Probleme mit Firewall (Linux) und Routing

[stephan]

Hallo zusammen !

Im Moment bin ich dabei, eine Firewall aufzusetzen. Leider stoße ich zur Zeit auf einige Probleme, die das Routing betreffen. Diese will ich im folgenden Erläutern, in der Hoffnung, dass jemand Rat weiss.

Das Netzwerk sieht wie folgt aus. Zentrales Element dabei ist unsere Firewall. Diese Firewall hat sowohl ein Interface in unser lokales Netz, als auch ein Interface, welches über ein zweites Subnetz an einen Router angeschlossen ist. Dieser Router stellt unsere Standleitung bereit.

Der Standardgateway der LAN-Rechner ist die Firewall. Im Normalfall gehen unbekannte Pakete dann von der Firewall maskiert ins Internet. So weit so gut. Im lokalen Netz befinden sich jedoch noch zwei weitere Router. Diese Router stellen Zugänge zu SAP-Systemen bereit.

Damit nun die Pakete, die für die SAP-Systeme bestimmt sind, auch auf die entsprechenden Router gelenkt werden, habe ich zu diesem Zweck auf der Firewall Routen gesetzt. Diese Routen sorgen dafür, dass Pakete, die aus dem lokalen Netz kommen, und für die SAP-Systeme bestimmt sind, nicht ins Internet geschickt werden, sondern wieder zurück ins lokale Netz zu den entsprechenden Routern gehen.

Die Routen sind in der Datei /etc/route.conf eingetragen, und werden auch ohne Probleme initialisiert, also gesetzt. Leider wird jedoch kein entsprechendes Paket zu den SAP-Routern geroutet. Eine Vermutung wäre, dass es was mit dem Masquerading zu tun hat, welches auf der Firewall aktiv ist.

Auf dem Firewall-Rechner läuft eine abgespeckte SuSE Linux 7.0-Distribution.

Bin für Tips, Ratschläge und Antworten sehr dankbar.

Greetz ... Stephan !

[hjb]

Hi,

> Auf dem Firewall-Rechner läuft eine
> abgespeckte SuSE Linux 7.0-Distribution.

Also Kernel 2.2.16. Warum nicht mindestens 2.2.18?

Wenn man beim Masquerading nicht aufpaßt, werden alle ankommenden Pakete maskiert. D.h. die Pakete kommen wohl bei SAP an, aber das weiß nicht, wohin es sie zurücksenden soll.

Abhilfe: nur das ausgehende Interface maskieren. Das schafft man mit der Option "-i Interfacename" von ipchains.

Gruß,
hjb

[stephan]

Hi hjb !

Danke für deine schnelle Antwort. Die Regel fürs masq. sieht wie folgt aus :

ipchains -A forward -i $EXTERNAL_INTERFACE -s $LAN_NET -j MASQ

Bezieht sich also nur auf das externe Interface.

Greetz ... Stephan !

[Stormbringer]

Hi,
hatte ein stark ähnliche Problem beim Routing zu SAP Systemen über andere Netzwerke (FrameRelay).
Habe vergessen, die 3000er Ports freizugeben (sapdpXX's, sapgwXX's, sapmsPPC)... vielleicht hast Du selbiges getan?
Oder bin ich der einzige??? <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">

Gruß