SORRY!!! Athlinux:/etc/sysconfig # grep -Ev "(^#|^$)" /etc/sysconfig/SuSEfirewall2 FW_QUICKMODE="no" FW_DEV_EXT="eth0" FW_DEV_INT="eth0" FW_DEV_DMZ="" FW_ROUTE="no" FW_MASQUERADE="no" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="" FW_PROTECT_FROM_INTERNAL="yes" FW_AUTOPROTECT_SERVICES="yes" FW_SERVICES_EXT_TCP="53 http" FW_SERVICES_EXT_UDP="" FW_SERVICES_EXT_IP="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_DMZ_IP="" FW_SERVICES_INT_TCP="" FW_SERVICES_INT_UDP="" FW_SERVICES_INT_IP="" FW_SERVICES_QUICK_TCP="" FW_SERVICES_QUICK_UDP="" FW_SERVICES_QUICK_IP="" FW_TRUSTED_NETS="" FW_ALLOW_INCOMING_HIGHPORTS_TCP="no" FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS" FW_SERVICE_AUTODETECT="yes" FW_SERVICE_DNS="no" FW_SERVICE_DHCLIENT="no" FW_SERVICE_DHCPD="no" FW_SERVICE_SQUID="no" FW_SERVICE_SAMBA="no" FW_FORWARD="" FW_FORWARD_MASQ="" FW_REDIRECT="" FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="no" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW" FW_KERNEL_SECURITY="yes" FW_STOP_KEEP_ROUTING_STATE="no" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_PING_EXT="no" FW_ALLOW_FW_TRACEROUTE="yes" FW_ALLOW_FW_SOURCEQUENCH="yes" FW_ALLOW_FW_BROADCAST="no" FW_IGNORE_FW_BROADCAST="yes" FW_ALLOW_CLASS_ROUTING="no" FW_CUSTOMRULES="" FW_REJECT="no" ...besser ist das... -- ________________________________________________________ ATELIER..MO..........Industriestraße..3........Tel..0.93.81-7.15.20.92 Jochen..Haßfurter.....D-97332..Volkach........Fax.0.93.81-7.15.20.93 eMail....:jo@ateliermo.de:.......................URL....:www.ateliermo.de:
linux@ateliermo.de wrote:
FW_DEV_EXT="eth0" FW_DEV_INT="eth0"
Pfui. Hast du nicht gesagt, du hast ISDN-dialup? Dann ist FW_DEV_EXT="ippp0" (oder 1, oder 2, ...)
FW_ROUTE="no" FW_MASQUERADE="no"
Ich schaetze, die beiden muessen auf "yes" gestellt werden. Haengt von deinem Netzwerk ab. (IP-Adressen 192.168? dann "yes")
FW_SERVICES_EXT_TCP="53 http" FW_SERVICES_EXT_UDP=""
Hier taucht der Domain Service einmal auf. UDP wird auch gebraucht.
FW_SERVICES_INT_TCP="" FW_SERVICES_INT_UDP=""
Und hier fehlt er leider.
FW_SERVICE_AUTODETECT="yes" FW_SERVICE_DNS="no"
Sicherheitshalber auch hier DNS="yes"
FW_SERVICE_SQUID="no"
ebenso wie squid
FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="no"
Waehrend der Implementierungsphase empfiehlt es sich _ALL="yes" zu waehlen und danach beides auf "no", zumindest so lange, bis es Probleme gibt.
FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_PING_EXT="no"
Und hier kann's knallen weil FW_DEV_EXT=FW_DEV_INT
FW_REJECT="no"
Diese Variable kenn ich nicht, klingt im meinen Ohren so als ob man damit laestige timeouts vermeiden kann. Lies den Kommentar in der Config und entscheide danach (oder poste ihn auf die Liste, wenn du das nicht entscheiden kannst, weil der bei mir noch nicht enthalten ist) Besser waere auch, das du immer nur "Reply" anwaehlst und nicht an die Liste "Forward"est, weil die Threads dann zusammenbleiben. Peter
Peter Wiersig wrote:
linux@ateliermo.de wrote:
FW_DEV_EXT="eth0" FW_DEV_INT="eth0"
Pfui. Hast du nicht gesagt, du hast ISDN-dialup? Dann ist FW_DEV_EXT="ippp0" (oder 1, oder 2, ...)
er hat in der ersten mail auch was von DSL erzählt. dann ist es ppp0 (oder 1, oder 2, ...).
Ich schaetze, die beiden muessen auf "yes" gestellt werden. Haengt von deinem Netzwerk ab. (IP-Adressen 192.168? dann "yes")
und wenn er ein Class A oder B hat? 'http://www.fk-services.de/tipps/ipadressen.htm'
FW_SERVICES_EXT_TCP="53 http" FW_SERVICES_EXT_UDP=""
Hier taucht der Domain Service einmal auf. UDP wird auch gebraucht.
und genau hier sollte er auch _nicht_ auftauchen. er möchte ja keinen öffentlichen DNS für alle anbieten, oder?
FW_SERVICES_INT_TCP="" FW_SERVICES_INT_UDP=""
Und hier fehlt er leider.
jupp.
FW_REJECT="no"
Diese Variable kenn ich nicht, klingt im meinen Ohren so als ob man damit laestige timeouts vermeiden kann. Lies den Kommentar in der Config und entscheide danach (oder poste ihn auf die Liste, wenn du das nicht entscheiden kannst, weil der bei mir noch nicht enthalten ist)
ich kenne diese option auch nicht. ich vermute es geht um DROP oder REJECT. das meinst du aber auch mit 'laestige timeouts' wenn ich dich richtig verstehe.
Besser waere auch, das du immer nur "Reply" anwaehlst und nicht an die Liste "Forward"est, weil die Threads dann zusammenbleiben.
ja, bitte! micha
Hallöle! ...und weiter...
linux@ateliermo.de wrote:
FW_DEV_EXT="eth0" FW_DEV_INT="eth0"
Pfui. Hast du nicht gesagt, du hast ISDN-dialup? Dann ist FW_DEV_EXT="ippp0" (oder 1, oder 2, ...)
Nee, hier nicht. Hier T-DSL über Hardware-Router. DAHEIM ISDN.... Hab jetzt mal die Firewall abgeschalten. An der liegt es leider nicht. Auch das mit dem DYN_IP-Patch ist jetzt eingestellt. Trotzdem ist die erste Verbindung immer umsonst ("Server [...im Internet...] konnte nicht gefunden werden" -> RELOAD -> es klappt. ???? Danke trotzdem für die FW-Tipps, die werd ich daheim gebrauchen (hier brauch ich eigentlich sowieso keine Firewall.) Zudem: Wir sind alle im gleichen Netz (192.168.200.[...]) Und nu?? MfG, Jochen
er hat in der ersten mail auch was von DSL erzählt. dann ist es ppp0 (oder 1, oder 2, ...).
Ich schaetze, die beiden muessen auf "yes" gestellt werden. Haengt von deinem Netzwerk ab. (IP-Adressen 192.168? dann "yes")
und wenn er ein Class A oder B hat?
'http://www.fk-services.de/tipps/ipadressen.htm'
FW_SERVICES_EXT_TCP="53 http" FW_SERVICES_EXT_UDP=""
Hier taucht der Domain Service einmal auf. UDP wird auch gebraucht.
und genau hier sollte er auch _nicht_ auftauchen. er möchte ja keinen öffentlichen DNS für alle anbieten, oder?
FW_SERVICES_INT_TCP="" FW_SERVICES_INT_UDP=""
Und hier fehlt er leider.
jupp.
FW_REJECT="no"
Diese Variable kenn ich nicht, klingt im meinen Ohren so als ob man damit laestige timeouts vermeiden kann. Lies den Kommentar in der Config und entscheide danach (oder poste ihn auf die Liste, wenn du das nicht entscheiden kannst, weil der bei mir noch nicht enthalten ist)
ich kenne diese option auch nicht. ich vermute es geht um DROP oder REJECT. das meinst du aber auch mit 'laestige timeouts' wenn ich dich richtig verstehe.
Besser waere auch, das du immer nur "Reply" anwaehlst und nicht an die Liste "Forward"est, weil die Threads dann zusammenbleiben.
ja, bitte!
micha
-- ________________________________________________________ ATELIER..MO..........Industriestraße..3........Tel..0.93.81-7.15.20.92 Jochen..Haßfurter.....D-97332..Volkach........Fax.0.93.81-7.15.20.93 eMail....:jo@ateliermo.de:.......................URL....:www.ateliermo.de:
linux@ateliermo.de wrote:
linux@ateliermo.de wrote:
FW_DEV_EXT="eth0" FW_DEV_INT="eth0"
Pfui. Hast du nicht gesagt, du hast ISDN-dialup? Dann ist FW_DEV_EXT="ippp0" (oder 1, oder 2, ...)
Nee, hier nicht. Hier T-DSL über Hardware-Router. DAHEIM ISDN....
Hab jetzt mal die Firewall abgeschalten. An der liegt es leider nicht.
Auch das mit dem DYN_IP-Patch ist jetzt eingestellt. Trotzdem ist die erste Verbindung immer umsonst ("Server [...im Internet...] konnte nicht gefunden werden" -> RELOAD -> es klappt. ????
Den Hinweis, wie du den von Hand aktivierst hast du nicht verpasst? "cat /proc/sys/net/ipv4/ip_dynaddr" ergibt eine Zahl > 0?
Danke trotzdem für die FW-Tipps, die werd ich daheim gebrauchen (hier brauch ich eigentlich sowieso keine Firewall.)
Zudem: Wir sind alle im gleichen Netz (192.168.200.[...])
Also: INTERNET -----[DSL]-- Linux-Router --[Ethernet]--[Rechner{A,B,C}] oeffentlicher IP-Raum Privater IP-Raum ^^^^^^^^^^^^ Hier muss was passieren, damit das klappt. Du brauchst vielleicht nicht das SFW2-Skript, aber um ein paar ipchains oder iptables-Regeln kommst du nicht herum, damit die Rechner sinnvoll das Internet benutzen koennen. Und schaden tut's nicht wirklich eine Firewall zu installieren und konfigurieren. Peter
participants (3)
-
linux@ateliermo.de -
Michael Meyer -
Peter Wiersig