Hallo zusammen, ich habe mir gerade die Konfiguration der SuSEfirewall angeschaut, da ich Probleme mit dem 'ntpdate'-Befehl habe. Dabei habe ich gemerkt, dass START_FW auf "no" war!?? (Ich war mir zwar ziemlich sicher, dass die Firewall läuft, da ich auch schon Probleme mit z.B. aktivem FTP hatte; mit passivem gings. Das ist doch normalerweise ein Indiz, dass eine Firewall läuft!? Kann es sein, dass ich mit yast2 eine andere Firewall installiert habe? (Werden noch andere mitgeliefert - ich habe SuSE Linux 7.1?). Auf jeden Fall habe ich nun die START_FW auf "yes" gesetzt und mir die /etc/rc.config.d/firewall.rc.config vorgenommen. Da gibt es jedoch ein paar Parameter, bei denen ich mir nicht sicher bin. Ich wäre Euch dankbar, wenn Ihr das kurz verfizieren könntet. Danke. Zuerst zu meinem PC: Es ist ein Einzelplatz-PC mit einer Ethernet-Karte, an welcher ein ADSL-Modem hängt. Zur Einwahl ins Internet verwende ich das rp-pppoe Paket (v3.0-1). Ich habe keine fixe IP.: Am Anfang von /etc/rc.config.d/firewall.rc.config steht: [...] # If you use a modem/ISDN for connections, put "/sbin/SuSEfirewall" in the # 2nd line of "/etc/ppp/ip-up". This is important!! [...] Ist das auch mit ADSL nötig (denke schon, ist ja auch ein Modem)? Ich habe mir das "/etc/ppp/ip-up" angeschaut. In verschiedenen case-statements steht jeweils: [...] test "$START_FW" = yes && /sbin/SuSEfirewall test -x /sbin/SuSEpersonal-firewall && . /sbin/SuSEpersonal-firewall [...] Sollte das nicht reichen? Was macht eigtl. die 2. Zeile? Hier die Parameter: 2) FW_DEV_WORLD="eth0" - war vorher "" 3) FW_DEV_INT="" 4) FW_DEV_DMZ="" 5) FW_ROUTE="no" 6) FW_MASQUERADE="no" FW_MASQ_NETS="" FW_MASQ_DEV="$FW_DEV_WORLD" 7) FW_PROTECT_FROM_INTERNAL="yes" 8) FW_AUTOPROTECT_GLOBAL_SERVICES="yes" 9) FW_SERVICES_EXTERNAL_TCP="" FW_SERVICES_EXTERNAL_UDP="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_INTERNAL_TCP="" FW_SERVICES_INTERNAL_UDP="" 10)FW_TRUSTED_NETS="" FW_SERVICES_TRUSTED_TCP="" FW_SERVICES_TRUSTED_UDP="" 11)FW_ALLOW_INCOMING_HIGHPORTS_TCP="no" - war vorher "yes" -> habe es wieder auf den default Wert gesetzt ("no")!?? Für was werden Highports eigtl. verwendet? Soll ich sie frei geben? FW_ALLOW_INCOMING_HIGHPORTS_UDP="no" - war ebenfalls auf "yes" 12)FW_SERVICE_DNS="no" FW_SERVICE_DHCLIENT="no" - sollte ich das auf "yes" stellen, da ich vom Provider eine IP zugewiesen bekomme? Scheint aber auch so zu funktionieren... FW_SERVICE_DHCPD="no" FW_SERVICE_SAMBA="no" 13)FW_FORWARD_TCP="" FW_FORWARD_UDP="" 14)FW_FORWARD_MASQ_TCP="" FW_FORWARD_MASQ_UDP="" 15)FW_REDIRECT_TCP="" FW_REDIRECT_UDP="" 16)FW_LOG_DENY_CRIT="yes" FW_LOG_DENY_ALL="no" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" 17)FW_KERNEL_SECURITY="yes" 18)FW_STOP_KEEP_ROUTING_STATE="no" - ist das gut so mit ADSL? 19)FW_ALLOW_PING_FW="no" - war vorher auf "yes" -> habe es wieder auf den default Wert gesetzt ("no")!?? Soll ich es wiederr auf "yes" setzen? FW_ALLOW_PING_DMZ="no" Was muss ich machen, um die Firewall zu starten? Reicht es einfach die Verbindung zum Internet zu trennen und wieder aufzubauen? (Das sollte dann doch "/etc/ppp/ip-up" aufrufen, oder nicht?) Ins Internet komme ich so auf jeden Fall noch (auch mit FW_SERVICE_DHCLIENT="no"). Kann ich von meinem Rechner aus testen, ob die Firewall läuft? Vielen Dank für Eure Hilfe Gruss Florian
Hallo Florian Am Freitag, 8. März 2002 11:56 schrieb Florian Brunner:
Hallo zusammen,
ich habe mir gerade die Konfiguration der SuSEfirewall angeschaut, da ich Probleme mit dem 'ntpdate'-Befehl habe. Dabei habe ich gemerkt, dass START_FW auf "no" war!?? (Ich war mir zwar ziemlich sicher, dass die
[gekürzt]
[...] # If you use a modem/ISDN for connections, put "/sbin/SuSEfirewall" in the # 2nd line of "/etc/ppp/ip-up". This is important!! [...] Ist das auch mit ADSL nötig (denke schon, ist ja auch ein Modem)? Ich habe mir das "/etc/ppp/ip-up" angeschaut. In verschiedenen case-statements steht jeweils: [...] test "$START_FW" = yes && /sbin/SuSEfirewall test -x /sbin/SuSEpersonal-firewall && . /sbin/SuSEpersonal-firewall [...] Sollte das nicht reichen? Was macht eigtl. die 2. Zeile?
Hier die Parameter:
2) FW_DEV_WORLD="eth0" - war vorher "" 3) FW_DEV_INT="" 4) FW_DEV_DMZ="" 5) FW_ROUTE="no" 6) FW_MASQUERADE="no" FW_MASQ_NETS="" FW_MASQ_DEV="$FW_DEV_WORLD" 7) FW_PROTECT_FROM_INTERNAL="yes" 8) FW_AUTOPROTECT_GLOBAL_SERVICES="yes" 9) FW_SERVICES_EXTERNAL_TCP="" FW_SERVICES_EXTERNAL_UDP="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_INTERNAL_TCP="" FW_SERVICES_INTERNAL_UDP="" 10)FW_TRUSTED_NETS="" FW_SERVICES_TRUSTED_TCP="" FW_SERVICES_TRUSTED_UDP="" 11)FW_ALLOW_INCOMING_HIGHPORTS_TCP="no" - war vorher "yes" -> habe es wieder auf den default Wert gesetzt ("no")!?? Für was werden Highports eigtl. verwendet? Soll ich sie frei geben? FW_ALLOW_INCOMING_HIGHPORTS_UDP="no" - war ebenfalls auf "yes" 12)FW_SERVICE_DNS="no" FW_SERVICE_DHCLIENT="no" - sollte ich das auf "yes" stellen, da ich vom Provider eine IP zugewiesen bekomme? Scheint aber auch so zu funktionieren... FW_SERVICE_DHCPD="no" FW_SERVICE_SAMBA="no" 13)FW_FORWARD_TCP="" FW_FORWARD_UDP="" 14)FW_FORWARD_MASQ_TCP="" FW_FORWARD_MASQ_UDP="" 15)FW_REDIRECT_TCP="" FW_REDIRECT_UDP="" 16)FW_LOG_DENY_CRIT="yes" FW_LOG_DENY_ALL="no" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" 17)FW_KERNEL_SECURITY="yes" 18)FW_STOP_KEEP_ROUTING_STATE="no" - ist das gut so mit ADSL? 19)FW_ALLOW_PING_FW="no" - war vorher auf "yes" -> habe es wieder auf den default Wert gesetzt ("no")!?? Soll ich es wiederr auf "yes" setzen? FW_ALLOW_PING_DMZ="no"
Steht zufällig auch: REJECT_ALL_INCOMING_CONNECTIONS="yes" in Deiner rc.config ? In diesem Falle hättest Du zusätzlich noch die SuSE-personal-Firewall am laufen. CU Thorsten -- Thorsten Körner || thorstenkoerner@123tkshop.org Dannenkoppel 51 || thorstenkoerner@thorsti.org 22391 Hamburg || GNU-GPG Key: 2D2C4868C007C4FA http://www.123tkShop.org || reg. Linux-User:#187283
Florian Brunner wrote:
ich habe mir gerade die Konfiguration der SuSEfirewall angeschaut, da ich Probleme mit dem 'ntpdate'-Befehl habe.
# Zeitserver FW_TRUSTED_NETS="194.95.250.35,udp,ntp 192.53.103.103,udp,ntp"
Dabei habe ich gemerkt, dass START_FW auf "no" war!??
Mach "/sbin/SuSEfirewall status", dann kannst Du Dir sicher sein.
(Ich war mir zwar ziemlich sicher, dass die Firewall läuft, da ich auch schon Probleme mit z.B. aktivem FTP hatte; mit passivem gings. Das ist doch normalerweise ein Indiz, dass eine Firewall läuft!? Kann es sein, dass ich mit yast2 eine andere Firewall installiert habe? (Werden noch andere mitgeliefert - ich habe SuSE Linux 7.1?).
Es gibt jedenfalls noch die SuSEfirewall2, die mit iptables statt ipchains funktioniert und die personal firewall. Die SuSEfirewall2 brauchst Du AFAIK nur dann unbedingt, wenn Du ip-masquerading mit Kernel 2.4 einsetzen willst.
Auf jeden Fall habe ich nun die START_FW auf "yes" gesetzt und mir die /etc/rc.config.d/firewall.rc.config vorgenommen. Da gibt es jedoch ein paar Parameter, bei denen ich mir nicht sicher bin. Ich wäre Euch dankbar, wenn Ihr das kurz verfizieren könntet. Danke. Zuerst zu meinem PC: Es ist ein Einzelplatz-PC mit einer Ethernet-Karte, an welcher ein ADSL-Modem hängt. Zur Einwahl ins Internet verwende ich das rp-pppoe Paket (v3.0-1). Ich habe keine fixe IP.: Am Anfang von /etc/rc.config.d/firewall.rc.config steht: [...] # If you use a modem/ISDN for connections, put "/sbin/SuSEfirewall" in the # 2nd line of "/etc/ppp/ip-up". This is important!! [...] Ist das auch mit ADSL nötig (denke schon, ist ja auch ein Modem)? Ich habe mir das "/etc/ppp/ip-up" angeschaut. In verschiedenen case-statements steht jeweils: [...] test "$START_FW" = yes && /sbin/SuSEfirewall test -x /sbin/SuSEpersonal-firewall && . /sbin/SuSEpersonal-firewall [...] Sollte das nicht reichen? Was macht eigtl. die 2. Zeile?
Das reicht. Die zweite Zeile ist für eine ggf. installierte personal firewall da.
Hier die Parameter:
2) FW_DEV_WORLD="eth0" - war vorher ""
Muss in der Regel ppp0 sein!
3) FW_DEV_INT="" 4) FW_DEV_DMZ="" 5) FW_ROUTE="no" 6) FW_MASQUERADE="no" FW_MASQ_NETS="" FW_MASQ_DEV="$FW_DEV_WORLD" 7) FW_PROTECT_FROM_INTERNAL="yes" 8) FW_AUTOPROTECT_GLOBAL_SERVICES="yes" 9) FW_SERVICES_EXTERNAL_TCP="" FW_SERVICES_EXTERNAL_UDP="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_INTERNAL_TCP="" FW_SERVICES_INTERNAL_UDP="" 10)FW_TRUSTED_NETS="" FW_SERVICES_TRUSTED_TCP="" FW_SERVICES_TRUSTED_UDP="" 11)FW_ALLOW_INCOMING_HIGHPORTS_TCP="no" - war vorher "yes" -> habe es wieder auf den default Wert gesetzt ("no")!?? Für was werden Highports eigtl. verwendet? Soll ich sie frei geben? FW_ALLOW_INCOMING_HIGHPORTS_UDP="no" - war ebenfalls auf "yes"
"no" ist noch ein bischen sicherer und unkomfortabler ;-)
12)FW_SERVICE_DNS="no" FW_SERVICE_DHCLIENT="no" - sollte ich das auf "yes" stellen, da ich vom Provider eine IP zugewiesen bekomme? Scheint aber auch so zu funktionieren...
Nein. Die IP bekommst Du irgendwie über ppp, nicht per DHCP.
FW_SERVICE_DHCPD="no" FW_SERVICE_SAMBA="no" 13)FW_FORWARD_TCP="" FW_FORWARD_UDP="" 14)FW_FORWARD_MASQ_TCP="" FW_FORWARD_MASQ_UDP="" 15)FW_REDIRECT_TCP="" FW_REDIRECT_UDP="" 16)FW_LOG_DENY_CRIT="yes" FW_LOG_DENY_ALL="no" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" 17)FW_KERNEL_SECURITY="yes" 18)FW_STOP_KEEP_ROUTING_STATE="no" - ist das gut so mit ADSL?
ja
19)FW_ALLOW_PING_FW="no" - war vorher auf "yes" -> habe es wieder auf den default Wert gesetzt ("no")!?? Soll ich es wiederr auf "yes" setzen?
ich würde yes empfehlen.
FW_ALLOW_PING_DMZ="no"
Was muss ich machen, um die Firewall zu starten? Reicht es einfach die Verbindung zum Internet zu trennen und wieder aufzubauen? (Das sollte dann doch "/etc/ppp/ip-up" aufrufen, oder nicht?)
ja
Ins Internet komme ich so auf jeden Fall noch (auch mit FW_SERVICE_DHCLIENT="no").
Klar. Hast ja kein DHCP.
Kann ich von meinem Rechner aus testen, ob die Firewall läuft?
/sbin/SuSEfirewall status https://check.lfd.niedersachsen.de/Selbsttest/service/service_selbstt.html http://www.hackyourself.com/ Viel Erfolg, Magnum -- begin http://www.informatik.uni-muenchen.de/~_rosenbau/
participants (3)
-
Florian Brunner
-
Magnus Rosenbaum
-
Thorsten Körner