hallo / Erforschung Firewall
Moin zusammen,
ich bin neu auf dieser Liste, stamme aus der Debian-Gemeinde und hoffe
hier auf ein paar Hinweise, die mich ein bisschen in die SuSE-Spur bringen.
Ich bin mit einem Rechner konfrontiert worden, der mit zwei Netzkarten
als Firewall und OpenVPN-Server dient. Darauf läuft eine SuSE 9.3.
Erste Frage: Wo kann ich ältere Distributionen (9.3) runterladen? Ich
muss eventuell was nachinstallieren....
Außerdem will ich remote per ssh auf die Maschine zugreifen. Es
existiert eine dynamisch Namensauflösung. Ich habe bislang nicht
gesehen, ob yast2 ohne X dort läuft. Das ältere yast funktioniert auf
Basis von ncurses. Macht yast2 das auch?
In der /etc/Yast2/control.xml habe ich ein Flag '
Am Dienstag, den 17.02.2009, schrieb Boris um 15:12 Uhr:
Erste Frage: Wo kann ich ältere Distributionen (9.3) runterladen? Ich muss eventuell was nachinstallieren....
Siehe http://de.opensuse.org/Spiegelserver_der_eingestellten_Versionen Beste Grüße Buschmann ---------------------------------------------------------------------------------- openSUSE-Mitglied - de.opensuse.org Sys-Op http://de.opensuse.org/Benutzer:Buschmann23
Matthias Fehring schrieb:
Am Dienstag, den 17.02.2009, schrieb Boris um 15:12 Uhr:
Erste Frage: Wo kann ich ältere Distributionen (9.3) runterladen? Ich muss eventuell was nachinstallieren....
Siehe http://de.opensuse.org/Spiegelserver_der_eingestellten_Versionen
Moin Buschmann, danke für Deinen Beitrag. Hast Du die dort verzeichneten Links für die 9.3 mal probiert? http://ftp5.gwdg.de/pub/suse/i386/9.3/ http://ftp.gwdg.de/pub/linux/suse/discontinued/i386/9.3/ Die führen bei mir zu 404. Schließlich habe ich aber http://ftp5.gwdg.de/pub/linux/suse/discontinued/i386/9.3/ gefunden! Grüße, Boris -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Dienstag, den 17.02.2009, schrieb Boris um 15:47 Uhr:
Matthias Fehring schrieb:
Am Dienstag, den 17.02.2009, schrieb Boris um 15:12 Uhr:
Erste Frage: Wo kann ich ältere Distributionen (9.3) runterladen? Ich muss eventuell was nachinstallieren....
Siehe http://de.opensuse.org/Spiegelserver_der_eingestellten_Versionen
Moin Buschmann,
danke für Deinen Beitrag. Hast Du die dort verzeichneten Links für die 9.3 mal probiert?
http://ftp5.gwdg.de/pub/suse/i386/9.3/
http://ftp.gwdg.de/pub/linux/suse/discontinued/i386/9.3/
Die führen bei mir zu 404.
Schließlich habe ich aber
http://ftp5.gwdg.de/pub/linux/suse/discontinued/i386/9.3/
gefunden!
Grüße,
Boris
Danke für den Hinweis, ich habe die Verknüpfungen angepassten. Die stimmten für sämtliche GWDG-Spiegelserver nicht mehr. Beste Grüße Buschmann ---------------------------------------------------------------------------------- openSUSE-Mitglied - de.opensuse.org Sys-Op http://de.opensuse.org/Benutzer:Buschmann23
Am Dienstag, 17. Februar 2009 15:12:58 schrieb Boris:
In der /etc/Yast2/control.xml habe ich ein Flag '
false ' gefunden. Reicht es, dieses in Yast2 zu enablen oder muss ich manuell noch einen Port öffnen? Mache ich das in /etc/sysconfig/SuSEFirewall2 mit FW_SERVICES_EXT_TCP="22"
Letzteres. Die Firewall konfigurierst Du am besten über /etc/sysconfig/SuSEFirewall2. MfG Marco -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Tuesday 17 February 2009 15:12:58 schrieb Boris:
Moin zusammen, Moin Boris
Erste Frage: Wo kann ich ältere Distributionen (9.3) runterladen? Ich muss eventuell was nachinstallieren.... Ich denke (hoffe) du bist dir im Klaren, dass die 9.3 nicht mehr mit Sicherheitsupdates versorgt wird.
Außerdem will ich remote per ssh auf die Maschine zugreifen. Es existiert eine dynamisch Namensauflösung. Ich habe bislang nicht gesehen, ob yast2 ohne X dort läuft. Das ältere yast funktioniert auf Basis von ncurses. Macht yast2 das auch? kurze Antwort: Ja, es läuft ohne X.
In der /etc/Yast2/control.xml habe ich ein Flag '
false ' gefunden. Reicht es, dieses in Yast2 zu enablen oder muss ich manuell noch einen Port öffnen? Mache ich das in /etc/sysconfig/SuSEFirewall2 mit FW_SERVICES_EXT_TCP="22"
ssh bekommst du entweder mit: FW_SERVICES_EXT_TCP="22" oder Schau dir mal die Option "FW_CONFIGURATIONS_EXT" in der /etc/sysconfig/SuSEFirewall2 an: [...] ## Type: string # # Which services _on the firewall_ should be accessible from # untrusted networks? # # Packages can drop a configuration file that specifies all required # ports into /usr/share/SuSEfirewall2/services . That is handy for # services that require multiple ports or protocols. Enter the space # separated list of configuration files you want to load. # # The content of those files is merged into # FW_SERVICES_$zone_$protocol, ie has precedence over # FW_SERVICES_ACCEPT_* # # Example: "samba-server nfs-server" FW_CONFIGURATIONS_EXT="nfs-client sshd vsftpd" [...] Und dann wirf mal einen Blick in das Verzeichnis: '/etc/sysconfig/SuSEfirewall2.d/services' Ich denke das beantwortet deine Frage :-) Gruß Michael -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Michael Frank schrieb:
Am Tuesday 17 February 2009 15:12:58 schrieb Boris:
Moin zusammen, Moin Boris
Erste Frage: Wo kann ich ältere Distributionen (9.3) runterladen? Ich muss eventuell was nachinstallieren.... Ich denke (hoffe) du bist dir im Klaren, dass die 9.3 nicht mehr mit Sicherheitsupdates versorgt wird.
Außerdem will ich remote per ssh auf die Maschine zugreifen. Es existiert eine dynamisch Namensauflösung. Ich habe bislang nicht gesehen, ob yast2 ohne X dort läuft. Das ältere yast funktioniert auf Basis von ncurses. Macht yast2 das auch? kurze Antwort: Ja, es läuft ohne X.
In der /etc/Yast2/control.xml habe ich ein Flag '
false ' gefunden. Reicht es, dieses in Yast2 zu enablen oder muss ich manuell noch einen Port öffnen? Mache ich das in /etc/sysconfig/SuSEFirewall2 mit FW_SERVICES_EXT_TCP="22"ssh bekommst du entweder mit: FW_SERVICES_EXT_TCP="22"
oder
Schau dir mal die Option "FW_CONFIGURATIONS_EXT" in der /etc/sysconfig/SuSEFirewall2 an:
[...] ## Type: string # # Which services _on the firewall_ should be accessible from # untrusted networks? # # Packages can drop a configuration file that specifies all required # ports into /usr/share/SuSEfirewall2/services . That is handy for # services that require multiple ports or protocols. Enter the space # separated list of configuration files you want to load. # # The content of those files is merged into # FW_SERVICES_$zone_$protocol, ie has precedence over # FW_SERVICES_ACCEPT_* # # Example: "samba-server nfs-server" FW_CONFIGURATIONS_EXT="nfs-client sshd vsftpd" [...]
Und dann wirf mal einen Blick in das Verzeichnis: '/etc/sysconfig/SuSEfirewall2.d/services'
Ich denke das beantwortet deine Frage :-)
Gruß Michael
Moin zusammen, vielen dank für alle Beiträge! Mal sehen, wie weit ich komme... Grüße, Boris -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Boris schrieb:
Moin zusammen, [snip]
Außerdem will ich remote per ssh auf die Maschine zugreifen. Es existiert eine dynamisch Namensauflösung. Ich habe bislang nicht gesehen, ob yast2 ohne X dort läuft. Das ältere yast funktioniert auf Basis von ncurses. Macht yast2 das auch? In der /etc/Yast2/control.xml habe ich ein Flag '
false ' gefunden. Reicht es, dieses in Yast2 zu enablen oder muss ich manuell noch einen Port öffnen? Mache ich das in /etc/sysconfig/SuSEFirewall2 mit FW_SERVICES_EXT_TCP="22"
Also, das ist schon merwürdig....
Jetzt, wo ich wieder vor der Maschine sitze, finde ich, dass die
SuSEFirewall2 wohl gar nicht läuft (entsprechend zieht die oben
angedachte Konfiguration nicht). Yast2 sagt, es liefe eine andere
Firewall und in /var/log/firewall häufen sich Drop-Meldungen.
# /etc/init.d/SuSEFirewall2_init status
Checking the status of the Firewall
unused
Hier die Ausgabe von ps aux. Ich finde da keine Firewall....
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.0 680 248 ? S Feb10 0:00 init
[3]
root 2 0.0 0.0 0 0 ? SN Feb10 0:00
[ksoftirqd/0]
root 3 0.0 0.0 0 0 ? S< Feb10 0:00 [events/0]
root 4 0.0 0.0 0 0 ? S< Feb10 0:00 [khelper]
root 9 0.0 0.0 0 0 ? S< Feb10 0:00 [kthread]
root 19 0.0 0.0 0 0 ? S< Feb10 0:00 [kacpid]
root 116 0.0 0.0 0 0 ? S< Feb10 0:00 [kblockd/0]
root 159 0.0 0.0 0 0 ? S< Feb10 0:00 [aio/0]
root 158 0.0 0.0 0 0 ? S Feb10 0:00 [kswapd0]
root 752 0.0 0.0 0 0 ? S Feb10 0:00 [kseriod]
root 967 0.0 0.0 0 0 ? S< Feb10 0:00 [ata/0]
root 973 0.0 0.0 0 0 ? S Feb10 0:00 [scsi_eh_0]
root 980 0.0 0.0 0 0 ? S Feb10 0:00 [scsi_eh_1]
root 1092 0.0 0.0 0 0 ? S< Feb10 0:00 [xfslogd/0]
root 1093 0.0 0.0 0 0 ? S< Feb10 0:00
[xfsdatad/0]
root 1094 0.0 0.0 0 0 ? S Feb10 0:00 [xfsbufd]
root 1102 0.0 0.0 0 0 ? S Feb10 0:00 [xfssyncd]
root 2146 0.0 0.2 1472 600 ? S
Am Wednesday 18 February 2009 15:08:49 schrieb Boris:
Boris schrieb:
Moin zusammen,
[snip] Yast2 sagt, es liefe eine andere Firewall häh? :-) Ich meine "SuSEfirewall" ist ja auch "bloss" ein iptables Script.
und in /var/log/firewall häufen sich Drop-Meldungen.
# /etc/init.d/SuSEFirewall2_init status Checking the status of the Firewall unused [...]
Was sagt denn ein '# iptables -nL' ? bzw. ein # rcSuSEfirewall2 start -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Boris, Am Mittwoch 18 Februar 2009 schrieb Boris:
Boris schrieb:
[snip]
Außerdem will ich remote per ssh auf die Maschine zugreifen. Es existiert eine dynamisch Namensauflösung. Ich habe bislang nicht gesehen, ob yast2 ohne X dort läuft. Das ältere yast funktioniert auf Basis von ncurses. Macht yast2 das auch? In der /etc/Yast2/control.xml habe ich ein Flag '
false ' gefunden. Reicht es, dieses in Yast2 zu enablen oder muss ich manuell noch einen Port öffnen? Mache ich das in /etc/sysconfig/SuSEFirewall2 mit FW_SERVICES_EXT_TCP="22"Also, das ist schon merwürdig.... Jetzt, wo ich wieder vor der Maschine sitze, finde ich, dass die SuSEFirewall2 wohl gar nicht läuft (entsprechend zieht die oben angedachte Konfiguration nicht).
Ob die Susefirewall läuft oder nicht, siehst Du nicht in der Processliste, nur an den laufenden Logmeldungen ind /var/log/messages oder /var/log/firewall, falls der Admin das rausfiltert, was ich zBsp der Leserlichkeit halber mache.
Yast2 sagt, es liefe eine andere Firewall
Darauf kann ich mir keinen Reim machen.
und in /var/log/firewall häufen sich Drop-Meldungen.
Dann läuft bestimmt was, das filtert.
# /etc/init.d/SuSEFirewall2_init status Checking the status of the Firewall
[...] Da ich es selbst erlebt habe: Hat der vorherige Admin vielleicht an den in Suse eingebauten Mechanismen vorbei ein eigenes Firewallskript geschrieben und werkelt das irgendwo vor sich hin? In diesem Falle müßtest Du ein bißchen Detektiv spielen.
In der /etc/sysconfig/SuSEFirewall2 ist der Port 1197 geöffnet. Dorthin ist OpenVPN verbogen. Das kann ja eigentlich dann gar nicht laufen und ich sehe auch abgelehnte Pakete von irgendeinem Client auf diesem Port.
In diesem Falle müßtest Du gucken, auf welchem Port der VPN-Server lauscht. Vielleicht ist der aus 'Sicherheits'gründen auf einen Nichtstandardport verlegt worden.
In /etc/sysconfig/proxy ist jeweils ein Eintrag für einen http- und einen ftp-Proxy, der sehr wahrscheinlich von dem ursprünglichen Administrator stammt. Es steht aber auch PROXY_ENABLED="no" darin.
Wenn Du den Proxy gerade nicht brauchst, laß es so, wie es ist. Vielleicht scannst Du den Server mal mit nmap, damit Du weißt, was da alles offen ist und antwortet. Und noch einmal mein Hinweis: Es mag sein, dass Du einen Rechner vor Dir hast, der sehr individuell konfiguriert wurde. Dann mußt Du einerseits erforschen, wie Suse im Normalzustand funktioniert und andererseits versuchen, herauszubekommen, was der Vorgängeradmin warum anderes gestaltet hat. Eventuell hilft es Dir, eine Suse 9.3 als virtuelle Maschine aufzusetzen. Dann hast Du ein Standardsystem zum Vergleichen. (Für Systeme, die ich nicht so gut kenne wie Suse habe ich immer eine VM parat und kann dort erst einmal probieren. Die Textbasierten Serverlinuxe schlucken als Virtuelle Maschine auch nicht so viel Ressourcen, als dass man sie nicht nebenher noch laufen lassen könnte. Helga -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Helga Fischer schrieb:
Hallo Boris,
Am Mittwoch 18 Februar 2009 schrieb Boris:
Boris schrieb:
[snip]
Außerdem will ich remote per ssh auf die Maschine zugreifen. Es existiert eine dynamisch Namensauflösung. Ich habe bislang nicht gesehen, ob yast2 ohne X dort läuft. Das ältere yast funktioniert auf Basis von ncurses. Macht yast2 das auch? In der /etc/Yast2/control.xml habe ich ein Flag '
false ' gefunden. Reicht es, dieses in Yast2 zu enablen oder muss ich manuell noch einen Port öffnen? Mache ich das in /etc/sysconfig/SuSEFirewall2 mit FW_SERVICES_EXT_TCP="22" Also, das ist schon merwürdig.... Jetzt, wo ich wieder vor der Maschine sitze, finde ich, dass die SuSEFirewall2 wohl gar nicht läuft (entsprechend zieht die oben angedachte Konfiguration nicht).Ob die Susefirewall läuft oder nicht, siehst Du nicht in der Processliste, nur an den laufenden Logmeldungen ind /var/log/messages oder /var/log/firewall, falls der Admin das rausfiltert, was ich zBsp der Leserlichkeit halber mache.
Yast2 sagt, es liefe eine andere Firewall
Darauf kann ich mir keinen Reim machen.
und in /var/log/firewall häufen sich Drop-Meldungen.
Dann läuft bestimmt was, das filtert.
# /etc/init.d/SuSEFirewall2_init status Checking the status of the Firewall
[...]
Da ich es selbst erlebt habe: Hat der vorherige Admin vielleicht an den in Suse eingebauten Mechanismen vorbei ein eigenes Firewallskript geschrieben und werkelt das irgendwo vor sich hin? In diesem Falle müßtest Du ein bißchen Detektiv spielen.
In der /etc/sysconfig/SuSEFirewall2 ist der Port 1197 geöffnet. Dorthin ist OpenVPN verbogen. Das kann ja eigentlich dann gar nicht laufen und ich sehe auch abgelehnte Pakete von irgendeinem Client auf diesem Port.
In diesem Falle müßtest Du gucken, auf welchem Port der VPN-Server lauscht. Vielleicht ist der aus 'Sicherheits'gründen auf einen Nichtstandardport verlegt worden.
In /etc/sysconfig/proxy ist jeweils ein Eintrag für einen http- und einen ftp-Proxy, der sehr wahrscheinlich von dem ursprünglichen Administrator stammt. Es steht aber auch PROXY_ENABLED="no" darin.
Wenn Du den Proxy gerade nicht brauchst, laß es so, wie es ist.
Vielleicht scannst Du den Server mal mit nmap, damit Du weißt, was da alles offen ist und antwortet.
Und noch einmal mein Hinweis: Es mag sein, dass Du einen Rechner vor Dir hast, der sehr individuell konfiguriert wurde. Dann mußt Du einerseits erforschen, wie Suse im Normalzustand funktioniert und andererseits versuchen, herauszubekommen, was der Vorgängeradmin warum anderes gestaltet hat.
Eventuell hilft es Dir, eine Suse 9.3 als virtuelle Maschine aufzusetzen. Dann hast Du ein Standardsystem zum Vergleichen. (Für Systeme, die ich nicht so gut kenne wie Suse habe ich immer eine VM parat und kann dort erst einmal probieren. Die Textbasierten Serverlinuxe schlucken als Virtuelle Maschine auch nicht so viel Ressourcen, als dass man sie nicht nebenher noch laufen lassen könnte.
Helga
Moin zusammen, - war offline, daher hatte ich ordentlich Zeit zum Suchen. Dabei habe ich in der Tat ein Skript gefunden, das die iptables-Regeln erstellt. Die Idee mit der VM habe ich heute morgen schon umgesetzt. Ist schon witzig, wie sich die Herangehensweisen ähneln! Dank Euch! Boris -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (5)
-
Boris -
Helga Fischer -
Marco Roeben -
Matthias Fehring -
Michael Frank