Mailinglist Archive: opensuse-de (1579 mails)
| < Previous | Next > |
Re: Firewall: Erklärung?
- From: Jan Ritzerfeld <suse@xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx>
- Date: Sun, 13 May 2007 15:16:02 +0200
- Message-id: <200705131516.03233.suse@mailinglists.jan.ritzerfeld.net>
Am Sonntag, 13. Mai 2007 14:49 schrieb Johannes Kapune:
Keine Ursache.
Jau. Ich bin von einem vollgemüllten Firewall-Log auch immer wenig
begeistert.
Tststs, so war das aber nicht gedacht. :)
Als erstes mußt du die Custom-Rules erstmal aktivieren, sprich
in /etc/sysconfig/SuSEfirewall2 von folgender Zeile das
Kommentar-Zeichen '#' entfernen:
#FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom"
und die Zeile danach
FW_CUSTOMRULES=""
auskommentieren.
Dann in /etc/sysconfig/scripts/SuSEfirewall2-custom von folgenden Zeilen das
Kommentarzeichen entfernen:
#iptables -A INPUT -j ACCEPT -d 224.0.0.0/24
Nach einem "rcSuSEfirewall2 reload" sollten die Meldungen nicht mehr
auftauchen. Dein Rechner akzeptiert dann wortlos die Multicast-Pakete,
welcher er vorher mit einer Meldung im Log verworfen hat.
Will du den Empfang Multicast der Multicast-Pakete verhindern, also wie
bisher per default, aber ohne daß ein Eintrag im Firewall-Log erscheint,
dann änderst du FW_CUSTOMRULES wie oben beschrieben aber entfernst /nicht/
den Kommentar in SuSEfirewall2-custom vor der Zeile
#iptables -A INPUT -j ACCEPT -d 224.0.0.0/24
sondern schreibst darunter einfach
iptables -A INPUT -j DROP -d 224.0.0.0/24
Das ist schön. Mein Router trägt die Hostnamen leider nicht in seinen DNS
ein. :-(
BTW, das war nur ein Beispiel für Multicast. An sich ist es absolut nicht an
eine Anwendung gekoppelt, sondern halt eine andere Art der
Paket-Verteilung, so wie Broadcast.
Ich glaube, unter der 9.3 sieht die Konfiguration der SuSEfirewall2 ziemlich
genauso aus.
;)
Gruß
Jan
--
Never, ever use repetitive redundancies.
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
Hallo Jan,
ersteinmal danke für deine Geduld und Mühen.
Keine Ursache.
Am Sonntag, den 13.05.2007, 14:05 +0200 schrieb Jan Ritzerfeld:
Einerseits meintest du ja, daß das interne Netz auf einem anderen
IP-Bereich konfiguriert ist und andererseits wolltest du doch wissen,
was auf 224.0.0.1 gesucht wird. Anhand der Ausgabe siehst du, daß auch
dein internes Netz indirekt auf diesem IP-Bereich konfiguriert ist und
dein Rechner diese IP-Adresse hat bzw. an der Gruppe teilnimmt. Sprich,
die Fritzbox sucht auch deinen Rechner.
Da ich nicht weiß warum stört es mich. Und damit es mir die Logs nicht
vollmüllt will ich es "weg" haben
Jau. Ich bin von einem vollgemüllten Firewall-Log auch immer wenig
begeistert.
(...). Und wenn ich mich recht erinnere wurde in der 9.1 die
Multicast-DNS-Unterstützung eingebaut, ab da an waren lokale Domains
mit .local keine Gute Idee mehr, weil diese per Multicast-DNS aufgelöst
werden (müssen).
mit den .local: da war doch mal was ;-)
ich hatte es unter 9.3 mit dem editieren einer Datei "hingewurstelt"
(Austausch von local gegen lokal)
Tststs, so war das aber nicht gedacht. :)
äh - werden die nicht schon gedroppt (laut Log)?
Eben, laut Log. Wenn du sie in
/etc/sysconfig/scripts/SuSEfirewall2-custom aber wie beschrieben per
DROP oder REJECT verwirfst, gibt es /keine/ Meldungen mehr darüber im
Log.
tut mir jetzt leid wenn ich das mal so gerade heraus frage:
Wie müßte diese Zeile / Regel in der
/etc/sysconfig/scripts/SuSEfirewall2-custom
denn dann aussehen?
Als erstes mußt du die Custom-Rules erstmal aktivieren, sprich
in /etc/sysconfig/SuSEfirewall2 von folgender Zeile das
Kommentar-Zeichen '#' entfernen:
#FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom"
und die Zeile danach
FW_CUSTOMRULES=""
auskommentieren.
Dann in /etc/sysconfig/scripts/SuSEfirewall2-custom von folgenden Zeilen das
Kommentarzeichen entfernen:
#iptables -A INPUT -j ACCEPT -d 224.0.0.0/24
Nach einem "rcSuSEfirewall2 reload" sollten die Meldungen nicht mehr
auftauchen. Dein Rechner akzeptiert dann wortlos die Multicast-Pakete,
welcher er vorher mit einer Meldung im Log verworfen hat.
Will du den Empfang Multicast der Multicast-Pakete verhindern, also wie
bisher per default, aber ohne daß ein Eintrag im Firewall-Log erscheint,
dann änderst du FW_CUSTOMRULES wie oben beschrieben aber entfernst /nicht/
den Kommentar in SuSEfirewall2-custom vor der Zeile
#iptables -A INPUT -j ACCEPT -d 224.0.0.0/24
sondern schreibst darunter einfach
iptables -A INPUT -j DROP -d 224.0.0.0/24
Windows XP/Vista unterstützt wohl so einfach noch kein Multicast-DNS.
Sehr nervig. Entweder muß ich die Hostnamen per Hand eintragen und
feste IP-Adressen vm DHCP vergeben lassen oder mir eben direkt die
IP-Adressen meiner Rechner/Drucker merken.
A) es gibt hier kein Vista
B) mein DHCP-Server verteilt immer auf die selben Adressen (und
Hostnamen)
Das ist schön. Mein Router trägt die Hostnamen leider nicht in seinen DNS
ein. :-(
also brauch ich das erst einmal nicht
BTW, das war nur ein Beispiel für Multicast. An sich ist es absolut nicht an
eine Anwendung gekoppelt, sondern halt eine andere Art der
Paket-Verteilung, so wie Broadcast.
Gibt es einen Weg herauszubekommen "wer" alle damit
konfiguriert ist?
Solange deine Firewall Multicast komplett blockiert wird es von deinem
Rechner aus schwierig. Wenn du die Firewall anhältst, könntest du mal
ein simples "ping 224.0.0.1" machen, dann sollten alle Rechner
antworten, die Multicast aktiviert haben (und es natürlich nicht so wie
deiner verwerfen).
zur Zeit gibt es nur: die Fritzbox, 10.2-Server und meinen 9.3-er
Ich glaube, unter der 9.3 sieht die Konfiguration der SuSEfirewall2 ziemlich
genauso aus.
S.o., das ist keine Neuerung, das gibt es schon seit Jahren. Sogar mit
RFCs und so.
da bin ich bisher halt noch nicht drüber gestolpert
;)
Gruß
Jan
--
Never, ever use repetitive redundancies.
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
| < Previous | Next > |