würde um zwischen den Subnetzen zu kommunizieren, muss ich dann die Router IP in der Firewall freigeben?
Ich versuche mal zu rekapitulieren:
_______
IST-ZUSTAND: | |
|---| PC54 | 10.53.54.x/24
_______ ________ | |_______|
| | | | |
| PC |------|Firewall|-------| _______
|_______| |________| | | |
192.168.0.2/24 192.168.0.1/24 |---| PC53 | 10.53.53.x/24
10.53.54.190/16 |_______|Wenn das der Ist-Zustand wäre, würden sich PC53 und PC53 nicht sehen können; PC54 und die Firewall könnten sich erreichen; die Firewall erreicht PC53, PC53 allerdings nicht die Firewall.
Was mir zum Gesamtbild noch fehlt, wäre die IP des Webservers, sowie die eingestellten Gateways bzw. Routen aller Rechner.
Zur Lösung:
Entweder alle Rechner im 10.53.0.0/16 Netz erhalten eine /16-Subnetzmaske, oder alle darin erhalten eine /24-Subnetzmaske, die Firewall erhält eine weitere IP im 10.53.53.0/24 und spielt zusätzlich Bridge für die beiden Netze 10.53.54.0/24 und 10.53.53.0/24.
mfg
Woodfighter-
Hallo Jens,
_______IST-ZUSTAND: | |
|---| PC54 | 10.53.54.x/24
_______ ________ | |_______|
| | | | |
| PC |------|Firewall|-------| _______
|_______| |________| | | |
192.168.0.2/24 192.168.0.1/24 |---| PC53 | 10.53.53.x/24
10.53.54.190/16 |_______|Wenn das der Ist-Zustand wäre, würden sich PC53 und PC53 nicht sehen können; PC54 und die Firewall könnten sich erreichen; die Firewall erreicht PC53, PC53 allerdings nicht die Firewall.
nach meinen Tests vor ein paar Jahren wird PC53 unter Linux die Firewall nicht erreichen, unter Windows schon ...
Das macht solche Fehlkonfigurationen so lustig.
Freundliche Grüße
Vinzenz
-
-
-
-
Tach,
Auf dem PC hinter der Firewall läuft ein Apache Webserver + ein FTP-Server, ich route als die Ports 80,21 und 20.
mit routen meinst du NAT?
Mit visualisieren meine ich also eine Webseite die gewisse Dinge anzeigt.
Und was genau funktioniert da dann nicht? Sind die Daten nicht da? Ist der Webserver nicht erreichbar? Wenn ja von wo? ...
mfg
Woodfighter-
Und was genau funktioniert da dann nicht? Sind die Daten nicht da? Ist der Webserver nicht erreichbar? Wenn ja von wo? ...
Hab ich das nicht schon gesagt... ich weiß nicht.
Die Website wird nicht angezeigt (von einem PC mit einer IP 10.53.53.x)! Daten sind definitiv da, da ich mit einem PC der eine IP mit 10.53.54.x hat, dass sehe was ich sehen will!mit routen meinst du NAT?
meinet wegen nenn ich es auch NAT, aber wie ich das Kind nenne das in den Brunnen fällt, ist doch letzendlich egal oder?
-
Tach,
mit routen meinst du NAT?
meinet wegen nenn ich es auch NAT, aber wie ich das Kind nenne das in den Brunnen fällt, ist doch letzendlich egal oder?du kannst früher Hilfe bekommen, wenn der Helfende weiß wovon du sprichst, die richtigen Fachbegriffe zu benutzen hilft dabei sehr; wenn man diese nicht kennt, hilft es das dazu zu schreiben.
Und was genau funktioniert da dann nicht? Sind die Daten nicht da? Ist der Webserver nicht erreichbar? Wenn ja von wo? ...
Hab ich das nicht schon gesagt... ich weiß nicht.
Du weißt nicht, wie die Symptome des Problems aussehen?
Die Website wird nicht angezeigt (von einem PC mit einer IP 10.53.53.x)! Daten sind definitiv da, da ich mit einem PC der eine IP mit 10.53.54.x hat, dass sehe was ich sehen will!
Welche Fehlermeldung kommt auf dem Rechner, der die Webseite nicht anzeigen kann?
mfg
Woodfighter
-
-
-
-
-
-
-
-