Am Montag, 21. März 2005 17:40 schrieb Reinhold Fischer: > Hi! > > Am Donnerstag, 3. März 2005 18:31 schrieb Richard Mittendorfer: > > Also sprach Reinhold Fischer <[EMAIL PROTECTED]> (Thu, 3 Mar 2005 > > > > 16:38:07 +0100): > > > Hi! > > > > hi. > > Danke für eure Hilfe, leider besteht das Problem immer noch. > > Ich versuche nochmals zu erklären, was ich eigentlich will. > > Ich habe 2 Server (debian, suse), die 2 Netzwerkkarten haben. > Über das eine Adresse soll ich die Server direkt erreichen, wenn ich > im selben Netzwerk bin, über die andere Adresse soll ich die Server > indirekt über die Firewall erreichen. > Bei "suse" funktioniert das, bei "debian" nicht.
Ich nehme noch mal deine Zeichung aus der ersten Mail (leicht abgewandelt) 10.x.y.z-Netz ,------[firewall]------, 195.x.y.z-Netz (öffentlich) | | [client1]-------+--[debian || debian]--+-----[client2] | | \ `----[SuSE || SuSE]----' \ | Ist das hier ein Switch oder hängen alle Rechner auf der rechten Seite nur irgendwie mit am Internet (evtl. weitere Router dazwischen)? Der Debian- und der SuSE-Server hängen sowohl im LAN (10.x.y.z) als auch im öffentlichen Netz (195.x.y.z), routen aber nicht (IP-Forwarding aus, Bridging aus (!)). Erst durch die Firewall (3. Rechner in beiden Netzen) werden beide Netze miteinander verbunden. Von client1 kommst du über die Firewall auf die SuSE, aber nicht auf den Debian. Hab ich das so richtig verstanden? > Ich vermute, warum es bei "debian" nicht funktioniert ist, das beim > Verbindungsaufbau über die Firewall das Antwortpaket dann nicht > wieder zurück über die Firewall gesendet wird, sondern direkt über > das andere Interface und daher nie eine TCP/IP-Session aufgebaut > werden kann. Die Wegewahl ist für eine IP-Verbindung egal. Hin- und Rückweg wie auch verschiedene Pakete in die gleiche Richtung können über verschiedene Wege laufen, ohne dass es die Kommunikation stört. Das ist ja das tolle am IP-Protokoll. > Kann ich irgend wo im Kernel festlegen, wenn ein Paket über ein > Interface hereinkommt, dann soll die Antwort auch über dieses > Interface hinausgehen? Routing-Tabelle. Das Antwortpaket geht immer an die Absenderadresse zurück, und wo das dann rausgeht entscheidet das Routing. Um von client1 über die Firewall mit der 195.er Seite des Debain (oder der SuSE) zu kommunizieren gibt es zwei Möglichkeiten: 1. Die Firewall NATet, die Pakete kommen also für den Debian von der Firewall und er schickt sie dahin zurück. oder 2. Auf dem Debian ist für das 10er-Netz eine Route über die Firewall eingerichtet und die direkte Route über die andere Netzwerkkarte wird deaktiviert. In allen anderen Fällen wird ein Paket an den 195er Debian-NIC aufgrund der Defaultroute im 10er Netz über die Firewall geleitet. Ohne Source-NAT bleibt die Absender-IP aber erhalten und eine Antwort geht an eine 10er-IP-Adresse (client1) und damit direkt über den 10er Debian-NIC. Auch das sollte problemlos funktionieren. Was bei dir wirklich läuft, kannst du am besten mit einem Sniffer nachvollziehen (es reicht schon iptraf auf der Firewall und/oder auf dem Debian). Wenn es bei der SuSE-funktioniert und beim Debian nicht, dann liegt es: - an der Firewall (die sperrt entweder alles oder zumindest den Verkehr zum Debian) oder - daran, dass zwischen Firewall und 195er Debian-NIC noch weitere Router existieren, die ein 10er IP-Paket nicht routen (Internet) Die Suse scheint dann aber trotzdem eine interne Verbindung zwischen 10er und 195er NIC herzustellen, weshalb du auch über die 195er NIC drauf zugreifen kannst. Zieh doch mal das Kabel an dem 195er NIC der SuSE ab - kommst du dann von client1 immer noch über die 195er IP drauf? Wenn ja, routet die SuSE selbst. Debian macht das natürlich nicht - so, wie es sich gehört ;-) -- Gruß MaxX Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen. Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.