Hallo,
Ich habe Suse-Linux 9.0 u.a. als Router im Einsatz.
Darauf läuft auch die Suse-Firewall2.
Nun habe ich vor kurzem auch die Variable FW_MASQ_NETS eingesetzt um den Clients ausgehenden Traffic nur zu bestimmten Ports und Protokollen zu erlauben.
Soweit funktioniert das auch alles bis auf eine Ausnahme, nämlich ICMP da dieses Protokoll von der Variable FW_MASQ_NETS nicht akzeptiert wird.
Ich möchte meinen Clients ermöglichen externe IP's zu pingen sowie auch zu tracerouten.
Sämtliche Einstellungen die das eventuell ermöglichen habe ich ohne Erfolg getestet da FW_MASQ_NETS anscheinend alle Einstellungen überlagert.
bereits ohne Erfolg getestete Einstellungen:
FW_SERVICES_INT_IP="icmp"
FW_TRUSTED_NETS="xxx.xxx.xxx.xxx/24,icmp"
FW_ALLOW_PING_EXT="yes" (blendete nur das Blocken von ICMP vom Client in den Log-Files aus)
Wenn ich FW_MASQ_NETS wieder auf "0/0" setze ist Ping und Traceroute vom Client aus möglich. Aber anscheinend auch NUR dann. Aber dann wäre damit ja auch wieder das Ausgehende Blockieren deaktiviert.
Gibt es eine Möglichkeit beides zu realisieren? Also FW_MASQ_NETS anzuwenden und trotzdem ICMP vom Client zu ermöglichen?
MfG Phat
Ich habe Suse-Linux 9.0 u.a. als Router im Einsatz.
Darauf läuft auch die Suse-Firewall2.
Nun habe ich vor kurzem auch die Variable FW_MASQ_NETS eingesetzt um den Clients ausgehenden Traffic nur zu bestimmten Ports und Protokollen zu erlauben.
Soweit funktioniert das auch alles bis auf eine Ausnahme, nämlich ICMP da dieses Protokoll von der Variable FW_MASQ_NETS nicht akzeptiert wird.
Ich möchte meinen Clients ermöglichen externe IP's zu pingen sowie auch zu tracerouten.
Sämtliche Einstellungen die das eventuell ermöglichen habe ich ohne Erfolg getestet da FW_MASQ_NETS anscheinend alle Einstellungen überlagert.
bereits ohne Erfolg getestete Einstellungen:
FW_SERVICES_INT_IP="icmp"
FW_TRUSTED_NETS="xxx.xxx.xxx.xxx/24,icmp"
FW_ALLOW_PING_EXT="yes" (blendete nur das Blocken von ICMP vom Client in den Log-Files aus)
Wenn ich FW_MASQ_NETS wieder auf "0/0" setze ist Ping und Traceroute vom Client aus möglich. Aber anscheinend auch NUR dann. Aber dann wäre damit ja auch wieder das Ausgehende Blockieren deaktiviert.
Gibt es eine Möglichkeit beides zu realisieren? Also FW_MASQ_NETS anzuwenden und trotzdem ICMP vom Client zu ermöglichen?
MfG Phat