Hallo Liste, vielleicht könnt ihr mir weiter helfen. sobald ich bei mir die SuseFirewall starte kann ich meine Systeme nicht gegenseitig pingen. Aber wenn ich mein WinMe System via suse 8.0 Routen will sollte bzw. muß ich die Firewall konfigurieren? Die Beispiele der Susefirewall2.conf habe ich schon probiert und das hat nicht zum Erfolg geführt. Wo gibt es weitere Infos für die Konfiguration in Suse8.0? Wie kann ich Konfiguration testen? Gruß Hans
Hallo Hans! Am Dienstag, 9. Juli 2002 20:37 schrieb hans dominick:
vielleicht könnt ihr mir weiter helfen. sobald ich bei mir die SuseFirewall starte kann ich meine Systeme nicht gegenseitig pingen. Aber wenn ich mein WinMe System via suse 8.0 Routen will sollte bzw. muß ich die Firewall konfigurieren? Die Beispiele der Susefirewall2.conf habe ich schon probiert und das hat nicht zum Erfolg geführt.
Ich hab zwar 7.3 aber wenn Du SuSEFW2 hast müßte das bei Dir ebenso gehen... schau mal nach, man kann die Firewall auch stoppen/testweise starten. Bei "testweise" ist die Firewall nicht aktiv, loggt aber, was sie tun *würde*. Fand ich sehr hilfreich beim testen. Dann weißt Du zumindest obs *echt* an der FW liegt. Und dann hilft nur Config-File prüfen. Zur Not kannste Deine Config ja mal (auszugsweise) mailen/posten, dann kann man vielleicht konkreter was sagen. Gruß, Ralf -- Ralf Carlet -=- eMail: ralf@carlet.de
Hallo Ralf,
konnte nur sporlisch an meien System arbeiten daher erst jetzt meine
Reaktion.
Ich starte Die firewall wie folgt:
rcSuSEfirewall2 start
ab wie ist der starte ich die FW Testweise?
Hier ein Auszug aus meinee Config:
FW_DEV_EXT="ippp0"
FW_DEV_INT="eth0"
FW_DEW_DMZ="eth0"
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_SERVICES="no"
FW_SERVICES_EXT_TCP="http https imaps pop3 pop3s rsync smtp ssh telnet"
FW_SERVICES_EXT_UDP=""
FW_SERVICES_EXT_IP=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_INT_TCP=""
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS"
FW_SERVICE_AUTODETECT="yes"
FW_SERVICE_DNS="yes"
FW_SERVICE_DHCLIENT="no"
FW_SERVICE_DHCPD="no"
FW_SERVICE_SQUID="no"
FW_SERVICE_SAMBA="no"
FW_FORWARD="yes"
FW_FORWARD_MASQ="yes"
FW_REDIREKT=""
FW_STOP_KEEP_ROUTING_STATE="yes"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
Anmerkung:
Mit dem Linux System kann wenn die FW aktiv ist auch keine Systeme wie
www.SUSE.de oder z.B. 194.245.111.78 pingen.
das ist erst möglich wenn ich die FW stop.
Ich hoffe die Aufstellung hilf eine Lösunge zufinden.
Gruß
Hans
----- Original Message -----
From: "Ralf Carlet"
Hallo Hans!
Am Dienstag, 9. Juli 2002 20:37 schrieb hans dominick:
vielleicht könnt ihr mir weiter helfen. sobald ich bei mir die SuseFirewall starte kann ich meine Systeme nicht gegenseitig pingen. Aber wenn ich mein WinMe System via suse 8.0 Routen will sollte bzw. muß ich die Firewall konfigurieren? Die Beispiele der Susefirewall2.conf habe ich schon probiert und das hat nicht zum Erfolg geführt.
Ich hab zwar 7.3 aber wenn Du SuSEFW2 hast müßte das bei Dir ebenso gehen... schau mal nach, man kann die Firewall auch stoppen/testweise starten. Bei "testweise" ist die Firewall nicht aktiv, loggt aber, was sie tun *würde*. Fand ich sehr hilfreich beim testen. Dann weißt Du zumindest obs *echt* an der FW liegt. Und dann hilft nur Config-File prüfen. Zur Not kannste Deine Config ja mal (auszugsweise) mailen/posten, dann kann man vielleicht konkreter was sagen.
Gruß,
Ralf
-- Ralf Carlet -=- eMail: ralf@carlet.de
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Hallo Hans und Liste! Am Sonntag, 14. Juli 2002 15:18 schrieb hans dominick:
Ich starte Die firewall wie folgt:
rcSuSEfirewall2 start
Aha. Ich starte über rc.config. Da gibts nen Parameter "start_fw" (oder so ähnlich. Kann man mittels YAST1 setzen. Steht auch so in /etc/rc.config.d/susefirewall2.rc.config
ab wie ist der starte ich die FW Testweise?
Mach mal "SuSEfirewall2 help" , da gibts die Parameter und zum Parameter "test" sagt er: "test generate and load the filter rules but do not drop any packet but log to syslog anything which *would* be denied" Ich geh jetzt nur auf die Einträge Deiner Config ein, die ich anders hab:
FW_DEV_INT="eth0" FW_DEW_DMZ="eth0"
Hast Du eine DMZ (müßte auch FW_DEV_DMZ heißen!)? Mich hatte das auch zunächst verwirrt, aber wenn Du sowas nicht hast solltest Du da auch nichts eintragen, also "". Ich bin mir auch nicht sicher was es für die Firewall bedeutet, dass INT und DMZ auf dasselbe Gerät zeigen, da Du sie ja später unterschiedlich behandelst.
FW_MASQ_NETS="0/0"
Ok, Du willst also unbeschränkten Zugriff von innen aufs Internet erlauben? Kannste ja später, wenn alles läuft, vielleicht etwas einschränken.
FW_AUTOPROTECT_SERVICES="no"
Hab ich auf "yes". Ist wohl in der Regel auch eine gute Wahl.
FW_SERVICES_EXT_TCP="http https imaps pop3 pop3s rsync smtp ssh telnet"
Das sind die Services, die Du nach aussen ins Internet freigibst! Ne ganze Menge. Ich hab das leer, aber ich will auch nix nach außen freigeben.
FW_SERVICES_EXT_UDP=""
Na gut, hier hab ich Port 53 für DNS freigegeben. Weiß aber im Moment auch nicht mehr wieso ich das damals gemacht hab.
FW_SERVICES_EXT_IP="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_DMZ_IP=""
Solltest Du so lassen, wenn Du keine DMZ hast.
FW_SERVICES_INT_TCP=""
Ok, hier sagst Du, daß Deine internen PCs nix dürfen. Ich habe da z.B. eingetragen "25 110", damit sie Mails alleine holen und senden dürfen!
FW_SERVICES_INT_UDP=""
Hier hab ich "53" drin, damit die auf den DNS kommen!
FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS"
Da hab ich einfach "yes". Und FW_ALLOW_INCOMING_HIGHPORTS_UDP fehlt bei Dir, hab ich ebenfalls "yes".
FW_FORWARD="yes" FW_FORWARD_MASQ="yes"
Die beiden hab ich leer...traf auf mich nicht zu. Rein gefühlsmäßig würde ich sagen (soweit ich Dich verstanden habe) Du solltest die auch leer lassen. Wo ich gerade in den Hilfetext dazu schaue scheint mir aber "yes" auch in beiden Fällen kein guter Eintrag zu sein. Schau nochmal genau hin! Was willst Du hier überhaupt erreichen?
FW_ALLOW_PING_EXT="no"
Hab ich auf "yes", sonst ist es ja klar, daß Du keine anderen Systeme anpingen kannst, wie Du unten beschreibst! (*)
Anmerkung: Mit dem Linux System kann wenn die FW aktiv ist auch keine Systeme wie www.SUSE.de oder z.B. 194.245.111.78 pingen. das ist erst möglich wenn ich die FW stop.
Das ist genau der Fall von (*).
Ich hoffe die Aufstellung hilf eine Lösunge zufinden.
Hoffe mit meinem noch bescheidenen Wissen geholfen zu haben! Viel Erfolg, Ralf -- Ralf Carlet -=- eMail: ralf@carlet.de
Einen ausführlichen Artikel mit allen Erklärungen zu Firewall, masquering und routing steht unter: http://sdb.suse.de/de/sdb/html/sm_masq2.html bezieht sich auf Susefirewall für Kernel 2.2, läßt sich auch auf Firewall2 ableiten. Gruss C.Göran
Am Dienstag, 9. Juli 2002 20:37 schrieb hans dominick:
vielleicht könnt ihr mir weiter helfen. sobald ich bei mir die SuseFirewall starte kann ich meine Systeme nicht gegenseitig pingen.
Hast du etwa ICMP als unerlaubt eingestuft? Funktionieren Dienste wie z.B. telnet? Falls ja hast du sicherlich ICMP nicht erlaubt. Was ist die Fehlermeldung von ping?
Aber wenn ich mein WinMe System via suse 8.0 Routen will sollte bzw. muß ich die Firewall konfigurieren? Die Beispiele der Susefirewall2.conf habe ich schon probiert und das hat nicht zum Erfolg geführt.
Wohin routen? Ins Internet (Linux als Gateway?) Soweit ich weiss reicht es Packet Forwarding zu aktivieren (und ev. noch masquerading). Paket-Filterregeln musst du nicht zwingend aktivieren. Grüsse, Nicolas
participants (4)
-
CGoeran@t-online.de -
Hans.Dominick@t-online.de -
Nicolas Rüegg -
Ralf Carlet