Hi Simon! On Son, Mär 16, 2003 at 02:15:44 +0100, Simon Bienlein wrote:
ich habe die personal-firewall in der Konfigurationsdatei /etc/sysconfig/personal-firewall wieder deaktiviert. Allerdings habe ich den befehl insserv personal-firewall.initial und insserv personal-firewall.final nicht rückgängig gemacht, da ich nicht weiß wie das geht.
man insserv ... ;-) Mit insserv -r <initskript> wirfst du einen Dienst wieder aus den verschieden Runlevels raus.
Nun habe ich die Datei SuSEfirewall2 angepasst. Ich möchte, dass alle clientseitigen Anfragen, die über die Ports 21 bis 10000 kommen, ans Internet weitergeleitet werden. So kann man problemlos Email, FTP und vieles mehr nutzen. Ich weiß, dass dies wahrscheinlich sehr unsicher ist, aber ich möchte ja auch erstmal einen Funktionierenden Internetzugang.
Prinzipiell musst du unterscheiden, wer von außen was darf und wer von innen auf bestimmte Dienste zugrifen soll. Wenn du von außen alles schließt und von innen alles erlaubst ist das schon ok, solange du weißt was in deinem Netz abgeht. Aber da vertritt sowieso jeder seine eignene Ansichten, wenn's um thema FW geht gibt es kein allseits funktionierendes Konzept, alles hängt von den Gegebenheiten und eigenen Wünschen ab...
Ich stelle die Internetverbindung mit wvdial her und starte nun durch SuSEfirewall2 start die Firewall. Ich bekomme keine Fehlermeldung! Doch Anfragen der Clients werden nicht weitergeleitet. Als Gateway habe ich auf den Windowsrechnern die IP-Adresse meines SErvers (192.168.100.1) eingetragen. Auch als DNS-Adresse habe ich 192.168.100.1 eingestellt. Pinge ich auf die Seite www.suse.de bekommen die Windowsrechner die Meldung unbekannter host.
Als DNS _darfst_ du nicht deinen Gateway-Rechner eintragen, auf diesem läuft ja kein DNS-Server. Trage unter WIN vielmehr die DNS-Server deines Providers ein. Diese findest du in der Datei /etc/resolv.conf
Hier Auszüge aus der Konfiguration: ----- FW_DEV_EXT="ppp0" #mein Modem FW_DEV_INT="eth0" #meine Netzwerkkarte FW_ROUTE="yes" FW_MASQUERADE="yes"
Sieht soweit ganz gut aus. Hier sollte aber noch rein, welches Netz maskiert werden soll. Das machst du über die Variable FW_MASQ_NETS="" Sieh dir mal die Beschreibung dazu an, dann wird dir der richtige Eintrag klar. Wahrscheinlich benötigst du sowas wie: FW_MASQ_NETS="192.168.100.0/24" Dieser Eitnrag setzt voraus, das deine netzinternen Rechner IPs im Bereich von 192.168.100.1 bis 192.168.100.254 haben und deine Netmask 255.255.255.0 ist.
FW_MASQ_DEV="$FW_DEV_EXT" #bereits voreingestellt FW_PROTECT_FROM_INTERNAL="yes"
Das würde ich auf "No" setzen, es sei denn du willst nur ganz bestimmte Dienste für deine netzinternen Rechner zulassen.
FW_AUTOPROTECT_SERVICES="yes" FW_SERVICES_EXT_TCP="21:10000"
Willst du das wirklich? Mit diesem Eintrag öffnest du alle Ports von außen zwischen 21 und 10000, es kann also ungehindert auf alle deine Dienste auf dem Router zugegriffen werden. So lange du keine Dienste auf den Router für Rechner von außen anbieten willst, laß die Variable _ganz leer_. Ebenfalls kannst du auch alle anderen Variablen innerhalb dieses Bereiches leer lassen, also die für die DMZ und for InT.
FW_ALLOW_INCOMING_HIGHPORTS_TCP="no" FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS"
Diese beiden Variablen würde ich auf "Yes" setzen, da ansonsten sehr viele Programme nicht funktionieren, z.B. diverse ftp-Clients, Chat-Programme usw. Desweiteren würde ich noch die Variable FW_TRUSTED_NETS="" setzen, füll die genauso aus wie oben FW_MASQ_NETS="" Der Rest sieht gut aus. Mit insserv kannst du dann wieder sicherstellen, dass alle drei zur SuSEfirewall2 gehörenden Skripte ordentlich gestartet werden. Die heißen: /etc/init.d/SuSEfirewall2_final /etc/init.d/SuSEfirewall2_init /etc/init.d/SuSEfirewall2_setup
Simon
Viel Erfolg und melde dich bei Fragen!
Schöppi
--
Christian Schöpplein