SuSEFirewall2 will nicht starten (SuSE 8.1)
Hallo, die SUSE FW2 will bei mir nicht laufen. Ich habe eine ISDN-Dialup-Verbindung mit dyn. IP-Adressen. Die Initialisierung und das Starten der FW dauert bei eingeschaltetem Dialup-Modus mehrere Minuten. Gleichzeitig wird eine Verbindung aufgebaut. tcpdump sagt: (212.93.30.150 ist die DNS des Provider) --- einstein:/etc/sysconfig # tcpdump -i ippp0 tcpdump: listening on ippp0 19:35:08.753066 192.168.22.1.pcg-radar > 212.93.30.150.domain: 58988+ PTR? ippp0.einstein.genius. (39) (DF) 19:35:13.763036 62.180.194.107.1037 > 212.93.30.150.domain: 58988+ PTR? ippp0.einstein.genius. (39) (DF) 19:35:13.818713 212.93.30.150.domain > 62.180.194.107.1037: 58988 NXDomain 0/1/0 (114) 19:35:13.818715 212.93.30.150.domain > 62.180.194.107.1037: 58988 NXDomain 0/1/0 (114) 19:35:18.773127 62.180.194.107.1037 > 212.93.30.150.domain: 58989+ PTR? ippp0. (23) (DF) --- etc. Wenn ich die Verbindung abbreche läuft die FW, blockt aber alle Verbindungen mit dem Hinweis SuSE-FW-ILLEGAL-TARGET IN=ippp0 OUT= MAC= SRC=195.182.110.132 DST=62.180.194.42 LEN=214 TOS=0x00 PREC=0x00 TTL=249 ID=34343 DF PROTO=UDP SPT=53 DPT=1037 LEN=194 Ich tippe der Haken ist irgendwo bei der DNS-configuration, aber ich weiß nicht genau wo ich anfangen soll. Vielen Dank im Vorraus. -- MfG Andreas -- end of message --
Hi Andreas, Am Fre, 2002-11-15 um 22.00 schrieb Andreas Schütz:
Hallo,
die SUSE FW2 will bei mir nicht laufen. Ich habe eine ISDN-Dialup-Verbindung mit dyn. IP-Adressen.
Die Initialisierung und das Starten der FW dauert bei eingeschaltetem Dialup-Modus mehrere Minuten. Gleichzeitig wird eine Verbindung aufgebaut. [...]
wird die Firewall bei Dir beim Booten mitgestartet? IMHO mußt Du bei FW_Services_INT_UDP domain aktiviert haben. Gruß, Roland
Am Samstag, 16. November 2002 09:31 schrieb Roland Ehle:
Hi Andreas,
Am Fre, 2002-11-15 um 22.00 schrieb Andreas Schütz:
Hallo,
die SUSE FW2 will bei mir nicht laufen. Ich habe eine ISDN-Dialup-Verbindung mit dyn. IP-Adressen.
Die Initialisierung und das Starten der FW dauert bei eingeschaltetem Dialup-Modus mehrere Minuten. Gleichzeitig wird eine Verbindung aufgebaut.
[...]
wird die Firewall bei Dir beim Booten mitgestartet? IMHO mußt Du bei FW_Services_INT_UDP domain aktiviert haben.
Das ist es ja gerade. Die Option FW_Services_INT_UDP ist mit domain belegt (Port 53). Und trotzdem bekomme ich die FW nicht zum laufen. Das mit dem Starten beim Booten habe ich aus den gennannten Gründen abgeschaltet. (Bootvorgang incl. FW ca. 10 Minuten) Ich weiß nicht warum die FW bei der Initialisierung nachweislich DNS-anfragen stellt. Bei der FW von SuSE 7.2 war das nicht! Und wenn ich die Logsequenz richtig interpretiere blockt die FW auch DNS Anfrage auf die die Ports > 1023 rein. SuSE-FW-ILLEGAL-TARGET IN=ippp0 OUT= MAC= SRC=195.182.110.132 DST=62.180.194.42 LEN=214 TOS=0x00 PREC=0x00 TTL=249 ID=34343 DF PROTO=UDP SPT=53 DPT=1037 LEN=194 -- MfG Andreas -- end of message --
P&M
Hallo Andreas Schütz
Das mit dem Starten beim Booten habe ich aus den gennannten Gründen abgeschaltet. (Bootvorgang incl. FW ca. 10 Minuten) Ich weiß nicht warum die FW bei der Initialisierung nachweislich DNS-anfragen stellt. Bei der FW von SuSE 7.2 war das nicht!
Für die 8.1 gibt es ein Update für die Firewall2. Hast Du das eingespielt? Bei der langen Startdauer mit DNS-Anfragen scheint es mir eher weniger so. Falls ja: Nocheinmal einspielen... Tschüß und Gruß von der Wieseck, Dirk -- Dirk Janßen | Fon: +49 (0)641 9502070 | PGP-Key available Gießen, Germany | Fax: +49 (0)641 9502071 | at pgp@dja-it.de
Am Samstag, 16. November 2002 13:14 schrieb Dirk Janßen:
P&M
Hallo Andreas Schütz
, am Sat, 16 Nov 2002 12:35:00 +0100 schriebst Du in
<200211161235.00420.as1973@gmx.de>:
Das mit dem Starten beim Booten habe ich aus den gennannten Gründen abgeschaltet. (Bootvorgang incl. FW ca. 10 Minuten) Ich weiß nicht warum die FW bei der Initialisierung nachweislich DNS-anfragen stellt. Bei der FW von SuSE 7.2 war das nicht!
Für die 8.1 gibt es ein Update für die Firewall2. Hast Du das eingespielt? Bei der langen Startdauer mit DNS-Anfragen scheint es mir eher weniger so.
Falls ja: Nocheinmal einspielen...
Alles schön und gut, habe das FW-Update durchgeführt - auch ein zweites mal - aber die DNS-Anfrage wird noch immer durchgeführt! Ergo kann ich die FW nicht beim Booten starten, da alles beim 2. Schritt der FW-Initialisierung anhält und warscheinlich bis zum "erbrechen" DNS-Anfragen laufen. Ebenso wie bei der Konfiguration mit Yast bei eigeschlatetem DOD für den Provider. Ich habe mal Versucht die ISDN-Einwahl ohne DOD zu konfigurieren und die FW lief, bis zum Neustart des Systems. Also, wieder Neustart bis init 2 und alles wieder von vorne. (Wobei bis init 2 übrigens der 1. Step der FW geladen wurde.) Für das ganze muß es doch irgendwie eine Lösung oder Erklärung geben, denn das FW-Konzept funktionierte doch prima in der SuSE 7.2 . -- MfG Andreas -- end of message --
Hallo, Andreas Schütz schrieb:
die SUSE FW2 will bei mir nicht laufen. Ich habe eine ISDN-Dialup-Verbindung mit dyn. IP-Adressen.
Die Initialisierung und das Starten der FW dauert bei eingeschaltetem Dialup-Modus mehrere Minuten. Gleichzeitig wird eine Verbindung aufgebaut.
Ist das die Original-FW von den CD/DVD? Die benötigt tatsächlich inakzetabel viel Zeit. Sieh mal die timestamps von Verbindungsaufbau bis Laden der FW-Regeln an (die Regeln werden doch letztlich geladen-oder?) Mach mal ein Update der FW.
Wenn ich die Verbindung abbreche läuft die FW, blockt aber alle Verbindungen mit dem Hinweis SuSE-FW-ILLEGAL-TARGET IN=ippp0 OUT= MAC= SRC=195.182.110.132 DST=62.180.194.42 LEN=214 TOS=0x00 PREC=0x00 TTL=249 ID=34343 DF PROTO=UDP SPT=53 DPT=1037 LEN=194
Ohne Verbindung ist ippp0 halt ein _illegal_ Target...
Ich tippe der Haken ist irgendwo bei der DNS-configuration, aber ich weiß nicht genau wo ich anfangen soll.
Wahrscheinlicher ist, dass die Probleme nach einem Update der FW behoben sein werden - zumindest war das bei mir und einigen anderen der Fall:-) Gruss horst
participants (4)
-
Andreas Schütz
-
Horst Mueller
-
linux@dja-it.de
-
Roland Ehle