Hallo Norbert, hallo Leute, Am Mittwoch, 23. November 2011 schrieb Norbert Zawodsky:
FW_DEV_INT="eth1 *tun0*" FW_PROTECT_FROM_INT="*no*"
Steht da wirklich "*no*" und *tun0* mit Sternen außenrum? Wenn ja, erklärt das Dein Problem.
Trotzdem konnte ich mich _nicht_ per ssh verbinden. Eine grundsätzliche Verbindung mit ftp geht, aber es werden keine Daten übertragen. In /var/log/firewall stehen diese entsprechenden Zeilen (auszugsweise):
SFW2-*INext-DROP-DEFLT* IN=tun0 OUT= MAC= SRC=192.168.3.10 DST=192.168.1.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=16288 DF PROTO=TCP SPT=60709 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0 OPT
DPT=22 ist SSH - und der Log-Eintrag INext deutet darauf hin, dass die Firewall tun0 in die externe Zone gesetzt hat.
SFW2-*FWD-ILL-ROUTING* IN=tun0 OUT=tun0 MAC= SRC=192.168.3.10 DST=192.168.3.9 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=5141 SEQ=1
aus dem Tunnel und in den Tunnel - sieht so aus, als ob 192.168.3.10 über Deinen Rechner routen will...
SFW2-*INext-DROP-DEFLT* IN=tun0 OUT= MAC= SRC=192.168.3.10 DST=192.168.1.1 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=48841 DF PROTO=TCP SPT=53249 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0 OPT
DPT=23 ist telnet, und auch hier wieder INext für tun0
Ich habe am gesamten setup (firewall + openvpn) seit 11.2 nichts geändert und jetzt plötzlich geht nichts mehr. Was kann da falsch sein ????
IIRC hat sich in der SuSEfirewall das ein oder andere geändert, das auch Ergänzungen in der Konfiguration erfordert. Zum Beispiel muss man jetzt die Highports für FTP extra freigeben: FW_SERVICES_ACCEPT_RELATED_EXT="0/0,tcp,,20000:21000" (die verwendeten Highports musst Du in der Config des FTP-Daemons konfigurieren) Das Ganze sollte Dich allerdings nicht jucken, solange es sich in der internen Zone abspielt. Die Grundfrage bleibt also, warum tun0 der externen Zone zugeordnet ist. Siehe meine "Sternchenfrage" oben. Falls es das nicht ist und Du hier keine Antwort bekommst, frag mal auf opensuse-security nach. Gruß Christian Boltz -- Yes, basil troll, the opensuse release manager, long time kde developer, and member of the opensuse board is not a linux person, he doesnt understand linux like you, oh, great linux overlord you are, he is just a newbie who doesnt know what he is doing. You are so cute you must poop rainbows. [Druid in opensuse-factory] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org