ICMP Redirect und SSH

[Markus Wigge]

Tag,

> ...dann solltest Du Dir überlegen, ob Du offentlich nach Hilfe fragen
> möchtest, oder nicht doch jemanden einladen magst, der Dir für 150DM/h
> auch Verschwiegenheit zusichert.

Die Kritik ist mit Sicherheit berechtigt, doch haben mir auch die wagen 
Hinweise schon weitergeholfen und mich zu der Überzeugung gebracht das 
das Problem bei der Firewall zu suchen ist. Damit erübrigen sich weitere 
Untersuchungen des Traffics erstmal ;-)

ein "ipchains -M -L" gibt mir eine Liste der zur Zeit maskierten 
Verbindungen aus und darin tauchen auch Verbindungen zwischen meinen 
beiden IP-Netzen auf die nicht maskiert werden sollten...

D.h. ein Verbindungsaufbau geht über den Router, wird maskiert an das 
entsprechende Ziel gesendet und gleichzeitig wird aber auch ein ICMP 
Redirect versendet wodurch alle weiteren Pakte direkt ankommen und nicht 
mehr maskiert werden. Das führt dann wohl zu diversen Problemen z.B. 
auch dazu das NFS gar nicht geht wenn ich die Redirects ausschalte, denn 
die maskierte Adresse ist nicht berechtigt NFS-Laufwerke zu mounten.

Andersherum habe ich keine Probleme mehr wenn ich das Masquerading 
abschalte.

Wer kann mir denn jetzt genau an diesem Punkt sagen wie eine 
entsprechende ipchains-Konfiguration aussehen muß, das 2 Netze sich 
direkt unterhalten können, jedes einzelne nach außen aber maskiert wird?

Die Benutzte Konfiguration scheint diese Aufgabe jedenfalls nicht zu 
bewerkstelligen:
Chain forward (policy DENY):
target     prot opt     source                destination           ports
ACCEPT     all  ------  192.168.3.0/24       194.168.2.0/24        n/a
ACCEPT     all  ------  194.168.2.0/24       192.168.3.0/24        n/a
MASQ       all  ------  192.168.2.0/24       0.0.0.0/0             n/a
MASQ       all  ------  192.168.3.0/24       0.0.0.0/0             n/a

bye
   Markus