Hallo Hans und Liste! Am Sonntag, 14. Juli 2002 15:18 schrieb hans dominick:
Ich starte Die firewall wie folgt:
rcSuSEfirewall2 start
Aha. Ich starte über rc.config. Da gibts nen Parameter "start_fw" (oder so ähnlich. Kann man mittels YAST1 setzen. Steht auch so in /etc/rc.config.d/susefirewall2.rc.config
ab wie ist der starte ich die FW Testweise?
Mach mal "SuSEfirewall2 help" , da gibts die Parameter und zum Parameter "test" sagt er: "test generate and load the filter rules but do not drop any packet but log to syslog anything which *would* be denied" Ich geh jetzt nur auf die Einträge Deiner Config ein, die ich anders hab:
FW_DEV_INT="eth0" FW_DEW_DMZ="eth0"
Hast Du eine DMZ (müßte auch FW_DEV_DMZ heißen!)? Mich hatte das auch zunächst verwirrt, aber wenn Du sowas nicht hast solltest Du da auch nichts eintragen, also "". Ich bin mir auch nicht sicher was es für die Firewall bedeutet, dass INT und DMZ auf dasselbe Gerät zeigen, da Du sie ja später unterschiedlich behandelst.
FW_MASQ_NETS="0/0"
Ok, Du willst also unbeschränkten Zugriff von innen aufs Internet erlauben? Kannste ja später, wenn alles läuft, vielleicht etwas einschränken.
FW_AUTOPROTECT_SERVICES="no"
Hab ich auf "yes". Ist wohl in der Regel auch eine gute Wahl.
FW_SERVICES_EXT_TCP="http https imaps pop3 pop3s rsync smtp ssh telnet"
Das sind die Services, die Du nach aussen ins Internet freigibst! Ne ganze Menge. Ich hab das leer, aber ich will auch nix nach außen freigeben.
FW_SERVICES_EXT_UDP=""
Na gut, hier hab ich Port 53 für DNS freigegeben. Weiß aber im Moment auch nicht mehr wieso ich das damals gemacht hab.
FW_SERVICES_EXT_IP="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_DMZ_IP=""
Solltest Du so lassen, wenn Du keine DMZ hast.
FW_SERVICES_INT_TCP=""
Ok, hier sagst Du, daß Deine internen PCs nix dürfen. Ich habe da z.B. eingetragen "25 110", damit sie Mails alleine holen und senden dürfen!
FW_SERVICES_INT_UDP=""
Hier hab ich "53" drin, damit die auf den DNS kommen!
FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS"
Da hab ich einfach "yes". Und FW_ALLOW_INCOMING_HIGHPORTS_UDP fehlt bei Dir, hab ich ebenfalls "yes".
FW_FORWARD="yes" FW_FORWARD_MASQ="yes"
Die beiden hab ich leer...traf auf mich nicht zu. Rein gefühlsmäßig würde ich sagen (soweit ich Dich verstanden habe) Du solltest die auch leer lassen. Wo ich gerade in den Hilfetext dazu schaue scheint mir aber "yes" auch in beiden Fällen kein guter Eintrag zu sein. Schau nochmal genau hin! Was willst Du hier überhaupt erreichen?
FW_ALLOW_PING_EXT="no"
Hab ich auf "yes", sonst ist es ja klar, daß Du keine anderen Systeme anpingen kannst, wie Du unten beschreibst! (*)
Anmerkung: Mit dem Linux System kann wenn die FW aktiv ist auch keine Systeme wie www.SUSE.de oder z.B. 194.245.111.78 pingen. das ist erst möglich wenn ich die FW stop.
Das ist genau der Fall von (*).
Ich hoffe die Aufstellung hilf eine Lösunge zufinden.
Hoffe mit meinem noch bescheidenen Wissen geholfen zu haben! Viel Erfolg, Ralf -- Ralf Carlet -=- eMail: ralf@carlet.de