linux-l: Routing Problem (?)

Matthias Kraft matzek at yahoo.com
Mo Sep 27 14:39:21 CEST 1999


Hi!

Bin gerade dabei eine etwas seltsame Firewall Konstruktion
fuer eine Firma zusammenzuschustern. Prinzip:

| Internet |
------------
     |
  Router  - div. Server ausserhalb der Firewall
     |
  Firewall
     |
<lokales Netz>

Der Router hat x.x.252.1 als IP. Die div. Server neben der Firewall
haben irgendwas zwischen 252.2 und 252.63 als IP und die Firewall
hat Routerseitig 252.60 als ihre eigene Addresse und 252.45, 252.46
und 252.10 als Aliases. Lokale IP ist 192.168.42.1.
Die Chains sind so konfiguriert, dass sie bestimmte Dienste von
drinnen nach draussen connecten lassen und die Antworten durchlassen.
Von draussen nach drinnen kann ueber die 252.60 nichts connecten.
 
Bis hierhin funktioniert auch alles.

Jetzt sollen aber auf den drei Aliases die Ports 22,80,443
geforwarded
werden. Meine ipchains-konfig sieht dabei fuer den port 22 auf der
252.10 so aus (alle anderen Ports ebenso):

# ip alias setzen
ifconfig eth0:0 x.x.252.10 broadcast x.x.252.63 netmask 255.255.255.0
up
route add -host x.x.252.10 dev eth0:0

# port forwarding schalten
ipmasqadm portfw -a -P tcp -L x.x.252.10 22 -R 192.168.42.10 22

# ipchains config connect extern -> intern
ipchains -A input -p tcp --sport 1000:1023 -d x.x.252.10 22 -i eth0+
-j ACCEPT
ipchains -A output -p tcp --sport 1000:1023 -d 192.168.42.10 22 -i
eth1 -j ACCEPT
# ipchains config antwort intern -> extern
ipchains -A input -p tcp -s 192.168.42.10 22 --dport 1000:1023 -i
eth1 -j ACCEPT ! -y
ipchains -A forward -p tcp -s 192.168.42.10 22 --dport 1000:1023 -i
eth0+ -j MASQ ! -y
ipchains -A output -p tcp -s x.x.252.10 22 --dport 1000:1023 -i eth0+
-j ACCEPT ! -y

Sooo ... wenn ich nun versuche von einem der Server, die vor der
Firewall und diesseits des Routers stehen, einen SSH Connect durch
die Firewall zur 252.10 aufzubauen, funtioniert das wunnerbah!
Wenn ich aber versuche von jenseits des Routers auf die 252.10
per ssh zuzugreifen kommt das nicht an.
Ich habe dann die Netzwerkkarte in den Promi-Modus gesetzt und mir
per
tcpdump angesehen, ob die Pakete im Netz ankommen und - surprise,
surprise - sie sind da?! Nur irgendwie fuehlt sich der Rechner
nicht so richtig zustaendig und nimmt die Pakete nicht an?!

Any Ideas?


=====
...regards Matthias Kraft *
  * * * * * * * * * * * *
* EMail: matzeK at yahoo.com

__________________________________________________
Do You Yahoo!?
Bid and sell for free at http://auctions.yahoo.com



Mehr Informationen über die Mailingliste linux-l