<< | Thread Index | >> ]    [ << | Date Index | >> ]

Subject: [Fwd: Cipe and Firewalling by SuSE6.4]
From: Manuela Guandalini <guandam,AT,gcs-mbh,DOT,de>
Date: Wed, 13 Dec 2000 13:45:53 +0100





To: 

schultheiss,AT,steinbeis-europa,DOT,de


Subject: 

Re: Cipe and Firewalling by SuSE6.4


From: 

Manuela Guandalini <guandam,AT,gcs-mbh,DOT,de>


Date: 

Wed, 13 Dec 2000 13:09:18 +0100


References: 

<3A2D255F.1A6B449C,AT,gcs-mbh,DOT,de> 
<3A2D3873.19203C67,AT,discus,DOT,wh,DOT,uni-stuttgart,DOT,de> 
<3A360A41.EF9F8A9B,AT,gcs-mbh,DOT,de> 
<3A364E89.62D4F3D7,AT,discus,DOT,wh,DOT,uni-stuttgart,DOT,de>




Sven Schultheiß wrote:

> Hi, Manu!
>
> Manuela Guandalini wrote:
> >
> > Sven Schultheiß wrote:
> >
> > > Hi, Manu!
> > >
> > > Try this:
> > > FW_DEV_WORLD="eth1 ..."   where ... means your other devices that point
> > > to the Internet.
> > > FW_DEV_INT="cipcb0 ..."   where ... means your other devices that point
> > > to your internal networks or your other cipe  devices
> > >
> > > I think this will work but I didn't test it.
> >
> > Sorry, it won't change anything. The only thing I can do with this new 
>firewall is
> > through
> > FW_DEV_WORLD="eth1 cipcb......"
> > FW_MASQ_DEV="$FW_DEV_WORLD"
> > FW_MASQ_NETS="my_ip_net peer_ip_net"
> >
>
> Does this mean, that it doesn't work, or don't you have the FW_DEV_INT
> option?
>

LOL. Sure it has!! Ich habe die von Dir angegebene Einstellungen vorgenommen, 
doch
FW_DEV_INT="eth0 cipcb1" wirkte einfach garnicht. Alles vom alten, die peers 
sehen
sich, die internen Netze bleiben versteckt.

Tcpdump zeigt, dass die Pings aus eine interne machine auf der peerserver 
ankommen, sie
werden sogar mit der richtige Adresse verstanden. Leider werden sie nicht
weitergeleitet an die machine der inernen netz. E.g.
Seien meine peers A.1 und B.1

ping B.1->A.1
alles klar

ping B.1->A.11
wird in A.1 gesehen, echo request von B.1 an A.11 (sogar mit name resolution) 
auf der
cipcb1, no reply da, aber
schon eth0 sieht diesem Verkehr nicht mehr und A.11 bekommt kein ping aus B.1
in B.1 ich kann die request von B.1 an A.11 gesehen werden. No reply da.

>
>
> Hm, when both peers see each other, but the subnets dont, check
> /var/log/messages if your firewall blocks some packets.
>

/var/log/firewall gibt:
... packet log: input DENY cipcb1 PROTO=1 B.1:8 A.11:0 L=84........(#222)

Falsche Port? Ich habe mehrere probiert, und bin jetzt bei 5002 angelangt, 
der in
services unter der name von rfe antwortet, und sonst nie von uns benutzt wird.

> Just for santinity, you have set the correct routes through the cipe
> devices?

jap. alles paletti.
B.1    0.0.0.0 255.255.255.255 UH 0 0 0 cipcb1
B.0    B.1      255.255.255.0     UG 0 0 0  cipcb1

Auf der andere Seite auch ok.

>
> Also, check if IP forwarding is activatet (cat
> /proc/sys/net/ipv4/ip_forward should return 1).
>

alles aktiv.

>
> If all of the above doesn't help insert ipchains rules in your input,
> forward and output chains that log everything, and look if the packets
> go through the correct interfaces.
>

Du bist ja witzig!!!! Davon habe ich ueberhaupt keine Ahnung!
:]
Wer weiss, vielleicht gibt es eine ganz einfache Regel, aber die kenne ich 
nicht.
Die Regelliste habe ich mir schon mehrmal angeschaut und scheint genau die 
richtige
einstellungen zu haben, wenigstens die selben die cipcb0 hat (mit cipcb0 kann 
ich vom
ganzen Anet auf dem ganzen C netz pingen, aber nicht umgekehrt)
Irgendwo hattest Du (oder wer?) auch gefragt, was mit der firewall runter 
passiert. Das
kann ich leider nur ganz kurz probieren, weil ich damit die ganzen 
Kommunikation lahm
lege, was den anderen nicht gelegen kommt. Also, was ich in der kurze Zeit 
sehen konnte
war, dass die peers B1 und A1 sich anpingen koennen,  und die interne netze 
sind immer
noch versteckt. :((

Ein hoffnugsloser Fall?

Ich geb' nicht auf.
Gruesse und vielen Dank fuer die schnelle Antworte, ich freue mich auf neuen.

Ciao.
Manu.





<< | Thread Index | >> ]    [ << | Date Index | >> ]