firewall lässt mich nicht mehr raus
Hallo und HILFEEE - nach Umstieg von der 7.3 auf Suse 8 habe ich ein generelles Problem: Die Firewall2 lässt mich nur 1x nach dem Rechnerstart ins Netz, danach ist alles zu. Ohne Fw funktioniert (fast) alles, bis auf einige Kleinigkeiten. Auf der Maschine laufen u.a. bind 8, squid u. samba. Nach dem Hochfahren will der bind ins Netz, wird aber wohl geblockt (s. Fehlermeldung), die ISDN-Verbindung wird aber aufgebaut. Mit dieser Verbindung kann ich mails abholen, Webseiten ansehen u.s.w. Wird die Verbindung unterbrochen, geht anschließend nichts mehr. Folgende Fehlermeldungen kommen: SuSE-Fw-Unauthorized-target IN=ippp0 OUT= MAC ... PROTO=UDP SPT=53 ... Wenn ich das richtig interpretiere, will der Bind UDP-Pakete verschicken, die Fw lässt ihn aber nicht. Fw wurde mit you eingerichtet und händisch etwas nachgearbeitet, hier ein Auszug: FW_DEV_EXT="ippp0" FW_DEV_INT="eth0" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="0/0" FW_PROTECT_FROM_INTERNAL="no" FW_AUTOPROTECT_SERVICES="no" FW_SERVICES_EXT_TCP="139 3128 631 8080 domain ftp http pop3 smtp ssh" FW_SERVICES_EXT_UDP="domain" FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" # nur erst mal zum Test auf yes FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" # nur erst mal zum Test auf yes FW_SERVICE_AUTODETECT="yes" FW_SERVICE_DNS="yes" FW_SERVICE_SQUID="yes" FW_SERVICE_SAMBA="yes" FW_FORWARD="" FW_FORWARD_MASQ="" FW_REDIRECT="" FW_KERNEL_SECURITY="yes" FW_STOP_KEEP_ROUTING_STATE="no" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_PING_EXT="no" Die Fw brauche ich wohl für das Masquerading, damit ich mit anderen Netzrechnern ins Internet komme (So habe ich es vielfach gelesen). Danke schon mal für hoffentlich hilfreiche Tipps. Herbert
On Wed, Apr 24, 2002 at 11:17:02PM +0200, Herbert Schrader wrote:
Hallo und HILFEEE - nach Umstieg von der 7.3 auf Suse 8 habe ich ein generelles Problem: Die Firewall2 lässt mich nur 1x nach dem Rechnerstart ins Netz, danach ist alles zu. Ohne Fw funktioniert (fast) alles, bis auf einige Kleinigkeiten. Auf der Maschine laufen u.a. bind 8, squid u. samba. Nach dem Hochfahren will der bind ins Netz, wird aber wohl geblockt (s. Fehlermeldung), die ISDN-Verbindung wird aber aufgebaut. Mit dieser Verbindung kann ich mails abholen, Webseiten ansehen u.s.w. Wird die Verbindung unterbrochen, geht anschließend nichts mehr.
Folgende Fehlermeldungen kommen: SuSE-Fw-Unauthorized-target IN=ippp0 OUT= MAC ... PROTO=UDP SPT=53 ...
Wenn ich das richtig interpretiere, will der Bind UDP-Pakete verschicken, die Fw lässt ihn aber nicht. was sagt denn iptables -vL ?
Die Fw brauche ich wohl für das Masquerading, damit ich mit anderen Netzrechnern ins Internet komme (So habe ich es vielfach gelesen). Kommt drauf an, was Du "masqueraden" möchtest. Wenn Du nur http https ftp nutzen willst, ist squid die bessere alternative, die auch ohne masquerading arbeitet.
Ausserdem möchte ich Dir "Das Firewall Buch" (SuSE Press) ans Herz legen. greetinXs, Telefon: 07275/618351 Michael Hilscher Handy: 0173/3071899 Telefax: 07275/618352 -- Would Mozart have been more productive if he had scribes to help him, a secretary and a CEO to lead his way? -- Linus Torvalds
Am Mittwoch, 24. April 2002 21:32 schrieb Michael Hilscher:
On Wed, Apr 24, 2002 at 11:17:02PM +0200, Herbert Schrader wrote:
Hallo und HILFEEE - nach Umstieg von der 7.3 auf Suse 8 habe ich ein generelles Problem: Die Firewall2 lässt mich nur 1x nach dem Rechnerstart ins Netz, danach ist alles zu. Ohne Fw funktioniert (fast) alles, bis auf einige Kleinigkeiten. Auf der Maschine laufen u.a. bind 8, squid u. samba. Nach dem Hochfahren will der bind ins Netz, wird aber wohl geblockt (s. Fehlermeldung), die ISDN-Verbindung wird aber aufgebaut. Mit dieser Verbindung kann ich mails abholen, Webseiten ansehen u.s.w. Wird die Verbindung unterbrochen, geht anschließend nichts mehr.
Folgende Fehlermeldungen kommen: SuSE-Fw-Unauthorized-target IN=ippp0 OUT= MAC ... PROTO=UDP SPT=53 ...
Wenn ich das richtig interpretiere, will der Bind UDP-Pakete verschicken, die Fw lässt ihn aber nicht.
was sagt denn iptables -vL ?
oh je, verstehe ich nicht: rechnername:~ # iptables -vL Chain INPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 46 3980 ACCEPT all -- lo any anywhere anywhere 14 1859 ACCEPT udp -- any any anywhere anywhere state NEW,RELATED,ESTABLISHED udp dpts:netbios-ns:netbios-dgm 0 0 LOG all -- any any loopback/8 anywhere LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING ' 0 0 LOG all -- any any anywhere loopback/8 LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING ' 0 0 DROP all -- any any loopback/8 anywhere 0 0 DROP all -- any any anywhere loopback/8 0 0 LOG all -- any any rechnername.local anywhere LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING ' 0 0 DROP all -- any any rechnername.local anywhere 138 14208 input_int all -- eth0 any anywhere rechnername.local 0 0 DROP all -- eth0 any anywhere 192.168.100.255 usw...
Die Fw brauche ich wohl für das Masquerading, damit ich mit anderen Netzrechnern ins Internet komme (So habe ich es vielfach gelesen).
Kommt drauf an, was Du "masqueraden" möchtest. Wenn Du nur http https ftp nutzen willst, ist squid die bessere alternative, die auch ohne masquerading arbeitet.
Eigentlich brauche ich Fw nicht? Oder doch? nach aussen: ssh, http, ftp (https habe ich über squid noch nie hinbekommen) wie gehts? hast Du einen Link? Ich hab aus allen Hinweisen (einschl. Quellen zu linuxrouter, linuxbuch.ch etc) dieser Liste herausgelesen, dass ich routen u. masqueraden muss, damit es funktioniert. (???) Http geht von den Netzrechnern auch ohne Firewall, FTP noch nicht.
Ausserdem möchte ich Dir "Das Firewall Buch" (SuSE Press) ans Herz legen.
steht schon auf meiner Bücherliste. Danke und viele Grüsse, Herbert
On Thu, Apr 25, 2002 at 01:33:41PM +0200, Herbert Schrader wrote: > > > Hallo und HILFEEE - nach Umstieg von der 7.3 auf Suse 8 habe ich ein > > > generelles Problem: Die Firewall2 lässt mich nur 1x nach dem Rechnerstart > > > ins Netz, danach ist alles zu. Wahrscheinlich trägt die Firewall2 beim ersten Verbindungsaufbau, Deine dynamisch zugewiesene IP Adresse ein - bei der zweiten Einwahl geht dann natürlich nix mehr, da Du eine andere IP Addi hast?! > > > Auf der Maschine laufen u.a. bind 8, squid u. Wahrscheinlich brauchst Du bind garnicht und wenn doch, solltest Du unbedingt ein Update auf die v9 machen und gleich noch die Bugfixe einspielen! > > > samba. Nach dem Hochfahren will der bind ins Netz, wird aber wohl > > > geblockt (s. Fehlermeldung), Magst Du nicht einfach den DNS des Providers nutzen? > > was sagt denn iptables -vL ? > oh je, verstehe ich nicht: man iptables :-) ich weiss, ist ziemlich komplex aber: > > Ausserdem möchte ich Dir "Das Firewall Buch" (SuSE Press) ans > steht schon auf meiner Bücherliste. dann solltest Du das mal vorziehen! > > > Die Fw brauche ich wohl für das Masquerading, damit ich mit anderen > > > Netzrechnern ins Internet komme (So habe ich es vielfach gelesen). > > > > Kommt drauf an, was Du "masqueraden" möchtest. Wenn Du nur http https > > ftp nutzen willst, ist squid die bessere alternative, die auch ohne > > masquerading arbeitet. > > Eigentlich brauche ich Fw nicht? Oder doch? Doch!!! Eine Firewall solltest Du auf jeden Fall aufsetzen, wenn die Clients jedoch keine direkte Netzanbindung (also Routing über masquerading) haben, sondern über einen Proxy gehen müssen, ist das sicherer! Mit Squid kannst Du aber nicht alles lösen. Zum Beispiel ist es nicht möglich einen Newsserver zu nutzen - dafür musst Du dann entweder auf Deinem Linux-Rechner leafnode aufsetzen oder dafür masquerading nutzen! > nach aussen: ssh, http, ftp (https habe ich über squid noch nie hinbekommen) > wie gehts? hast Du einen Link? Welche SuSE und Squid Version nutzt Du? Spätestens die Squid Version von SuSE 7.3 sollte https anstandslos unterstützen, in squid.conf brauch dafür nur: acl SSL_ports port 443 zu stehen (acl=erlaubt :-) > Ich hab aus allen Hinweisen (einschl. Quellen > zu linuxrouter, linuxbuch.ch etc) dieser Liste herausgelesen, dass ich routen > u. masqueraden muss, damit es funktioniert. (???) Http geht von den > Netzrechnern auch ohne Firewall, FTP noch nicht. Bis Du Deine Wunsch Lösung hinbekommen hast, möchte ich Dir folgendes empfehlen: 1. den Proxy Squid für die Clients zum Surfen im Netz und anonymous ftp nutzen. 2. für "echtes" ftp den linux-rechner über ssh nutzen (tipp ncftp ist ein brauchbarer konsolen-client) und die so gezogenen daten über samba oder was auch immer auf den windows rechner ziehen. 3. hier eine "simple" Firewallkonfiguration, die Du speichern und über root mit "sh dateiname" einspielen kannst um den Rechner einigermassen sicher zu machen (Du nutzt ISDN? dann funktioniert ppp0 nicht und und musst das durch ippp0 ersetzen). Die SuSE Firewall kannst Du dann deinstallieren: # dateianfang---- # Bevor Regeln gesetzt werden, setze Firewall zurück! iptables -P FORWARD DROP iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -F # Schalte Loopback komplett frei! iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # Deaktiviere unerwünschte Highports! iptables -A INPUT -p 6 -d 0.0.0.0/0 --dport 3106 -i ppp0 -j DROP iptables -A INPUT -p 6 -d 0.0.0.0/0 --dport 6000 -i ppp0 -j DROP # SSH: ausgehende Verbindungen auf highports (option -P) akzeptieren! iptables -A INPUT -p 6 -d 0.0.0.0/0 --dport 1024:65535 -s 0.0.0.0/0 --sport 22:22 -j ACCEPT iptables -A OUTPUT -p 6 -s 0.0.0.0/0 --sport 1024:65535 -d 0.0.0.0/0 --dport 22:22 -j ACCEPT # SSH: eingehende Verbindungen auf highports (option -P) nur im Netzwerk akzeptieren! iptables -A INPUT -p 6 -s 0.0.0.0/0 --sport 1024:65535 -d 0.0.0.0/0 --dport 22:22 -i eth0 -j ACCEPT iptables -A OUTPUT -p 6 -d 0.0.0.0/0 --dport 1024:65535 -s 0.0.0.0/0 --sport 22:22 -o eth0 -j ACCEPT # Ping ::: Echo-Reply ausgehend nur im internen Netzwerk, Echo-Request ausgehend + Echo-Reply eingehend immer erlaubt: iptables -A INPUT -p 1 -s 0.0.0.0/0 --icmp-type echo-request -i eth0 -j ACCEPT iptables -A OUTPUT -p 1 -d 0.0.0.0/0 --icmp-type echo-request -j ACCEPT iptables -A INPUT -p 1 -d 0.0.0.0/0 --icmp-type echo-reply -j ACCEPT iptables -A OUTPUT -p 1 -d 0.0.0.0/0 --icmp-type echo-reply -o eth0 -j ACCEPT # Direktzugriff auf interne Webserver, zugriff auf http(s)/ftp fürs Netz nur über Squid oder Login auf Server! iptables -A INPUT -p 6 -s 0.0.0.0/0 --sport 80:80 -d 0.0.0.0/0 --dport 1024:65535 -i eth0 -j ACCEPT iptables -A OUTPUT -p 6 -d 0.0.0.0/0 --dport 80:80 -s 0.0.0.0/0 --sport 1024:65535 -o eth0 -j ACCEPT iptables -A INPUT -p 6 -d 0.0.0.0/0 --dport 80:80 -s 0.0.0.0/0 --sport 1024:65535 -i eth0 -j ACCEPT iptables -A OUTPUT -p 6 -s 0.0.0.0/0 --sport 80:80 -d 0.0.0.0/0 --dport 1024:65535 -o eth0 -j ACCEPT iptables -A INPUT -p 6 -s 0.0.0.0/0 --sport 1024:65535 -d 0.0.0.0/0 --dport 3128:3128 -i eth0 -j ACCEPT iptables -A OUTPUT -p 6 -s 0.0.0.0/0 --sport 3128:3128 -d 0.0.0.0/0 --dport 1024:65535 -o eth0 -j ACCEPT # Zugriff auf http; https iptables -A INPUT -p 6 -s 0.0.0.0/0 --sport 80:80 -d 0.0.0.0/0 --dport 1024:65535 -i ppp0 -j ACCEPT iptables -A OUTPUT -p 6 -d 0.0.0.0/0 --dport 80:80 -s 0.0.0.0/0 --sport 1024:65535 -o ppp0 -j ACCEPT iptables -A INPUT -p 6 -s 0.0.0.0/0 --sport https -d 0.0.0.0/0 --dport 1024:65535 -i ppp0 -j ACCEPT iptables -A OUTPUT -p 6 -d 0.0.0.0/0 --dport https -s 0.0.0.0/0 --sport 1024:65535 -o ppp0 -j ACCEPT # Zugriff auf FTP iptables -A INPUT -p 6 -s 0.0.0.0/0 --sport 20:21 -d 0.0.0.0/0 --dport 1024:65535 -j ACCEPT iptables -A OUTPUT -p 6 -d 0.0.0.0/0 --dport 20:21 -s 0.0.0.0/0 --sport 1024:65535 -j ACCEPT iptables -A INPUT -p 6 -s 0.0.0.0/0 --sport 1024:3305 -d 0.0.0.0/0 --dport 113 -j ACCEPT iptables -A INPUT -p 6 -s 0.0.0.0/0 --sport 3307:5999 -d 0.0.0.0/0 --dport 113 -j ACCEPT iptables -A INPUT -p 6 -s 0.0.0.0/0 --sport 6001:65535 -d 0.0.0.0/0 --dport 113 -j ACCEPT iptables -A OUTPUT -p 6 -d 0.0.0.0/0 --dport 1024:65535 -s 0.0.0.0/0 --sport 113 -j ACCEPT iptables -A INPUT -p 6 -d 0.0.0.0/0 --dport 1024:3305 -s 0.0.0.0/0 --sport 1024:65535 -j ACCEPT iptables -A INPUT -p 6 -d 0.0.0.0/0 --dport 3307:5999 -s 0.0.0.0/0 --sport 1024:65535 -j ACCEPT iptables -A INPUT -p 6 -d 0.0.0.0/0 --dport 6001:65535 -s 0.0.0.0/0 --sport 1024:65535 -j ACCEPT iptables -A OUTPUT -p 6 -d 0.0.0.0/0 --dport 1024:65535 -s 0.0.0.0/0 --sport 1024:65535 -j ACCEPT # Domainserver iptables -A OUTPUT -p 17 -s 0.0.0.0/0 --sport 1024:65535 -d 0.0.0.0/0 --dport domain -o ppp0 -j ACCEPT iptables -A INPUT -p 17 -d 0.0.0.0/0 --dport 1024:65535 -s 0.0.0.0/0 --sport domain -i ppp0 -j ACCEPT # Wichtige ICMPs iptables -A INPUT -p 1 -d 0.0.0.0/0 --icmp-type parameter-problem -j ACCEPT iptables -A INPUT -p 1 -d 0.0.0.0/0 --icmp-type destination-unreachable -j ACCEPT iptables -A OUTPUT -p 1 -d 0.0.0.0/0 --icmp-type parameter-problem -j ACCEPT iptables -A OUTPUT -p 1 -d 0.0.0.0/0 --icmp-type destination-unreachable -j ACCEPT # Manche Provider versuchen beim pop3 Verbindungsaufbau auf den inetd Deamon # zuzugreifen. Kommt kein Response wird Verbindung # abgebrochen - deshalb hier unbedingt ein Reject verwenden!!! iptables -A INPUT -p 6 -d 0.0.0.0/0 --dport 113:113 -i ppp0 -j REJECT # Pop3 und SMTP iptables -A INPUT -p 6 -s 0.0.0.0/0 --sport 110:110 -d 0.0.0.0/0 --dport 1024:65535 -i ppp0 -j ACCEPT iptables -A INPUT -p 6 -s 0.0.0.0/0 --sport 25:25 -d 0.0.0.0/0 --dport 1024:65535 -i ppp0 -j ACCEPT iptables -A OUTPUT -p 6 -s 0.0.0.0/0 --sport 1024:65535 -d 0.0.0.0/0 --dport 110:110 -o ppp0 -j ACCEPT iptables -A OUTPUT -p 6 -s 0.0.0.0/0 --sport 1024:65535 -d 0.0.0.0/0 --dport 25:25 -o ppp0 -j ACCEPT # Zugriff auf den Samba Server für Windows! iptables -A INPUT -p 17 -s 0.0.0.0/0 --sport 137:137 -d 0.0.0.0/0 --dport 137:137 -i eth0 -j ACCEPT iptables -A INPUT -p 6 -s 0.0.0.0/0 --sport 1024:65535 -d 0.0.0.0/0 --dport 139:139 -i eth0 -j ACCEPT iptables -A OUTPUT -p 17 -s 0.0.0.0/0 --sport 137:137 -d 0.0.0.0/0 --dport 137:137 -o eth0 -j ACCEPT iptables -A OUTPUT -p 6 -s 0.0.0.0/0 --sport 139:139 -d 0.0.0.0/0 --dport 1024:65535 -o eth0 -j ACCEPT # Nachdem Regeln gesetzt, ändere Firewall um, damit Regeln angewendet werden! iptables -P INPUT DROP iptables -P OUTPUT DROP # Dateiende ----- greetinXs, Telefon: 07275/618351 Michael Hilscher Handy: 0173/3071899 Telefax: 07275/618352 -- Would Mozart have been more productive if he had scribes to help him, a secretary and a CEO to lead his way? -- Linus Torvalds
Michael Hilscher wrote: [...]
acl SSL_ports port 443 zu stehen (acl=erlaubt :-)
Das ist nicht ganz korrekt ... mit acl definierst du nur die ACcessList. Dieser musst du dann noch zuweisen, ob Sie 'allow' oder 'deny' status erhält. Also ein http_access deny CONNECT !SSL_ports # Allow all Deny after Strategie bzw. http_access allow CONNECT SSL_ports # Deny all Allow after Strategie an der richtigen (von der Strategie abhängigen) Stelle tut auch noch Not! [Rest irrelevant für meinen Kommentar] Gruß Jens
participants (3)
-
Herbert Schrader
-
Jens Ott
-
Michael Hilscher