Hallo Liste! Ich habe zwei Rechner: SuSE Linux 8.1 & Win2kPRO. Das Netzwerk funktionierte so weit perfekt, beide Rechner konnten sich anpingen, unter Linux funktionierte netzwerktechnisch soweit alles. Unter Win2k konnte ich Mails holen, im Netz surfen, sogar der Zugriff auf freigegebene Samba-Shares war problemlos möglich. Jetzt wollte ich auf dem Linux-Router mal ein wenig an der Firewall einstellen (ist unter SuSE bzw. YaST2 pillepalle, dachte ich...). Der jetzige Zustand: - Linux: Alles tut nach wie vor. - Win2k: Pingen geht. Zugriff auf die Samba-Shares möglich. Mailen geht nicht. Surfen geht nicht. Meine Vermutung ist, dass YaST2 irgendwas irgendwo verstellt hat, was nun das Routing für den Client verhindert. Weiß jemand von euch was genaueres? tia & regards > christian ps: OT schließt sich aus, da unter Win2k nichts geändert wurde (der Rechner war aus). Ich hab' nur unter Linux etwas geändert. Von Win aus stellt sich das Verhalten so dar: Letzter Start: Alles funktioniert wie es soll. Neuer (jetziger Start): Jetzt funktioniert nicht mehr alles wie es soll.
Hallo Liste! [...]
auf dem Linux-Router mal ein wenig an der Firewall einstellen (ist unter SuSE bzw. YaST2 pillepalle, dachte ich...). [...]
Also ich hab' das Kontrollzentrum->YaST2-Module->Sicherheit & Benutzer->Firewall aufgerufen und nach den vier vorgegebenen Schritten die Firewall konfiguriert. Allzuviel kann man da nicht falsch machen. tia & regards > christian
Hallo Liste! Hallo
Ich habe zwei Rechner: SuSE Linux 8.1 & Win2kPRO. Das Netzwerk funktionierte so weit perfekt, beide Rechner konnten sich anpingen, unter Linux funktionierte netzwerktechnisch soweit alles. Unter Win2k konnte ich Mails holen, im Netz surfen, sogar der Zugriff auf freigegebene Samba-Shares war problemlos möglich. Jetzt wollte ich auf dem Linux-Router mal ein wenig an der Firewall einstellen (ist unter SuSE bzw. YaST2 pillepalle, dachte ich...). Der jetzige Zustand: - Linux: Alles tut nach wie vor. - Win2k: Pingen geht. Zugriff auf die Samba-Shares möglich. Mailen geht nicht. Surfen geht nicht. Meine Vermutung ist, dass YaST2 irgendwas irgendwo verstellt hat, was nun das Routing für den Client verhindert. Weiß jemand von euch was genaueres?
tia & regards > christian
Kommsat du denn vom Linuxserver noch ins Internet? Was sagt /var/log/warn? und guck mal was ein cat /proc/sys/net/ipv4/ip_forward bringt. Bei 1 ist alles OK, wenn eine 0 erscheint, gib mal echo 1 > /proc/sys/net/ipv4/ip_forward ein und probier das ganze nochmal... Aber es wäre schon interessant, was /var/log/messages und /var/log/warn dazu sagen. Gruß V.Lieder
Hallo Volker
Kommsat du denn vom Linuxserver noch ins Internet?
Ja. Surfen, Mailen, Newsen, geht alles.
Was sagt /var/log/warn?
Ähüm, ähm, da steht voll viel drin. Soll ich nach irgendwas bestimmtem suchen? Beispiel: Mar 25 21:55:19 villain kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=217.81.237.159 DST=80.139.245.30 LEN=60 TOS=0x00 PREC=0x00 TTL=59 ID=20907 DF PROTO=TCP SPT=63659 DPT=4662 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40402080A248E71530000000001030300)
und guck mal was ein cat /proc/sys/net/ipv4/ip_forward bringt. Bei 1 ist alles OK, wenn eine 0 erscheint, gib mal
Super, da kommt 'ne 1.
echo 1 > /proc/sys/net/ipv4/ip_forward ein und probier das ganze nochmal... Aber es wäre schon interessant, was /var/log/messages und
Beispiel: Mar 25 21:55:19 villain kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=217.81.237.159 DST=80.139.245.30 LEN=60 TOS=0x00 PREC=0x00 TTL=59 ID=20907 DF PROTO=TCP SPT=63659 DPT=4662 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40402080A248E71530000000001030300)
/var/log/warn dazu sagen.
s.o. mfg > christian
Hallo Volker
Kommsat du denn vom Linuxserver noch ins Internet?
Ja. Surfen, Mailen, Newsen, geht alles.
Was sagt /var/log/warn?
Ähüm, ähm, da steht voll viel drin. Soll ich nach irgendwas bestimmtem suchen? Beispiel: Mar 25 21:55:19 villain kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=217.81.237.159 DST=80.139.245.30 LEN=60 TOS=0x00 PREC=0x00 TTL=59 ID=20907 DF PROTO=TCP SPT=63659 DPT=4662 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40402080A248E71530000000001030300) Das bedeutet im Moment erstmal nur, dass ein von extern ankommendes Paket für Edonkey abgeblockt wird. Interessanter wären Zeilen die erscheinen, wenn du eine Verbindung von deinem PC ins Internet aufbaust.
und guck mal was ein cat /proc/sys/net/ipv4/ip_forward bringt. Bei 1 ist alles OK, wenn eine 0 erscheint, gib mal
Super, da kommt 'ne 1.
echo 1 > /proc/sys/net/ipv4/ip_forward ein und probier das ganze nochmal... Aber es wäre schon interessant, was /var/log/messages und
Beispiel: Mar 25 21:55:19 villain kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=217.81.237.159 DST=80.139.245.30 LEN=60 TOS=0x00 PREC=0x00 TTL=59 ID=20907 DF PROTO=TCP SPT=63659 DPT=4662 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40402080A248E71530000000001030300)
Zeig bitte mal die Datei /etc/sysconfig/SuSEfirewall2 Dass ist die Konfigurationsdatei der Firewall. Um zu testen obs überhaupt an der Firewall liegt, kannst du mit folgenden Befehlen erstmal alles erlauben: iptables -F iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT Aber vorsicht, ab diesem Moment erlaubst du allen Paketen, Diensten etc zugriff von intern und extern auf deinen Server. Also bitte erst die Meldungen aus /var/log/messages während eines Verbindungsversuches von deinem PC aus. Volker
Hallo Volker Am Dienstag, 25. März 2003 22:36 schrieb Volker Lieder:
Das bedeutet im Moment erstmal nur, dass ein von extern ankommendes Paket für Edonkey abgeblockt wird. Interessanter wären Zeilen die erscheinen, wenn du eine Verbindung von deinem PC ins Internet aufbaust.
Aha, Edonkey ist aber gar nicht installiert.
Zeig bitte mal die Datei /etc/sysconfig/SuSEfirewall2
http://www.redsplash.de/SuSEfirewall2.txt
Dass ist die Konfigurationsdatei der Firewall. Um zu testen obs überhaupt an der Firewall liegt, kannst du mit folgenden Befehlen erstmal alles erlauben: iptables -F iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT
Hab' ich mal gemacht, Win2k kann aber immer noch nicht ins Netz. Auch nach den Reboots beider Rechner nicht.
Aber vorsicht, ab diesem Moment erlaubst du allen Paketen, Diensten etc zugriff von intern und extern auf deinen Server. Also bitte erst die Meldungen aus /var/log/messages während eines Verbindungsversuches von deinem PC aus.
Ich hoffe das stimmt so:
Mar 25 22:45:50 villain pppd[653]: Plugin pppoe.so loaded.
Mar 25 22:45:50 villain pppd[653]: PPPoE Plugin Initialized
Mar 25 22:45:50 villain pppd[653]: Plugin passwordfd.so loaded.
Mar 25 22:45:50 villain pppd[653]: pppd 2.4.1 started by root, uid 0
Mar 25 22:45:50 villain pppd[653]: Using interface ppp0
Mar 25 22:45:50 villain pppd[653]: Setting MTU to 1492.
Mar 25 22:45:50 villain pppd[653]: Couldn't increase MRU to 1500
Mar 25 22:45:50 villain pppd[653]: local IP address 192.168.99.1
Mar 25 22:45:50 villain pppd[653]: remote IP address 192.168.99.99
Mar 25 22:45:50 villain /etc/hotplug/usb.rc[698]: loaded HCD: usb-uhci
Mar 25 22:45:54 villain kernel: klogd 1.4.1, log source = /proc/kmsg
started.
Mar 25 22:45:54 villain kernel: Inspecting /boot/System.map-2.4.19-4GB
Mar 25 22:45:54 villain kernel: Loaded 14220 symbols from
/boot/System.map-2.4.19-4GB.
Mar 25 22:45:54 villain kernel: Symbols match kernel version 2.4.19.
Mar 25 22:45:54 villain kernel: Loaded 465 symbols from 31 modules.
Mar 25 22:45:54 villain kernel: ip_tables: (C) 2000-2002 Netfilter core
team
Mar 25 22:45:54 villain kernel: ip_conntrack (2047 buckets, 16376 max)
Mar 25 22:45:54 villain kernel: natsemi.c:v1.07 1/9/2001 Written by
Donald Becker
Hallo Volker
Am Dienstag, 25. März 2003 22:36 schrieb Volker Lieder:
Das bedeutet im Moment erstmal nur, dass ein von extern ankommendes Paket für Edonkey abgeblockt wird. Interessanter wären Zeilen die erscheinen, wenn du eine Verbindung von deinem PC ins Internet aufbaust.
Aha, Edonkey ist aber gar nicht installiert. Muss auch nicht, andere PCs fragen deine IP trotzdem ;-) Reicht wenn dein Vorgänger der IP das hatte
Zeig bitte mal die Datei /etc/sysconfig/SuSEfirewall2
Wenn das deine Datei ist, solltest du da einiges ändern. Kann dir da gerne ein paar Tipps geben
Dass ist die Konfigurationsdatei der Firewall. Um zu testen obs überhaupt an der Firewall liegt, kannst du mit folgenden Befehlen erstmal alles erlauben: iptables -F iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT
Hab' ich mal gemacht, Win2k kann aber immer noch nicht ins Netz. Auch nach den Reboots beider Rechner nicht.
Hast du die Befehle vor oder nach dem Reboot eingegeben? Nach dem Reboot sind die nämlich wieder verworfen
Aber vorsicht, ab diesem Moment erlaubst du allen Paketen, Diensten etc zugriff von intern und extern auf deinen Server. Also bitte erst die Meldungen aus /var/log/messages während eines Verbindungsversuches von deinem PC aus.
Ich hoffe das stimmt so: Mar 25 22:45:50 villain pppd[653]: Plugin pppoe.so loaded. Mar 25 22:45:50 villain pppd[653]: PPPoE Plugin Initialized 217.5.115.7:53
Schnipp
Mar 25 22:46:16 villain modify_resolvconf: Service pppd modified /etc/resolv.conf. See info block in this file Mar 25 22:46:16 villain SuSEfirewall2: Firewall rules successfully set in QUICKMODE for device(s) " ppp+" plus masquerading Hier wird die Firewall2 gestartet, laut deinem Script aber definitiv nicht richtig konfiguriert
Mar 25 22:46:16 villain pppd[653]: Script /etc/ppp/ip-up finished (pid 1404), status = 0x0 Mar 25 22:46:30 villain kdm[1397]: pam_unix2: session started for user grisu, service xdm Mar 25 22:48:09 villain kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=62.31.218.5 DST=80.139.226.123 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=1163 DF PROTO=TCP SPT=1127 DPT=2537 WINDOW=16384 RES=0x00 SYN URGP=46105 OPT (0204021801010402) Mar 25 22:48:11 villain kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=62.31.218.5 DST=80.139.226.123 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=1226 DF PROTO=TCP SPT=1127 DPT=2537 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204021801010402) Mar 25 22:48:17 villain kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=62.31.218.5 DST=80.139.226.123 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=1351 DF PROTO=TCP SPT=1127 DPT=2537 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204021801010402) Mar 25 22:51:59 villain kernel: IPv6 v0.8 for NET4.0 Mar 25 22:51:59 villain kernel: IPv6 over IPv4 tunneling driver Mar 25 22:52:07 villain /etc/hotplug/net.agent[1718]: No HW description found ... exiting Mar 25 22:52:09 villain kernel: eth1: no IPv6 routers present Mar 25 22:52:10 villain kernel: eth0: no IPv6 routers present
Volker
Hallo Volker Am Dienstag, 25. März 2003 23:07 schrieb Volker Lieder:
Muss auch nicht, andere PCs fragen deine IP trotzdem ;-) Reicht wenn dein Vorgänger der IP das hatte
Okay, danke, kapiert.
Wenn das deine Datei ist, solltest du da einiges ändern. Kann dir da gerne ein paar Tipps geben
Danke, angenommen, her damit :-)
Hast du die Befehle vor oder nach dem Reboot eingegeben? Nach dem Reboot sind die nämlich wieder verworfen
Okay, dann eben davor :-) und ich mache jetzt keinen Reboot.
Hier wird die Firewall2 gestartet, laut deinem Script aber definitiv nicht richtig konfiguriert
Aha, kommen wir der Sache auf die Spur? Ideen? regards > christian
Hallo Christian, Am Dienstag, 25. März 2003 22:01 schrieb Christian Machmeier:
Hallo Volker
Kommsat du denn vom Linuxserver noch ins Internet?
Ja. Surfen, Mailen, Newsen, geht alles.
Sieht man :-)
Was sagt /var/log/warn?
Ähüm, ähm, da steht voll viel drin. Soll ich nach irgendwas bestimmtem suchen?
Das wäre schon praktisch...
Beispiel: Mar 25 21:55:19 villain kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=217.81.237.159 DST=80.139.245.30 LEN=60 TOS=0x00 PREC=0x00 TTL=59 ID=20907 DF PROTO=TCP SPT=63659 DPT=4662 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40402080A248E71530000000001030300)
OK hieran sieht man nur das du Edonkey o.ä. laufen hast :-) Stoppe die Verbindung ins Internet (vor allem Edonkey). Mach dann ein tail -f /var/log/messages und versuche nun über Windows ins Internet zu gehen. (Wenn du kein DoD nutzt noch die Verbindung aufbauen.) Dann siehst du was die Firewall macht/blockt. Diese Meldungen sind dann schon eher interessant.
Aber es wäre schon interessant, was /var/log/messages und
Beispiel: Mar 25 21:55:19 villain kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=217.81.237.159 DST=80.139.245.30 LEN=60 TOS=0x00 PREC=0x00 TTL=59 ID=20907 DF PROTO=TCP SPT=63659 DPT=4662 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40402080A248E71530000000001030300)
ist dieselbe Meldung wie oben und bringt uns hier nicht weiter. Ich hab (ich muss es zugeben) es noch nicht geschafft meine Firewall mit Yast2 zu konfigurieren. Wahrscheinlich bin ich nur zu blöd, aber schick doch mal die Ausgabe von grep -v '#' /etc/sysconfig/SuSEfirewall2 Vorausgesetzt du nutzt die Firewall2 (kontrolliere das im Runleveleditor von Yast2). Hier werden die Einstellungen vorgenommen für deine Firewall (Yast2 trägt die Sachen auch nur hier ein). Les dir die ganze Datei aber ruhig mal durch. Dann sehen wir weiter.
mfg > christian
Viele Grüße Andreas -- "Contrary to popular belief, Unix is user friendly. It just happens to be selective about who it makes friends with."
Hallo Andreas! Am Dienstag, 25. März 2003 22:44 schrieb Andreas Hergesell:
OK hieran sieht man nur das du Edonkey o.ä. laufen hast :-)
Also ich hatte den mal vor einer ganzen Weile ausprobiert aber nicht zum Laufen bekommen. Wie kann ich den denn dauerhaft abstellen? Also hat der sich in irgendeine Config eingetragen?
Stoppe die Verbindung ins Internet (vor allem Edonkey). Mach dann ein tail -f /var/log/messages und versuche nun über Windows ins Internet zu gehen. (Wenn du kein DoD nutzt noch die Verbindung aufbauen.) Dann siehst du was die Firewall macht/blockt.
Diese Meldungen sind dann schon eher interessant.
Mar 25 22:46:30 villain kdm[1397]: pam_unix2: session started for user grisu, service xdm Mar 25 22:48:09 villain kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=62.31.218.5 DST=80.139.226.123 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=1163 DF PROTO=TCP SPT=1127 DPT=2537 WINDOW=16384 RES=0x00 SYN URGP=46105 OPT (0204021801010402) Mar 25 22:48:11 villain kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=62.31.218.5 DST=80.139.226.123 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=1226 DF PROTO=TCP SPT=1127 DPT=2537 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204021801010402) Mar 25 22:48:17 villain kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=62.31.218.5 DST=80.139.226.123 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=1351 DF PROTO=TCP SPT=1127 DPT=2537 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204021801010402) Mar 25 22:51:59 villain kernel: IPv6 v0.8 for NET4.0 Mar 25 22:51:59 villain kernel: IPv6 over IPv4 tunneling driver Mar 25 22:52:07 villain /etc/hotplug/net.agent[1718]: No HW description found ... exiting Mar 25 22:52:09 villain kernel: eth1: no IPv6 routers present Mar 25 22:52:10 villain kernel: eth0: no IPv6 routers present Mar 25 22:59:00 villain /USR/SBIN/CRON[1762]: (root) CMD ( rm -f /var/spool/cron/lastrun/cron.hourly)
Ich hab (ich muss es zugeben) es noch nicht geschafft meine Firewall mit Yast2 zu konfigurieren. Wahrscheinlich bin ich nur zu blöd, aber schick doch mal die Ausgabe von
grep -v '#' /etc/sysconfig/SuSEfirewall2
FW_QUICKMODE="no" FW_DEV_EXT="eth0" FW_DEV_INT="" FW_DEV_DMZ="" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="0/0" FW_PROTECT_FROM_INTERNAL="no" FW_AUTOPROTECT_SERVICES="yes" FW_SERVICES_EXT_TCP="119 80 http pop3 pop3s smtp" FW_SERVICES_EXT_UDP="" FW_SERVICES_EXT_IP="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_DMZ_IP="" FW_SERVICES_INT_TCP="" FW_SERVICES_INT_UDP="" FW_SERVICES_INT_IP="" FW_SERVICES_QUICK_TCP="" FW_SERVICES_QUICK_UDP="" FW_SERVICES_QUICK_IP="" FW_TRUSTED_NETS="" FW_ALLOW_INCOMING_HIGHPORTS_TCP="no" FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS" FW_SERVICE_AUTODETECT="yes" FW_SERVICE_DNS="no" FW_SERVICE_DHCLIENT="no" FW_SERVICE_DHCPD="no" FW_SERVICE_SQUID="no" FW_SERVICE_SAMBA="yes" FW_FORWARD="" FW_FORWARD_MASQ="" FW_REDIRECT="" FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="no" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW" FW_KERNEL_SECURITY="yes" FW_STOP_KEEP_ROUTING_STATE="no" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="yes" FW_ALLOW_PING_EXT="yes" FW_ALLOW_FW_TRACEROUTE="yes" FW_ALLOW_FW_SOURCEQUENCH="yes" FW_ALLOW_FW_BROADCAST="yes" FW_IGNORE_FW_BROADCAST="yes" FW_ALLOW_CLASS_ROUTING="no" FW_CUSTOMRULES="" FW_REJECT="no"
Vorausgesetzt du nutzt die Firewall2 (kontrolliere das im Runleveleditor von Yast2). Hier werden die Einstellungen
Yepp, aber das bringt mich auf eine andere Idee. Könnte ich "aus Versehen" vielleicht irgendeinen Dienst abgeschaltet haben, der für das Routing benötigt wird?
vorgenommen für deine Firewall (Yast2 trägt die Sachen auch nur hier ein). Les dir die ganze Datei aber ruhig mal durch.
Bin schon dabei.
Dann sehen wir weiter.
Danke mfg > christian
So, dann mach ich hier mal weiter ;-)
Hallo Andreas!
Am Dienstag, 25. März 2003 22:44 schrieb Andreas Hergesell:
OK hieran sieht man nur das du Edonkey o.ä. laufen hast :-)
Also ich hatte den mal vor einer ganzen Weile ausprobiert aber nicht zum Laufen bekommen. Wie kann ich den denn dauerhaft abstellen? Also hat der sich in irgendeine Config eingetragen?
Stoppe die Verbindung ins Internet (vor allem Edonkey). Mach dann ein tail -f /var/log/messages und versuche nun über Windows ins Internet zu gehen. (Wenn du kein DoD nutzt noch die Verbindung aufbauen.) Dann siehst du was die Firewall macht/blockt.
Diese Meldungen sind dann schon eher interessant.
Mar 25 22:46:30 villain kdm[1397]: pam_unix2: session started for user grisu, service xdm Schnipp
Ich hab (ich muss es zugeben) es noch nicht geschafft meine Firewall mit Yast2 zu konfigurieren. Wahrscheinlich bin ich nur zu blöd, aber schick doch mal die Ausgabe von
grep -v '#' /etc/sysconfig/SuSEfirewall2
FW_QUICKMODE="no" FW_DEV_EXT="eth0" FW_DEV_INT="" FW_DEV_DMZ="" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="0/0" FW_PROTECT_FROM_INTERNAL="no" FW_AUTOPROTECT_SERVICES="yes" FW_SERVICES_EXT_TCP="119 80 http pop3 pop3s smtp" FW_SERVICES_EXT_UDP="" FW_SERVICES_EXT_IP="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_DMZ_IP="" FW_SERVICES_INT_TCP="" FW_SERVICES_INT_UDP="" FW_SERVICES_INT_IP="" FW_SERVICES_QUICK_TCP="" FW_SERVICES_QUICK_UDP="" FW_SERVICES_QUICK_IP="" FW_TRUSTED_NETS="" FW_ALLOW_INCOMING_HIGHPORTS_TCP="no" FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS" FW_SERVICE_AUTODETECT="yes" FW_SERVICE_DNS="no" FW_SERVICE_DHCLIENT="no" FW_SERVICE_DHCPD="no" FW_SERVICE_SQUID="no" FW_SERVICE_SAMBA="yes" FW_FORWARD="" FW_FORWARD_MASQ="" FW_REDIRECT="" FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="no" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW" FW_KERNEL_SECURITY="yes" FW_STOP_KEEP_ROUTING_STATE="no" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="yes" FW_ALLOW_PING_EXT="yes" FW_ALLOW_FW_TRACEROUTE="yes" FW_ALLOW_FW_SOURCEQUENCH="yes" FW_ALLOW_FW_BROADCAST="yes" FW_IGNORE_FW_BROADCAST="yes" FW_ALLOW_CLASS_ROUTING="no" FW_CUSTOMRULES="" FW_REJECT="no"
Vorausgesetzt du nutzt die Firewall2 (kontrolliere das im Runleveleditor von Yast2). Hier werden die Einstellungen
Yepp, aber das bringt mich auf eine andere Idee. Könnte ich "aus Versehen" vielleicht irgendeinen Dienst abgeschaltet haben, der für das Routing benötigt wird?
Das war das mit cat /proc/sys/....
vorgenommen für deine Firewall (Yast2 trägt die Sachen auch nur hier ein). Les dir die ganze Datei aber ruhig mal durch.
Änder mal folgende Punkte in /etc/sysconfig/SuSEfirewall2 ab, FW_QUICKMODE="no" FW_DEV_EXT="ppp0" FW_DEV_INT="eth0" FW_DEV_DMZ="" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="Dein-IP-Netz/Netzmaske, Beispiel: 192.168.1.0/24" FW_PROTECT_FROM_INTERNAL="no" FW_AUTOPROTECT_SERVICES="no" FW_SERVICES_EXT_TCP="53" FW_SERVICES_EXT_UDP="53" FW_SERVICES_EXT_IP="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_DMZ_IP="" FW_SERVICES_INT_TCP="0:65535" FW_SERVICES_INT_UDP="0:65535" FW_SERVICES_INT_IP="" FW_SERVICES_QUICK_TCP="" FW_SERVICES_QUICK_UDP="" FW_SERVICES_QUICK_IP="" FW_TRUSTED_NETS="" FW_ALLOW_INCOMING_HIGHPORTS_TCP="no" FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS" FW_SERVICE_AUTODETECT="yes" FW_SERVICE_DNS="no" FW_SERVICE_DHCLIENT="no" FW_SERVICE_DHCPD="no" FW_SERVICE_SQUID="no" FW_SERVICE_SAMBA="no" FW_FORWARD="" FW_FORWARD_MASQ="" FW_REDIRECT="" FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="yes" FW_LOG_ACCEPT_CRIT="no" FW_LOG_ACCEPT_ALL="no" FW_KERNEL_SECURITY="yes" FW_STOP_KEEP_ROUTING_STATE="no" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="yes" FW_ALLOW_PING_EXT="yes" FW_ALLOW_FW_TRACEROUTE="yes" FW_ALLOW_FW_SOURCEQUENCH="yes" FW_ALLOW_FW_BROADCAST="yes" FW_IGNORE_FW_BROADCAST="yes" FW_ALLOW_CLASS_ROUTING="no" FW_CUSTOMRULES="" FW_REJECT="no" Damit sollte es Grundsätzlich erstmal laufen. Halte aber nicht soviel von der SuSEfirewall2, aber besser als garnichts.... Volker
Hallo Volker, Am Dienstag, 25. März 2003 23:22 schrieb Volker Lieder:
So, dann mach ich hier mal weiter ;-)
warst wohl schneller, was :-)
Am Dienstag, 25. März 2003 22:44 schrieb Andreas Hergesell:
OK hieran sieht man nur das du Edonkey o.ä. laufen hast :-)
Also ich hatte den mal vor einer ganzen Weile ausprobiert aber nicht zum Laufen bekommen. Wie kann ich den denn dauerhaft abstellen? Also hat der sich in irgendeine Config eingetragen?
Wenn du Edonkey unter Linux gestartet hast, ist alles OK. Was der Windows Edonkeyclient macht kann ich dir nicht sagen.
Änder mal folgende Punkte in /etc/sysconfig/SuSEfirewall2 ab, FW_QUICKMODE="no"
Hier muss Christian ja nix ändern. Wieso startet denn seine Firewall dann im Quickmode ? Weil sie so falsch konfiguriert war?
FW_DEV_EXT="ppp0"
BTW: Dies gilt für dich mit DSL/Modem wenn du mal auf ISDN umstellen solltest, kommt da ippp0 hin.
FW_DEV_INT="eth0" FW_DEV_DMZ="" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="Dein-IP-Netz/Netzmaske, Beispiel: 192.168.1.0/24" FW_PROTECT_FROM_INTERNAL="no" FW_AUTOPROTECT_SERVICES="no" FW_SERVICES_EXT_TCP="53" FW_SERVICES_EXT_UDP="53"
Muß das? Hab ich bei mir nicht eingestellt. BTW: Christian, du hattest hier div. Sachen eingetragen. Das musst du _nur_ wenn du diese Dienste nach _außen_ anbieten willst.
Damit sollte es Grundsätzlich erstmal laufen. Halte aber nicht soviel von der SuSEfirewall2, aber besser als garnichts.... Volker
Warum nicht? Aus Sicherheitsgründen oder fehlt dir die Flexibilität? viele Grüße Andreas -- Prozessor sagt zum Speicher: "Bitte ein Bit!" Der Anwender zum Computer: "Ich trink eins mit!" (Unbekannt)
Hallo Volker, Hi...
warst wohl schneller, was :-)
Am Dienstag, 25. März 2003 22:44 schrieb Andreas Hergesell:
OK hieran sieht man nur das du Edonkey o.ä. laufen hast :-)
Also ich hatte den mal vor einer ganzen Weile ausprobiert aber nicht zum Laufen bekommen. Wie kann ich den denn dauerhaft abstellen? Also hat der sich in irgendeine Config eingetragen?
Wenn du Edonkey unter Linux gestartet hast, ist alles OK. Was der Windows Edonkeyclient macht kann ich dir nicht sagen.
Änder mal folgende Punkte in /etc/sysconfig/SuSEfirewall2 ab, FW_QUICKMODE="no"
Hier muss Christian ja nix ändern. Wieso startet denn seine Firewall dann im Quickmode ? Weil sie so falsch konfiguriert war? Das ist ne Sache die ich bei 8.1 auch noich nicht ganz raus habe
FW_DEV_EXT="ppp0"
BTW: Dies gilt für dich mit DSL/Modem wenn du mal auf ISDN umstellen solltest, kommt da ippp0 hin.
Technologischer Rückschritt ;-)
FW_DEV_INT="eth0" FW_DEV_DMZ="" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="Dein-IP-Netz/Netzmaske, Beispiel: 192.168.1.0/24" FW_PROTECT_FROM_INTERNAL="no" FW_AUTOPROTECT_SERVICES="no" FW_SERVICES_EXT_TCP="53" FW_SERVICES_EXT_UDP="53"
Muß das? Hab ich bei mir nicht eingestellt.
Muss nicht, ermöglicht aber eine bessere Kommunikation mit Nameservern im I-Net
BTW: Christian, du hattest hier div. Sachen eingetragen. Das musst du _nur_ wenn du diese Dienste nach _außen_ anbieten willst.
Damit sollte es Grundsätzlich erstmal laufen. Halte aber nicht soviel von der SuSEfirewall2, aber besser als garnichts.... Volker
Warum nicht? Aus Sicherheitsgründen oder fehlt dir die Flexibilität?
Sicherheitsgründe. Hab auf meinem Server Samba, Postfix, POP3-Client etc installiert und über einen Portscan vpn extern sind die Dienste verfügbar, obwohl in SuSEfirewall2 nicht eingetragen. Habe mir daraufhin eine eigene Firewall aus iptables gestrickt, die ich beim Verbindungsaufbau etc starte. Fühle mich jetzt einfach sicherer ;-)
viele Grüße
Andreas
Volker
Hi nochmal, Am Dienstag, 25. März 2003 23:59 schrieb Volker Lieder:
Änder mal folgende Punkte in /etc/sysconfig/SuSEfirewall2 ab, FW_QUICKMODE="no"
Hier muss Christian ja nix ändern. Wieso startet denn seine Firewall dann im Quickmode ? Weil sie so falsch konfiguriert war?
Das ist ne Sache die ich bei 8.1 auch noich nicht ganz raus habe
Ich auch nicht :-) Deshalb die Frage... Weiß das jemand???
FW_DEV_EXT="ppp0"
BTW: Dies gilt für dich mit DSL/Modem wenn du mal auf ISDN umstellen solltest, kommt da ippp0 hin.
Technologischer Rückschritt ;-)
Ja, aber Fallbacklösung.
FW_SERVICES_EXT_TCP="53" FW_SERVICES_EXT_UDP="53"
Muß das? Hab ich bei mir nicht eingestellt.
Muss nicht, ermöglicht aber eine bessere Kommunikation mit Nameservern im I-Net
Muss ich dann mal verfolgen.
Halte aber nicht soviel von der SuSEfirewall2, aber besser als garnichts.... Volker
Warum nicht? Aus Sicherheitsgründen oder fehlt dir die Flexibilität?
Sicherheitsgründe. Hab auf meinem Server Samba, Postfix, POP3-Client etc installiert und über einen Portscan vpn extern sind die Dienste verfügbar, obwohl in SuSEfirewall2 nicht eingetragen.
Schluck. :-(
Habe mir daraufhin eine eigene Firewall aus iptables gestrickt, die ich beim Verbindungsaufbau etc starte. Fühle mich jetzt einfach sicherer ;-)
Öhm, wärst du so nett und würdest mir das mal per PM zuschicken? Ich weiß, da gibt es viel im Netz, aber als Grundlage wäre das dann toll!
Volker
Viele Grüße Andreas -- "There is no reason anyone would want a computer in the home" (Kenneth Olsen, Digital Equipment Corporation (DEC), 1977)
Hallo Andreas! Am Dienstag, 25. März 2003 23:44 schrieb Andreas Hergesell:
Wenn du Edonkey unter Linux gestartet hast, ist alles OK. Was der Windows Edonkeyclient macht kann ich dir nicht sagen.
Okay, das hatte sich wohl schon geklärt.
BTW: Dies gilt für dich mit DSL/Modem wenn du mal auf ISDN umstellen solltest, kommt da ippp0 hin.
yepp, i know..
BTW: Christian, du hattest hier div. Sachen eingetragen. Das musst du _nur_ wenn du diese Dienste nach _außen_ anbieten willst.
Also 80 wollte ich schon, weil ich einen Apache lokal laufen hab' und von extern schon mal auf mein Userverzeichnis zugreifen wollte um das ein ein oder andere runterzuladen. Also http://ip-adresse/~grisu/. Das hab' ich so in der httpd.conf eingestellt. gute nacht > christian
Am Dienstag, 25. März 2003 20:59 schrieb Christian Machmeier:
Hallo Liste!
Ich habe zwei Rechner: SuSE Linux 8.1 & Win2kPRO. Das Netzwerk funktionierte so weit perfekt, beide Rechner konnten sich anpingen,
Schau mal, ob im Hintergrund ein iptables-Prozess läuft. Sollte er nämlich nicht. Falls doch: killall iptables. Wenn es dann wieder funktioniert, lag es wohl an der Firewall von 8.1. Laß sie doch einfach weg. Peter
Hallo Peter
Schau mal, ob im Hintergrund ein iptables-Prozess läuft. Sollte er nämlich nicht. Falls doch: killall iptables. Wenn es dann wieder
killall iptables bringt "iptabels: no process killed".
funktioniert, lag es wohl an der Firewall von 8.1. Laß sie doch einfach weg.
Hab' ich schon probiert. Also wieder in Yast2 und die Firewall abgeschaltet. Das brachte aber keine Besserung. mfg > christian
Moin, Christian Machmeier schrieb: Bitte den Vorredner stehen lassen.
Schau mal, ob im Hintergrund ein iptables-Prozess läuft. Sollte er nämlich nicht. Falls doch: killall iptables. Wenn es dann wieder funktioniert, lag es wohl an der Firewall von 8.1. Laß sie doch einfach weg.
Ein Dial-In-Server sollte eigentlich schon einen funktionierenden Paketfilter haben, alleine schon zur Verhinderung von IP-Spoofing. Man denke immer schön an die Skript-Kiddies, die den ganzen Tag nix Besseres zu tun haben.
Hab' ich schon probiert. Also wieder in Yast2 und die Firewall abgeschaltet. Das brachte aber keine Besserung.
Also, der Linux-Rechner kommt einwandfrei ins Internet. Die Windows-Kiste, die den Linux-Rechner als Gateway benutzen soll, aber nicht mehr. Da wäre mal zu prüfen, ob die Linux-Mühle tatsächlich noch als Gateway fungiert. Wenn nicht, fühlt sie sich nicht dafür zuständig, die Anfragen der Windows-Kiste ins Internet weiterzuleiten. Schau dir einmal die Artikel in der SDB zum Suchbegriff "Gateway" an und gehe die dort genannten Schritte nochmal einen nach dem anderen durch. -- Gruß, Patrick
participants (5)
-
Andreas Hergesell
-
cmachmeier@t-online.de
-
patrick_hess@t-online.de
-
Peter Lipp
-
Volker Lieder