Guten Morgen liebe Liste, ich habe versucht, ein OS 12.3 (openSUSE 12.3 (x86_64), VERSION = 12.3, CODENAME = Dartmouth) System mit der SuSEFirewall2 zu konfigurieren. Das System hat eine Netzwerkkarte (eth0), eine öffentliche IP-Adresse und hängt an zwei privaten Netzwerken. Zugriff auf angebotene Dienste des Systems sollen nur die Geräte aus den beiden privaten Netzen haben, nach außen hin soll nur ssh "sichtbar" sein. Ein Scan mittels nmap über das Internet erbrachte nun aber, daß viele Ports nach außen hin sichtbar sind: Scanning XYZ.domain.tld (aaa.bbb.ccc.ddd) [1000 ports] Discovered open port 53/tcp on aaa.bbb.ccc.ddd Discovered open port 993/tcp on aaa.bbb.ccc.ddd Discovered open port 110/tcp on aaa.bbb.ccc.ddd Discovered open port 995/tcp on aaa.bbb.ccc.ddd Discovered open port 143/tcp on aaa.bbb.ccc.ddd Discovered open port 27000/tcp on aaa.bbb.ccc.ddd Discovered open port 2049/tcp on aaa.bbb.ccc.ddd Completed SYN Stealth Scan at 08:51, 3.65s elapsed (1000 total ports) Die Konfig habe ich angehängt ... habe ich da einen Denkfehler drin? Danke & Gruß Torsten
On Wed, Nov 20, 2013 at 09:19:40AM +0100, T. Ermlich wrote:
Guten Morgen liebe Liste,
ich habe versucht, ein OS 12.3 (openSUSE 12.3 (x86_64), VERSION = 12.3, CODENAME = Dartmouth) System mit der SuSEFirewall2 zu konfigurieren. Das System hat eine Netzwerkkarte (eth0), eine öffentliche IP-Adresse und hängt an zwei privaten Netzwerken. Zugriff auf angebotene Dienste des Systems sollen nur die Geräte aus den beiden privaten Netzen haben, nach außen hin soll nur ssh "sichtbar" sein.
Ein Scan mittels nmap über das Internet erbrachte nun aber, daß viele Ports nach außen hin sichtbar sind: Scanning XYZ.domain.tld (aaa.bbb.ccc.ddd) [1000 ports] Discovered open port 53/tcp on aaa.bbb.ccc.ddd Discovered open port 993/tcp on aaa.bbb.ccc.ddd Discovered open port 110/tcp on aaa.bbb.ccc.ddd Discovered open port 995/tcp on aaa.bbb.ccc.ddd Discovered open port 143/tcp on aaa.bbb.ccc.ddd Discovered open port 27000/tcp on aaa.bbb.ccc.ddd Discovered open port 2049/tcp on aaa.bbb.ccc.ddd Completed SYN Stealth Scan at 08:51, 3.65s elapsed (1000 total ports)
Die Konfig habe ich angehängt ... habe ich da einen Denkfehler drin?
Die internen und externen Netze haengen beide auf eth0? Fuer den Rechner scheint eher ein DMZ Profil angebracht. Also FW_DEV_DMZ="eth0" und FW_DEV_INT="" (Wenn er in "INT" ist, sind die ports immer offen.) FW_CONFIGURATIONS_EXT="sshd" ... wenn sshd von aussen offen sein soll, dann eher in die FW_CONFIGURATIONS_DMZ Das sollte hoffentlich reichen, bin mir aber nicht sicher ;) Ciao, Marcus
Danke & Gruß Torsten
# /etc/sysconfig/SuSEfirewall2 # # for use with /sbin/SuSEfirewall2 version 3.6 # FW_DEV_EXT="" FW_DEV_INT="eth0" FW_DEV_DMZ="" FW_ROUTE="yes" FW_MASQUERADE="no" FW_MASQ_DEV="eth0" FW_MASQ_NETS="0/0" FW_NOMASQ_NETS="" FW_PROTECT_FROM_INT="no" FW_SERVICES_EXT_TCP="" FW_SERVICES_EXT_UDP="" FW_SERVICES_EXT_IP="" FW_SERVICES_EXT_RPC="" FW_CONFIGURATIONS_EXT="sshd" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_DMZ_IP="" FW_SERVICES_DMZ_RPC="" FW_CONFIGURATIONS_DMZ="" FW_SERVICES_INT_TCP="" FW_SERVICES_INT_UDP="" FW_SERVICES_INT_IP="" FW_SERVICES_INT_RPC="" FW_CONFIGURATIONS_INT="" FW_SERVICES_DROP_EXT="" FW_SERVICES_DROP_DMZ="" FW_SERVICES_DROP_INT="" FW_SERVICES_REJECT_EXT="" FW_SERVICES_REJECT_DMZ="" FW_SERVICES_REJECT_INT="" FW_SERVICES_ACCEPT_EXT="" FW_SERVICES_ACCEPT_DMZ="" FW_SERVICES_ACCEPT_INT="" FW_SERVICES_ACCEPT_RELATED_EXT="" FW_SERVICES_ACCEPT_RELATED_DMZ="" FW_SERVICES_ACCEPT_RELATED_INT="" FW_TRUSTED_NETS="NETWORK-1/25 NETWORK-2/25 NETWORK-3/25" FW_ALLOW_INCOMING_HIGHPORTS_TCP="" FW_ALLOW_INCOMING_HIGHPORTS_UDP="" FW_FORWARD="" FW_FORWARD_REJECT="" FW_FORWARD_DROP="" FW_FORWARD_MASQ="" FW_REDIRECT="" FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="no" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" FW_LOG_LIMIT="" FW_LOG="" FW_KERNEL_SECURITY="yes" FW_STOP_KEEP_ROUTING_STATE="no" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_PING_EXT="no" FW_ALLOW_FW_SOURCEQUENCH="" FW_ALLOW_FW_BROADCAST_EXT="no" FW_ALLOW_FW_BROADCAST_INT="no" FW_ALLOW_FW_BROADCAST_DMZ="no" FW_IGNORE_FW_BROADCAST_EXT="yes" FW_IGNORE_FW_BROADCAST_INT="no" FW_IGNORE_FW_BROADCAST_DMZ="no" FW_ALLOW_CLASS_ROUTING="yes" FW_CUSTOMRULES="" FW_REJECT="" FW_REJECT_INT="yes" FW_HTB_TUNE_DEV="" FW_IPv6="" FW_IPv6_REJECT_OUTGOING="" FW_IPSEC_TRUST="no" FW_ZONES="" FW_ZONE_DEFAULT="" FW_USE_IPTABLES_BATCH="" FW_LOAD_MODULES="nf_conntrack_netbios_ns" FW_FORWARD_ALWAYS_INOUT_DEV="" FW_FORWARD_ALLOW_BRIDGING="" FW_WRITE_STATUS="" FW_RUNTIME_OVERRIDE="" FW_LO_NOTRACK="" FW_BOOT_FULL_INIT="" -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Marcus, Vielen Dank für deine Antwort!! Hast mich aus der Denkstarre befreit, und den entscheidenden Tip gegeben ;)
Gesendet: Mittwoch, 20. November 2013 um 09:44 Uhr Von: "Marcus Meissner"
An: "T. Ermlich" Cc: opensuse-de@opensuse.org Betreff: Re: Problem mit SuSEFirewall2
[...]
Die internen und externen Netze haengen beide auf eth0?
Fuer den Rechner scheint eher ein DMZ Profil angebracht.
Also FW_DEV_DMZ="eth0" und FW_DEV_INT=""
Da funzt dann irgendetwas nicht sauber ... aber ein wenig probieren brachte dann einen gangbaren Weg: FW_DEV_EXT="eth0" und FW_DEV_INT="" FW_DEV_DMZ="" Dank FW_TRUSTED_NETS="NETWORK-1/25 NETWORK-2/25 NETWORK-3/25" haben die berechtigten Netze ja Zugriff. [...] Einen angenehmen Tag noch Torsten -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Guten Morgen liebe Liste,
ich habe versucht, ein OS 12.3 (openSUSE 12.3 (x86_64), VERSION = 12.3, CODENAME = Dartmouth) System mit der SuSEFirewall2 zu konfigurieren. Das System hat eine Netzwerkkarte (eth0), eine öffentliche IP-Adresse und hängt an zwei privaten Netzwerken. Zugriff auf angebotene Dienste des Systems sollen nur die Geräte aus den beiden privaten Netzen haben, nach auÃen hin soll nur ssh "sichtbar" sein.
Das koennte mit SuSEfirewall2 interessant werden. Ich wuerde da einfach mit iptables und iptables-save selber hand anlegen... Wie ist denn ueberhaupt die Topologie hier? mfg MH ----------------------------------------- This email was sent using SquirrelMail. "Webmail for nuts!" http://squirrelmail.org/ -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (3)
-
Marcus Meissner
-
Mathias Homann
-
T. Ermlich