Automatisches ISDN-Dialin und SuSEfirewall2 unter SuSE 8.1
Ich gebe hier nur mal weiter, auf welches Problem ich bei der EInrichtung
eines automatischen ISDN-Dialin in Zusammenhang mit der Aktivierung des
SuSEfirewall2 (anstelle des personal-firewall) gestossen bin und wie einfach
dieses gelöst wurde:
Konfiguration:
- SuSE Linux 8.1
- AVM FritzCard PCI! (wahrscheinlich hier belanglos)
- Online-Updates vom Stand 18.03.2003 eingespielt
Problem: Nach Konfiguration des SuSEfirewall mit Yast (Security->Firewall)
versagt jeglicher Netzwerkverkehr mit dem Internet, lediglich die
ISDN-Verbindung steht. In /var/log/messages tauchen Meldungen der Form
-- schnipp --
Apr 2 07:40:16 myhost kernel: SuSE-FW-ILLEGAL-TARGET IN=ippp0 OUT= MAC=
SRC=
On Wed, Apr 02, 2003 at 08:12:39PM +0200, René Krell wrote:
Ich gebe hier nur mal weiter, auf welches Problem ich bei der EInrichtung eines automatischen ISDN-Dialin in Zusammenhang mit der Aktivierung des SuSEfirewall2 (anstelle des personal-firewall) gestossen bin und wie einfach dieses gelöst wurde:
Konfiguration: - SuSE Linux 8.1 - AVM FritzCard PCI! (wahrscheinlich hier belanglos) - Online-Updates vom Stand 18.03.2003 eingespielt
Problem: Nach Konfiguration des SuSEfirewall mit Yast (Security->Firewall) versagt jeglicher Netzwerkverkehr mit dem Internet, lediglich die ISDN-Verbindung steht. In /var/log/messages tauchen Meldungen der Form -- schnipp -- Apr 2 07:40:16 myhost kernel: SuSE-FW-ILLEGAL-TARGET IN=ippp0 OUT= MAC= SRC=
DST= LEN=66 TOS=0x00 PREC=0x00 TTL=61 ID=0 DF PROTO=UDP SPT=53 DPT=1045 LEN=46 -- schnapp -- auf, obwohl die Services "domain" bzw. "53" schon erlaubt worden sind. In Mailinglisten gab es ausserdem zum gleichen Problem Kommentare, dass erst nach Restart des Firewall bei zu erhaltender ISDN-Verbindung alles wie vorgegeben funktioniert. Lösung: /etc/sysconfig/network/ifcfg-ippp0: Eintrag FIREWALL auf "yes" setzen, ist leer.
Frage an SuSE-Experten: Kann man das nicht irgendwie gleich über den YAST automatisch einstellen? Oder habe ich da eine Sicherheitslücke übersehen?
Das kann bei der Schnittstelle eingestellt werden. yast -> netzwerk -> isdn -> aendern -> bearbeiten (im unteren Fenster) -> Schnittstelle Dort Firewall aktivieren... -- Karsten Keil SuSE Labs ISDN development
Problem: Nach Konfiguration des SuSEfirewall mit Yast (Security->Firewall) versagt jeglicher Netzwerkverkehr mit dem Internet, lediglich die ISDN-Verbindung steht. In /var/log/messages tauchen Meldungen der Form -- schnipp -- Apr 2 07:40:16 myhost kernel: SuSE-FW-ILLEGAL-TARGET IN=ippp0 OUT= MAC= SRC=
DST= LEN=66 TOS=0x00 PREC=0x00 TTL=61 ID=0 DF PROTO=UDP SPT=53 DPT=1045 LEN=46 -- schnapp -- auf, obwohl die Services "domain" bzw. "53" schon erlaubt worden sind. In Mailinglisten gab es ausserdem zum gleichen Problem Kommentare, dass erst nach Restart des Firewall bei zu erhaltender ISDN-Verbindung alles wie vorgegeben funktioniert. Lösung: /etc/sysconfig/network/ifcfg-ippp0: Eintrag FIREWALL auf "yes" setzen, ist leer.
Frage an SuSE-Experten: Kann man das nicht irgendwie gleich über den YAST automatisch einstellen? Oder habe ich da eine Sicherheitslücke übersehen?
Das kann bei der Schnittstelle eingestellt werden.
Kann es eben bei der 8.1er nicht, Yast ignoriert einfach, wenn man den Knopf
"Firewall aktivieren" anwählt, der entsprechende Eintrag in der "ifcfg-ippp0"
bleibt leer. Auch ich habe mich stundenlang darüber gewundert, bis ich es
rausgefunden hatte.
Dafür funktioniert's bei der 8.2 tadellos, so wie fast alles an der 8.2 ...
( außer daß der berüchtigte ISDN-Abwahl-Kinternet-Bug genauso vorhanden ist ).
Ansonsten auch von mir ein dickes Lob für die Version 8.2.
Gruß
Tim
--
Tim Fischer
On Thu, Apr 03, 2003 at 12:21:01AM +0200, Tim Fischer wrote:
Problem: Nach Konfiguration des SuSEfirewall mit Yast (Security->Firewall) versagt jeglicher Netzwerkverkehr mit dem Internet, lediglich die ISDN-Verbindung steht. In /var/log/messages tauchen Meldungen der Form -- schnipp -- Apr 2 07:40:16 myhost kernel: SuSE-FW-ILLEGAL-TARGET IN=ippp0 OUT= MAC= SRC=
DST= LEN=66 TOS=0x00 PREC=0x00 TTL=61 ID=0 DF PROTO=UDP SPT=53 DPT=1045 LEN=46 -- schnapp -- auf, obwohl die Services "domain" bzw. "53" schon erlaubt worden sind. In Mailinglisten gab es ausserdem zum gleichen Problem Kommentare, dass erst nach Restart des Firewall bei zu erhaltender ISDN-Verbindung alles wie vorgegeben funktioniert. Lösung: /etc/sysconfig/network/ifcfg-ippp0: Eintrag FIREWALL auf "yes" setzen, ist leer.
Frage an SuSE-Experten: Kann man das nicht irgendwie gleich über den YAST automatisch einstellen? Oder habe ich da eine Sicherheitslücke übersehen?
Das kann bei der Schnittstelle eingestellt werden.
Kann es eben bei der 8.1er nicht, Yast ignoriert einfach, wenn man den Knopf "Firewall aktivieren" anwählt, der entsprechende Eintrag in der "ifcfg-ippp0" bleibt leer. Auch ich habe mich stundenlang darüber gewundert, bis ich es rausgefunden hatte.
Stimmt, irgend ein yast-network update hat das zerschossen. Es sollte aber in /etc/sysconfig/isdn/cfg-net0 eingetragen werden, da sonst der nächste SuSEconfig Lauf es wieder überschreibt.
Dafür funktioniert's bei der 8.2 tadellos, so wie fast alles an der 8.2 ... ( außer daß der berüchtigte ISDN-Abwahl-Kinternet-Bug genauso vorhanden ist ).
Und da komm ich auch nicht richtig vorwärts grrrr. Ich glaub ich mach erstmal ein paar Tage etwas anderes, eventuell bin ich schon zu blind für den Bug geworden.
Ansonsten auch von mir ein dickes Lob für die Version 8.2.
Danke. -- Karsten Keil SuSE Labs ISDN development
On Thursday 03 April 2003 00:53, Karsten Keil wrote:
On Thu, Apr 03, 2003 at 12:21:01AM +0200, Tim Fischer wrote:
Problem: Nach Konfiguration des SuSEfirewall mit Yast (Security->Firewall) versagt jeglicher Netzwerkverkehr mit dem Internet, lediglich die ISDN-Verbindung steht. In /var/log/messages tauchen Meldungen der Form -- schnipp -- Apr 2 07:40:16 myhost kernel: SuSE-FW-ILLEGAL-TARGET IN=ippp0 OUT= MAC= SRC=
DST= LEN=66 TOS=0x00 PREC=0x00 TTL=61 ID=0 DF PROTO=UDP SPT=53 DPT=1045 LEN=46 -- schnapp -- auf, obwohl die Services "domain" bzw. "53" schon erlaubt worden sind. In Mailinglisten gab es ausserdem zum gleichen Problem Kommentare, dass erst nach Restart des Firewall bei zu erhaltender ISDN-Verbindung alles wie vorgegeben funktioniert. Lösung: /etc/sysconfig/network/ifcfg-ippp0: Eintrag FIREWALL auf "yes" setzen, ist leer.
Frage an SuSE-Experten: Kann man das nicht irgendwie gleich über den YAST automatisch einstellen? Oder habe ich da eine Sicherheitslücke übersehen?
Das kann bei der Schnittstelle eingestellt werden.
Kann es eben bei der 8.1er nicht, Yast ignoriert einfach, wenn man den Knopf "Firewall aktivieren" anwählt, der entsprechende Eintrag in der "ifcfg-ippp0" bleibt leer. Auch ich habe mich stundenlang darüber gewundert, bis ich es rausgefunden hatte.
Stimmt, irgend ein yast-network update hat das zerschossen. Es sollte aber in /etc/sysconfig/isdn/cfg-net0 eingetragen werden, da sonst der nächste SuSEconfig Lauf es wieder überschreibt.
Danke erst mal für die schnelle Reaktion, den finalen Ratschlag werde ich dann auch noch in die Tat umsetzen. Ich habe mich noch nicht intensiv mit der Auswirkung der YaST-Einstellungen hierbei befasst, aber ich werde den Eindruck nicht los, dass der Schalter "Activate Firewall" bei der Interface-Konfiguration durch Ankreuzen nur den Personal Firewall (bzw. dessen Emulation durch SuSEfirewall2) aktiviert, nicht aber die tatsächliche Einstellung in /etc/sysconfig/network/ifcfg-ippp0 anzeigt. René
participants (3)
-
Karsten Keil
-
René Krell
-
Tim Fischer