Re: einfaches IP-Masquerading unter SuSE 7.3 kostet Nerven
(Bei der Suche nach infos im List-Archiv sehe ich, andere haben Anfang des Monats ähnliche Probleme gehabt--eine Lösung enthielt der Thread noch nicht, also:) Ich hab's gestern hingekriegt. Wenn ich nicht geträumt habe, ging das so: Ich hatte ja gemäß Handbuch die berühmte "eine einfache Zeile" auf REJECT_ALL_INCOMING_CONNECTIONS=ippp0 masq gesetzt. Danach hatten meine Windows-Clients kein bootp, kein DHCP und kein DNS mehr. Toll. SuSE hatte eine außer der MASQ- Regel in POSTROUTING noch ganze Latte von Chains und Regeln eingerichtet, die in INPUT referenziert wurden. Das geschieht in /sbin/SuSEpersonal-firewall (wird von /etc/init.d/...final aufgerufen). Dort wird die netstat-Ausgabe nach UDP-Ports durchsucht, und Regeln eingerichtet, um Pakete für diese Ports wegzuschmeißen. (Ist das ein Bug? Sollten sie nicht ACCEPTed werden?) Ich habe den ganzen 'for-do-done'-Block auskommentiert. Danach funktionierten wieder DNS, BOOTP, und DHCP im LAN, und ipppd konnte endlich automatisch wählen. (Und mein Kollege wollte mir beweisen, SuSE sei einfacher als Debian ...) Tony -- -- Tony Crawford -- tc@crawfords.de -- +49-3341-30 99 99 --
Hallo Liste, hallo Tony Crawford, zu deiner Mail:
....
REJECT_ALL_INCOMING_CONNECTIONS=ippp0 masq
ich habe für mein einfaches Masquerading den Kommentar zu Beginn von Susefirewall2 (der ist als Frontend von _iptables_ für die 2.4.er Kernel zuständig!) mit Erfolg beherzigt - auch mein Windowsclient kann sich jetzt hervorragend einwählen lassen. hier der Auszug aus susefirewall2,den ich als Script in /etc/init.d/boot.local verwende: ++++susefirewall2 auszug+++++++++ #!/bin/bash # If you just want to do masquerading without filtering, ignore this #script # and run this line (exchange "ippp0" "ppp0" if you use a modem, not #isdn): #fs: wenn in rc.config ip_forwarding beim booten noch nicht #fs: aktiviert war: #echo 1 > /proc/sys/net/ipv4/ip_forward iptables -v -A POSTROUTING -t nat -j MASQUERADE -o ippp+ #fs: das "+" bewirkt, dass alle ippp -devices masqueriert(?!) werden # and additionally the following lines to get at least a minimum of #security: iptables -v -A INPUT -j DROP -m state --state NEW,INVALID -i ippp+ iptables -v -A FORWARD -j DROP -m state --state NEW,INVALID -i ippp+ ++++susefirewall2 auszug ende+++++++++
(Und mein Kollege wollte mir beweisen, SuSE sei einfacher als Debian ...)
durch diese deutschsprachige Liste liegt er damit IMHO nicht so schlecht ;o)) hdh fs
Friedrich Strohmaier wrote (on 15 Jan 2002 at 16:30):
-i ippp+ ++++susefirewall2 auszug ende+++++++++
Herzlichen Dank an die beiden, die geantwortet haben. Daraus schließe ich, daß ich nichts übersehen habe. Ich hatte nur gedacht, ich gebe SuSE eine Chance und versuche erstmal alles schön nach Handbuch zu machen. Da stand ja nichts von wegen "'personal-firewall' funktioniert nicht im Zusammenhang mit bind oder dhcpd." Der Gedanke hinter dem komischen Script /sbin/SuSEpersonal- firewall, der die aktiven UDP-Ports blockiert, bleibt also ein Rätsel--ich habe auch bei www.suse.com gesucht und nichts dazu gefunden. Kann man irgendwo suchen, ob diesbezuglich ein Bug bereits gemeldet wurde?
(Und mein Kollege wollte mir beweisen, SuSE sei einfacher als Debian ...)
durch diese deutschsprachige Liste liegt er damit IMHO nicht so schlecht ;o))
Ich gebe zu, ich bin von der Liste positiv beeindruckt. (In deutsch gibt's allerdings auch debian-user-de@lehmanns.org!) T. -- -- Tony Crawford -- tc@crawfords.de -- +49-3341-30 99 99 --
Hallo, Am Mittwoch, 16. Januar 2002 14:59 schrieb Tony Crawford:
Herzlichen Dank an die beiden, die geantwortet haben. Daraus schlie_e ich, da_ ich nichts |bersehen habe. Ich hatte nur gedacht, ich gebe SuSE eine Chance und versuche erstmal alles schvn nach Handbuch zu machen. Da stand ja nichts von wegen "'personal-firewall' funktioniert nicht im Zusammenhang mit bind oder dhcpd."
Die Personal Firewall ist ne ganz simple Sache. Bietet so gut wie nix, dafür muss man auch nix von Paket-Filter Konfiguration verstehen. Um den Rechner dicht zu machen und für ein simples Masquerading reichts.
Der Gedanke hinter dem komischen Script /sbin/SuSEpersonal- firewall, der die aktiven UDP-Ports blockiert, bleibt also ein Rdtsel--ich habe auch bei www.suse.com gesucht und nichts dazu gefunden. Kann man irgendwo suchen, ob diesbezuglich ein Bug bereits gemeldet wurde?
Das ist kein Bug. Was du willst ist eine flexiblere Lösung. Kannst du haben (SuSEfirewall2 oder selbstgestrickte Paketfilter.Regeln, ganz nach Belieben). Dann solltest du aber wissen was du tust. Die Personal Firewall richtet sich eben an diejenigen, die nicht wissen was bei der Paketfilter-Konfiguration zu beachten ist. Schöne Grüße aus Bremen hartmut
Hartmut Meyer wrote (on 16 Jan 2002 at 20:23):
Der Gedanke hinter dem komischen Script /sbin/SuSEpersonal- firewall, der die aktiven UDP-Ports blockiert, bleibt also ein Rdtsel--ich habe auch bei www.suse.com gesucht und nichts dazu gefunden. Kann man irgendwo suchen, ob diesbezuglich ein Bug bereits gemeldet wurde?
Das ist kein Bug.
Was du willst ist eine flexiblere Lösung. Kannst du haben (SuSEfirewall2 oder selbstgestrickte Paketfilter.Regeln, ganz nach Belieben). Dann solltest du aber wissen was du tust. Die Personal Firewall richtet sich eben an diejenigen, die nicht wissen was bei der Paketfilter-Konfiguration zu beachten ist.
So habe ich's verstanden. Gerade deswegen kann man nicht erwarten, daß das Zielpublikum ahnt, daß zuzüglich zur Aktivierung von Masquerading alle lokalen UDP-Dienste, darunter DHCP und DNS, lahmgelegt werden. Zumal daß sie *auf eth0* blockiert werden, auch wenn nur *ippp0* in "REJECT_ALL_INCOMING..." angegeben wird. Ob das in dem Personal-Firewall selbst ein Bug ist, ist ja Ansichtssache des Herstellers. In der Dokumentation aber vermisse ich sehr wohl einen Hinweis auf diese unerwarteten Folgen. Da hätte ich ja viel früher eine andere Methode wählen können. Nix für ungut, Tony -- -- Tony Crawford -- tc@crawfords.de -- +49-3341-30 99 99 --
participants (3)
-
Friedrich Strohmaier
-
Hartmut Meyer
-
Tony Crawford