Hallo Liste, ich versuche nunmehr seit einigen Tagen bereits die Grundkonfiguration einer SuSEfirewall hinzukriegen. Immerhin habe ich sie scheinbar zum Starten bekommen. Allerdings glaube ich, nachdem ich die bisherigen Postings auf der Liste gelesen habe, daß die Regeln, die insbesondere in der INPUT-chain gesetzt sind, nicht restriktiv genug sind. Allerdings muß ich sagen, daß ich in Bezug auf Firewall ein NEWBIE bin. Ich hoffe meine Aufstellung unten gerät nicht zu lang. Zunächst einmal Informationen zu meinem System: Ich habe zwei vernetzte Rechner. Der neue Rechner ist mit zwei Netzwerkkarten ausgestattet und über DSL (eth0) an das Internet angebunden (Suse 7.3). Der zweite Rechner hat keinen direkten Zugang zum Internet (Suse 7.2). Er soll später aber über den anderen Rechner geroutet in das Internet gehen können. Die Ausgabe von route -n auf dem Rechner mit zwei Karten (nicht nur als router benutzt) ergibt bei Einwahl in das Internet folgendes: Ziel Router Genmask Flags Metric Ref Use Iface 217.5.98.70 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0 192.168.22.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 0.0.0.0 217.5.98.70 0.0.0.0 UG 0 0 0 ppp0 In /etc/rc.config.d/firewall2.rc.config habe ich folgende Eintragungen (Auszug / nur Änderungen): ------------------------------------------------ FW_DEV_EXT="ppp0" FW_DEV_INT="eth1" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="192.168.0.0/99" FW_PROTECT_FROM_INTERNAL="yes" FW_AUTOPROTECT_SERVICES="no" FW_SERVICES_INT_TCP="25 53 80 110 3128 smtp ssh" FW_SERVICES_INT_UDP="53" FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" FW_SERVICE_AUTODETECT="yes" FW_SERVICE_DHCLIENT="no" FW_SERVICE_DHCPD="no" FW_SERVICE_SQUID="no" FW_SERVICE_SAMBA="no" FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="no" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" FW_KERNEL_SECURITY="yes" FW_STOP_KEEP_ROUTING_STATE="yes" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_PING_EXT="yes --------------------------------------------------- Ein SuSEfirewall2 start ergibt hiernach Folgendes: iptables v1.2.2: invalid mask `99' specified 1) Hier habe ich mein erstes Verständnisproblem. M.E. habe ich mit der Eintragung oben: FW_MASQ_NETS="192.168.0.0/99" den Netzbereich von 192.168.0.0 bis 192.168.0.99 vorgeben (Netmask ist 255.255.255.0) 2) Zweitens habe ich weder in der Datei /var/log/messages noch in var/log/firewall bisher kritische Eintragungen zu verworfenen Paketen gefunden. Sollte ich hier eventuell erst einmal alle verworfenen Pakete protokollieren lassen. 3) Wo werden die Regeln der SuSEfirewall2 tatsächlich abgelegt. Gibt es eine Datei, die man editieren und eventuell um weitere Regeln ergänzen könnte. Falls noch weitere Informationen benötigt werden (z.B. Ausgabe von SuSEfirewall2 status), kann ich diese noch nachliefern. Ich wollte hier jetzt einfach erstmal nicht zu lang werden. Gruß Andreas