folgendes Prob.
Zwei SuSEfirewall2 hintereinander, dazwischen quasi eine DMZ. Die FW, welche ins WEB zeigt, macht masquerading. Bei der zweiten FW ist das Masquerading ausgeschaltet, sie soll nur routen und strenger filtern als die erste. Von der DMZ und der zweiten FW aus läuft alles prima. Hinter der zweiten FW jedoch kann ich nicht ins WEB pingen. Bei dieser ist als default gateway die erste FW eingetragen. ich denke, ich muss irgendwie eine statische Route eintragen, damit die Pakete vom Web wieder zurück hinter die 2.FW gelangen. Muss ich diese bei der ersten oder zweiten FW eintragen?
2 Firewalls hintereinander
-
raudi
Re: 2 Firewalls hintereinander
Die Rechner im äußeren Netz (DMZ), also auch Deine innere FW, kennen anscheinend äußere FW als default-gw. Ich denke, da fehlt eine route von aüßerer FW in das innere Netz (mit innerer FW als gw).
Bei weiteren Fragen gib bitte Deine Netzadressen.
Bei weiteren Fragen gib bitte Deine Netzadressen.
-
cico
Re: 2 Firewalls hintereinander
Ich vermute was in die Richtung...problem: Ich kann nicht lange herumprobieren, das Netzwerk ist 24h/Tag in Betrieb.
Folgende Konfig:
Firewall 1 (FW1) hat 3 Interfaces :
eine zum WWW, eine DMZ 1 und eine DMZ 2, welche auch zur 2.FW geht. In der DMZ 1 sind die www,mail,dns,ftp,...server.
In der DMZ 2 sind ein Paar Rechner, welche gemappte Ports und IP's haben, deshabl die zwei Zonen.
Die FW2 hat 2 NIC's (1HE-Server) wovon die erste eben in die DMZ 2 zeigt, und die zweite bedient die 2 Internen LAN's mit einem Alias (eth 1 und eth 1:1).
Folgende IP Konfiguration:
oooooooooooooooooooooooooooooooooooooooooooooo________ LAN1 192.168.115.0/24
ooooooooooooooooooooooooooooooo192.168.1.0/24oooo¦
oooooooooooooooooWWW------FW1------------------------FW2
ooooooooooooooooooooooooooo¦ooooooooo¦ooooooooo¦________ LAN2 10.60.30.0/16
ooooooooooooooooooooooooooo¦ooooooooo¦
oooooooooooooooooooooooooDMZ1oooooDMZ2
ooooooooooooooooooooo192.168.10.0/24
Die o's sind nur Platzhalter, einfach wegdenken !(mir ist nichts gescheiteres eingefallen zum kurz zeichnen)
Die Clients im LAN1 und 2 haben die FW2 bzw. die jeweilige IP des Interfaces, als defaulr Router eingetragen.
Die FW2 selbst hat den default auf FW1. Wie gesagt, ich komme von der FW2 ins WEB, aber won den Clients dahinter nicht.
habe die FW2 mal aufgemacht, an den Rules liegts nicht, eher am Routing für den Rückweg.
Muss ich 2 Statische Routes in der FW1 setzen ???
etwa so:
192.168.115.0/24 ( via GW: ) 192.168.1.1 (und IF:) eth2
10.60.30.0/16 ( via GW ) 192.168.1.1 ( und IF: ) eth2
Sehe ich das Richtig ??? oder brauchts das gar nicht, und es liegt an was anderem ??
Folgende Konfig:
Firewall 1 (FW1) hat 3 Interfaces :
eine zum WWW, eine DMZ 1 und eine DMZ 2, welche auch zur 2.FW geht. In der DMZ 1 sind die www,mail,dns,ftp,...server.
In der DMZ 2 sind ein Paar Rechner, welche gemappte Ports und IP's haben, deshabl die zwei Zonen.
Die FW2 hat 2 NIC's (1HE-Server) wovon die erste eben in die DMZ 2 zeigt, und die zweite bedient die 2 Internen LAN's mit einem Alias (eth 1 und eth 1:1).
Folgende IP Konfiguration:
oooooooooooooooooooooooooooooooooooooooooooooo________ LAN1 192.168.115.0/24
ooooooooooooooooooooooooooooooo192.168.1.0/24oooo¦
oooooooooooooooooWWW------FW1------------------------FW2
ooooooooooooooooooooooooooo¦ooooooooo¦ooooooooo¦________ LAN2 10.60.30.0/16
ooooooooooooooooooooooooooo¦ooooooooo¦
oooooooooooooooooooooooooDMZ1oooooDMZ2
ooooooooooooooooooooo192.168.10.0/24
Die o's sind nur Platzhalter, einfach wegdenken !(mir ist nichts gescheiteres eingefallen zum kurz zeichnen)
Die Clients im LAN1 und 2 haben die FW2 bzw. die jeweilige IP des Interfaces, als defaulr Router eingetragen.
Die FW2 selbst hat den default auf FW1. Wie gesagt, ich komme von der FW2 ins WEB, aber won den Clients dahinter nicht.
habe die FW2 mal aufgemacht, an den Rules liegts nicht, eher am Routing für den Rückweg.
Muss ich 2 Statische Routes in der FW1 setzen ???
etwa so:
192.168.115.0/24 ( via GW: ) 192.168.1.1 (und IF:) eth2
10.60.30.0/16 ( via GW ) 192.168.1.1 ( und IF: ) eth2
Sehe ich das Richtig ??? oder brauchts das gar nicht, und es liegt an was anderem ??
-
raudi
Re: 2 Firewalls hintereinander
Das scheint, was ich meine. FW1 weiß ja (noch) nichts von LAN1/2 und da auf FW2 kein Masquerading erfolgt, muß FW1 ja Packete aus LAN1/2 wieder dort hin zurückschicken können.
route add -net 192.168.115.0/24 gw FW2DMZ2
route add -net 10.60.30.0/16 gw FW2DMZ2
auf FW1 sollte dem abhelfen.
So, erstmal route->Koje.
route add -net 192.168.115.0/24 gw FW2DMZ2
route add -net 10.60.30.0/16 gw FW2DMZ2
auf FW1 sollte dem abhelfen.
So, erstmal route->Koje.