|
|
Besucher 1260498
Ansichten 1446
Online 0 |
|
|
Bridged Network über Masquerading funktioniert nicht
| |
| Thema |
Verfasser |
Letzte Antwort |
| Bridged Network über Masquerading funktioniert nicht |
cgarling ( ---.dip.t-dialin.net) |
2 Sep 2010 08:27 | Guten Abend zusammen,
auf unserer neuen Firewall stellt sich folgendes Problem dar:
Das System ist ein Linux Server mit CentOS 5.5 64 Bit, Shorewall und StrongSWAN. Auf dem Server sollen ebenfalls virtuelle Maschinen unter KVM laufen, die eine eigene IP im DMZ Bereich erhalten sollen.
Um das zu realisieren habe ich das Netzwerk-Interface der DMZ (eth4) mit dem KVM Netzwerk gebridged (br0). Greife ich aus dem LAN (eth2) per SSH auf die VM in der DMZ zu, klappt das problemlos. Testweise habe ich Zugriff von der DMZ zum LAN gewährt, auch der klappt. Sobald ich aber von der VM aufs Internet zugreifen will, scheitert das.
Ich habe mit tcpdump auf dem Firewall System gesehen, das die Pakete von der VM dort richtig ankommen und dann maskiert die FW verlassen, auf dem Zielsystem kommen die Pakete richtig an, gehen zurück zur FW und werden dort wieder auf die lokale IP laut NAT-Tabelle umgesetzt. Hier ist dann auch Schluß, obwohl die Route über br0 zur VM steht "versickert" das Paket vorher. Gucke ich mit tcpdump nur auf br0 sehe ich kein Antwortpaket. Es kommt also bis zur FW zurück und "verpufft". Getestet habe ich es mit ping.
Ich weiss mir keinen Rat mehr, habe bereits mehrere Stunden gesucht und diverse Shorewall Optionen duchprobiert. Es will nicht klappen. Wäre sehr nett wenn mir da jemand hilft.
Auf den Punkt gebracht scheinen also maskierte Verbindungen zum Internet die von der Bridge br0 stammen nicht sauber zurückgeroutet / genattet werden.
Viele Grüße, Christian Garling |
| ||
| RE: Bridged Network über Masquerading funktioniert nicht | Ralf ( ---.versanet.de) | 31 Aug 2010 17:48 |
Hallo,
ich denke, ich brauche ein paar mehr Daten: verwendete IP-Adressen, Firewallregeln, etc.
Gruß,
Ralf
| | RE: RE: Bridged Network über Masquerading funktioniert nicht | cgarling ( ---.dip0.t-ipconnect.de) | 2 Sep 2010 08:27 |
Hallo Ralf,
das Problem ist gefunden. Nach dem ersten Schluck Kaffee gestern morgen ist mir aufgefallen, dass ich vergessen habe das Bridge Interface in die "Copy" Spalte der "providers" Tabelle der Shorewall einzutragen. Jetzt klappts.
Trotzdem Danke für die schnelle Reaktion.
Gruß, Christian Garling |
[ Zurück ] Um ein neues Thema hinzu zu fügen müssen sie eingeloggt sein.
|
|
|
|
Welche Distribution verwenden Sie?
| |
|
|
|
17 Oct 2008: