[linux-l] SuSE-Firewall2, IP-Tables, Masquerading, wie geht es wieder zurück ins LAN?

Elmer Stöwer Stoewer at CyberConsult.de
Fr Jul 11 18:09:06 CEST 2003 

Liebe Liste,

Das ist vielleicht etwas OT, aber hier lesen bestimmt Leute mit, die
sich mit dem Zeug auskennen.
Ich kann über die Firewall aus dem LAN nicht über Forwarding 
auf einen Webserver im LAN zugreifen.
Wenn das ein IP-Table spezifisches Problem ist, wäre ich auch hier 
für einen Tipp dankbar. Vermute, dass ist eine Standardgeschichte, hab 
aber bei google nicht so richtig was gefunden.

Folgendes Phänomen:
-------------------
- Der LAN-Rechner kann über Port 80 ins Internet, 
- Von außen funktioniert der Zugriff auf den internen Webserver über
die öffentliche IP 212.x.y.z der Firewall. 
Problem:
- Der LAN-Rechner kann _nicht_ über die öffentliche IP 212.x.y.z der
Firewall auf den Webserver zugreifen.

Hab hier Folgendes:
----------------------
Eine SuSE-Firewall (SuSE 8.2, 2.4.20-4GB-SMP) soll DMZ, LAN und WAN
trennen, das LAN ins WAN maskieren und Mails (Postfix) ins LAN relayen.
Einen Proxy setze ich nicht ein. Im LAN steht ein Webserver mit einer
LAN-IP, der nach draußen sichtbar sein soll.

Konfiguration:
--------------
- LAN-Rechner (windoof) hat Firewall als Standard-Gateway eingetragen,
- Webserver hat Firewall als Standard-Gateway.

Firewall hat drei Netzwerkkarten.
WAN-Adapter: 212.x.y.z:255.255.255.240
LAN-Adapter: 192.168.100.u:255.255.255.0
DMZ-Adapter: 192.168.110.v:255.255.255.0

relevante Einträge (m.e.) aus /etc/sysconfig/SuSE-Firewall2:
FW_DEV_EXT="eth1"
FW_DEV_INT="eth0"
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="192.168.100.0/24"
FW_PROTECT_FROM_INTERNAL="yes"
FW_FORWARD_MASQ="0/0,192.168.100.34,tcp,80"
(versucht hab ich auch 
FW_FORWARD_MASQ="192.168.100.0/24,212.x.y.z,tcp,80 0/0,192.168.100.web,tcp,80")

log:
----
Jul 11 18:22:42 rechnername kernel: SuSE-FW-ACCESS_DENIED_INT IN=eth0 OUT=
MAC=bla:bla:bla:bla... SRC=192.168.100.xy DST=212.x.y.z
LEN=48 TOS=0x08 PREC=0x00 TTL=128 ID=54784 DF PROTO=TCP SPT=1770 DPT=80
WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405B401010402) 

Any hints?

Unendlich dankbar wäre

Elmer

P. S.
Bitte:
------
Nicht flamen, dass ich SuSE und die SuSE-Firewall benutze und dass diese Mail
mit Ausguck geschrieben wurde. Das ein Webserver eigentlich nichts im LAN zu
zu suchen hat, ist mir eigentlich auch klar. Es gibt Gründe dafür und die möchte
ich gerade ungern ausdiskutieren. Die meisten haben ja ein Kill-File oder
können diese Mail ignorieren, wenn es ihnen so gar nicht passt.

Mehr Informationen über die Mailingliste linux-l