• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

OpenSuse 10.2 und Firewall

M

markus_herbert

Ich verwende einen Server mit OpenSuse 10.2 als Gateway zwischen Internet und Intranet. Der Server hat zwei Netzwerkkarten. TCP/IP forwarding ist disabled. Zugang von Intranet zum Internet über Postfix (Mail-Gateway) und Squid als proxy.

Meine Frage bezüglich der SuSEFirewall2 (konfiguriert über /etc/sysconfig/SuSEFirewall2): Ist es möglich, ohne den komplizierten Weg über IPtables zu gehen, zum Beispiel den SMTP Incoming traffic auf zwei bestimmte IP Adressen (des Mail Providers) einzuschränken?
 
framp

framp

Moderator
Teammitglied
Lies mal die Kommentare zu FW_FORWARD_MASQ in /etc/sysconfig/SuSEfirewall2
 
OP
M

markus_herbert

Danke für den Tipp, ich habe aber noch ein Problem:

Mal angenommen, die Adresse der internen NIC lautet 192.168.0.2
und die der externen NIC 80.123.123.1.

Der E-Mail Provider schickt nur über die beiden Adressen
80.111.111.1 und 180.180.180.2 E-Mails via SMTP an mich.
FW_ROUTE=NO
FW_SERVICES_EXT_TCP="smtp http https"
FW_SERVICES_EXT_UDP="domain ntp"

FW_FORWARD="80.111.111.1,80.123.123.1,smtp,23"

Wie bringe ich die zweite Adresse des E-Mail Providers unter (liegt leider nicht im gleichen Netzwerk Segment)?
Der Beschreibung nach ist FS_FORWARD_MASQ für intern gedacht.
Werden dann nur noch eingehende SMTP Pakete von den beiden Adressen des E-Mail Providers angenommen und alle anderen zurückgewiesen?
 
framp

framp

Moderator
Teammitglied
Code: 
# Format: space separated list of
#    <source network>,<ip to forward to>,<protocol>,<port>[,redirect port,[destination ip]]

Ergo sollte es mit

Code: 
FW_FORWARD="80.111.111.1,80.123.123.1,smtp,23 180.180.180.2,80.123.123.1,smtp,23"

funktionieren.

Den Kommentar
Code: 
# Please note that this should *not* be used for security reasons!
# You are opening a hole to your precious internal network. If e.g.
# the webserver there is compromised - your full internal network is
# compromised!

hast Du Dir sicherlich zu Herzen genommen :wink:
 
OP
M

markus_herbert

Ich habe folgendes probiert:

FW_ROUTE="yes"
FW_FORWARD="80.111.111.1,80.123.123.1,tcp,23 180.180.180.2,80.123.123.1,tcp,23"
FW_SERVICES_EXT_TCP="domain http https"

und anschließend mit rcSuSEfirewall2 stop / start die Firewall neu gestartet.

Ab diesem Zeitpunkt konnte ich mit telnet 80.123.123.1 smtp vom Internet keinen Kontakt zu Postfix herstellen, nur noch vom Provider aus.

Zu der Warnmeldung wegen FW_ROUTE="yes": Heisst das jetzt, dass Routing jetzt prinzipiell eingeschaltet ist, oder nur für die in FW_FORWARD angegebenen Wege?

Danke schon mal für die Hilfe.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben