Am Montag, 21. M�rz 2005 17:40 schrieb Reinhold Fischer:
> Hi!
>
> Am Donnerstag, 3. M�rz 2005 18:31 schrieb Richard Mittendorfer:
> > Also sprach Reinhold Fischer <[EMAIL PROTECTED]> (Thu, 3 Mar 2005
> >
> > 16:38:07 +0100):
> > > Hi!
> >
> > hi.
>
> Danke f�r eure Hilfe, leider besteht das Problem immer noch.
>
> Ich versuche nochmals zu erkl�ren, was ich eigentlich will.
>
> Ich habe 2 Server (debian, suse), die 2 Netzwerkkarten haben.
> �ber das eine Adresse soll ich die Server direkt erreichen, wenn ich
> im selben Netzwerk bin, �ber die andere Adresse soll ich die Server
> indirekt �ber die Firewall erreichen.
> Bei "suse" funktioniert das, bei "debian" nicht.
Ich nehme noch mal deine Zeichung aus der ersten Mail (leicht
abgewandelt)
10.x.y.z-Netz ,------[firewall]------, 195.x.y.z-Netz (�ffentlich)
| |
[client1]-------+--[debian || debian]--+-----[client2]
| | \
`----[SuSE || SuSE]----' \
|
Ist das hier ein Switch oder
h�ngen alle Rechner auf der
rechten Seite nur irgendwie
mit am Internet (evtl. weitere
Router dazwischen)?
Der Debian- und der SuSE-Server h�ngen sowohl im LAN (10.x.y.z) als auch
im �ffentlichen Netz (195.x.y.z), routen aber nicht (IP-Forwarding aus,
Bridging aus (!)). Erst durch die Firewall (3. Rechner in beiden
Netzen) werden beide Netze miteinander verbunden.
Von client1 kommst du �ber die Firewall auf die SuSE, aber nicht auf den
Debian.
Hab ich das so richtig verstanden?
> Ich vermute, warum es bei "debian" nicht funktioniert ist, das beim
> Verbindungsaufbau �ber die Firewall das Antwortpaket dann nicht
> wieder zur�ck �ber die Firewall gesendet wird, sondern direkt �ber
> das andere Interface und daher nie eine TCP/IP-Session aufgebaut
> werden kann.
Die Wegewahl ist f�r eine IP-Verbindung egal. Hin- und R�ckweg wie auch
verschiedene Pakete in die gleiche Richtung k�nnen �ber verschiedene
Wege laufen, ohne dass es die Kommunikation st�rt. Das ist ja das tolle
am IP-Protokoll.
> Kann ich irgend wo im Kernel festlegen, wenn ein Paket �ber ein
> Interface hereinkommt, dann soll die Antwort auch �ber dieses
> Interface hinausgehen?
Routing-Tabelle. Das Antwortpaket geht immer an die Absenderadresse
zur�ck, und wo das dann rausgeht entscheidet das Routing.
Um von client1 �ber die Firewall mit der 195.er Seite des Debain (oder
der SuSE) zu kommunizieren gibt es zwei M�glichkeiten:
1. Die Firewall NATet, die Pakete kommen also f�r den Debian von der
Firewall und er schickt sie dahin zur�ck.
oder
2. Auf dem Debian ist f�r das 10er-Netz eine Route �ber die Firewall
eingerichtet und die direkte Route �ber die andere Netzwerkkarte wird
deaktiviert.
In allen anderen F�llen wird ein Paket an den 195er Debian-NIC aufgrund
der Defaultroute im 10er Netz �ber die Firewall geleitet. Ohne
Source-NAT bleibt die Absender-IP aber erhalten und eine Antwort geht
an eine 10er-IP-Adresse (client1) und damit direkt �ber den 10er
Debian-NIC. Auch das sollte problemlos funktionieren.
Was bei dir wirklich l�uft, kannst du am besten mit einem Sniffer
nachvollziehen (es reicht schon iptraf auf der Firewall und/oder auf
dem Debian).
Wenn es bei der SuSE-funktioniert und beim Debian nicht, dann liegt es:
- an der Firewall (die sperrt entweder alles oder zumindest den Verkehr
zum Debian) oder
- daran, dass zwischen Firewall und 195er Debian-NIC noch weitere Router
existieren, die ein 10er IP-Paket nicht routen (Internet)
Die Suse scheint dann aber trotzdem eine interne Verbindung zwischen
10er und 195er NIC herzustellen, weshalb du auch �ber die 195er NIC
drauf zugreifen kannst.
Zieh doch mal das Kabel an dem 195er NIC der SuSE ab - kommst du dann
von client1 immer noch �ber die 195er IP drauf?
Wenn ja, routet die SuSE selbst.
Debian macht das nat�rlich nicht - so, wie es sich geh�rt ;-)
--
Gru�
����������������MaxX
Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
F�r PM bitte den Empf�nger gegen den Namen in der Sig tauschen.
