Solaris11 und komplexe Netzwerke: kein Routing

Ich habe einen Server mit Solaris11.4, zwei Netzwerkkarten, die ich zum Testen, Lernen usw. verwende. Ich habe ein Netzwerk, die klassische 192.168.0.0/24. Aber für virtuelle Maschinen möchte ich ein anderes Netzwerk 10.2.0.0/24 verwenden Ich folge dieser Prozedur

a) Zuerst habe ich eine Bridge mit net1 und net0 angelegt, sonst startet net1 "disconnected"

dladm create-bridge -l net0 -l net1 bridge1

b) Dann konfiguriere ich ipv4 addr für net1

ipadm create-ip net1
ipadm create-addr -T static -a 10.2.0.1 net1

ipadm und dladm melden keine fehler

c) Dann laufe ich auf dem Solaris11-Server isc-dhcp und isc-dns

d) Ich habe VirtualBox installiert, Maschinen mit Bridged-Networking-Punkt zu net1

e) Ich habe die Firewall mit nat konfiguriert

#Vars
ext_if="net0"
int_if="net1"
virt_if="vnic0"
ext_net="192.168.0.0/24"
int_net="10.2.0.0/24"
webports="{443, 80}"

##  make IP reassembly work
set reassemble yes no-df

## ignore loopback traffic
set skip on lo0

# block everything unless told otherwise
# and send TCP-RST/ICMP unreachable
# for every packet which gets blocked
block return in log all
pass out all

# accept incoming SSH connections
pass in proto tcp to any port 2122

# accept dhcp connections
pass in proto udp to any port 67:69
pass in proto tcp to any port 67:69

# accept dns connections
pass in proto udp to any port 53
pass in proto tcp to any port 53

# accept webeservers SSH connections
pass in proto tcp to $ext_if port 8888:8889
pass in proto tcp to $ext_if port $webports

# accept icmp
pass in proto icmp all

## allow all connections initiated from this system,
## including DHCP requests
pass out

#nat
pass out on net0 from $int_net  to any nat-to (net0)

f) Mit routeadm habe ich Routing und IP-Forwarding aktiviert.

Nun ist das "Ergebnis"

Ich kann 10.2.0.0/24 von 192.168.0.0/24 OK anpingen. Ich kann 192.168.0.0/24 von 10.2.0.0/24 VMs anpingen. OK Ich kann externe Adressen (google.de usw.) von 10.2.0.0/24 VMs anpingen OK, ich kann keine Verbindung mit einem Protokoll von der VM herstellen !! NICHT OK Natürlich habe ich die Route mit netstat -rn überprüft und 10.2.0.1 als Standard (korrekt) angegeben. Aber Telnet, Links, Yum und jede Art von Verbindung scheitern! Nur Ping und DNS-Auflösung funktioniert (sic!) Was zu überprüfen?

Lösung gefunden: Firewall zu restriktiv. Ich benutze diese /etc/firewall/pf.conf., funktioniert problemlos

# Vars
ext_if="net0"
int_if="net1"
ext_net="192.168.0.0/24"
int_net="10.2.0.0/24"
webports="{443, 80}"

##  make IP reassembly work
set reassemble yes no-df

## ignore loopback traffic
set skip on lo0

# block everything unless told otherwise
# and send TCP-RST/ICMP unreachable
# for every packet which gets blocked
block return in log all
pass out all

# Pass
pass in on $int_if proto tcp from $ext_net to any keep state
pass in on $int_if proto udp from $ext_net to any keep state
pass in on $int_if proto tcp from $int_net to any keep state
pass in on $int_if proto udp from $int_net to any keep state

# accept incoming SSH connections
pass in proto tcp from any to $ext_if port 22

# accept dhcp connections
pass in proto udp to any port 67:69
pass in proto tcp to any port 67:69

# accept dns connections
pass in proto udp to any port 53
pass in proto tcp to any port 53

# accept webeservers connections
pass in proto tcp to $ext_if port $webports

# accept icmp
pass in proto icmp all

## allow all connections initiated from this system,
## including DHCP requests
pass out

#nat
pass out on net0 from $int_net to any nat-to (net0)