Hallo Liste, mal wieder ein Problem. Wie von euch geraten, wollte ich mein ftp-Problem dadurch lösen, dass ich den Proxy umgehe. Beim Versuch, diese Einstellung in der Firewall zu setzen, hat sich die (bis dahin aktive) SuSE personal firewall duch die SuSEfirewall2 ersetzt. Ich hatte bisher nur auf Konsolenebene mit iptables gespielt und das Frontend noch gar nicht beachtet. Soweit so gut - nur: Jetzt komme ich mit den Clients nicht mehr ins Internet, auch nicht mehr auf den Proxy (auch Ping geht nicht). Hier meine Konfiguration (slss, Beta _1_): Netzwerkkarten: eth0 10.0.0.2 eth0:0 10.0.0.3 eth0:1 10.0.0.4 eth0:2 10.0.0.5 (Proxy) eth1 (dynamisch vom Provider) In der /etc/sysconfig/SuSEfirewall2 sind eingetragen als DEV_EXT: "ppp0" DEV_INT: "eth0 eth0:0 eth0:1 eth0:2" (...) Damit liefert SuSEfirewall2 status: Chain INPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination (...) 38 1886 input_ext all -- ppp0 * 0.0.0.0/0 80.132.82.90 109 10791 input_int all -- eth0 * 0.0.0.0/0 10.0.0.2 0 0 input_int all -- eth0 * 0.0.0.0/0 10.0.0.2 0 0 input_int all -- eth0 * 0.0.0.0/0 10.0.0.2 0 0 input_int all -- eth0 * 0.0.0.0/0 10.0.0.2 (...) 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `SuSE-FW-ILLEGAL-TARGET ' 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 (...) Interessant sind die vier 10.0.0.2-Einträge. Sollten da nicht - entsprechend den virtuellen Netzwerkkarten - 10.0.0.2, bis .5 stehen? Es fehlt also eine Verzweigung auf die Chain input_int beim Zugriff auf 10.0.0.5. Mit dieser iptables wird der Zugriff auf 10.0.0.5 natürlich "gedropped" (SuSEfirewall test liefert log-Eintrag: SuSE-FW-ILLEGAL-TARGET beim Zugriff auf den Proxy). Ich habe das Ganze mal zu Hause mit dem Laptop (SuSE 8.2) nachgestellt. Da funktioniert es normal (d.h. wie von mir erwartet ;). Eines ist mir noch aufgefallen: ifconfig liefert keine Informationen über die ip-aliase. Erst mit ifstatus eth0 werde ich fündig. Zuhause bekomme ich die Info auch mit ifconfig. So. Habe ich einen Denkfehler gemacht? Oder könnte ein Bug im iptables-Script, das aus der SuSEfirewall2.conf die iptables-Einträge baut, die Ursache sein? In der Hoffnung, nicht schon wieder eine seit langem beantwortete Frage gestellt zu haben... Christian -- C. Schütz Systembetreuer Staatliche Realschule Schwabach email: c.schuetzATrealschule-schwabachDOTde
Nachtrag: Statt:
DEV_EXT: "ppp0" DEV_INT: "eth0 eth0:0 eth0:1 eth0:2"
muss es in der Mail natürlich heißen: FW_DEV_EXT="ppp0" FW_DEV_INT="eth0 eth0:0 eth0:1 eth0:2" Gruß Christian -- C. Schütz Systembetreuer Staatliche Realschule Schwabach email: c.schuetzATrealschule-schwabachDOTde
Hallo Liste, ich sitze immer noch auf meinem Problem mit der Firewall. Nachdem mich erst der böse Bazillus vorübergehend hingerafft hatte und ich über die Feiertage mal die Tür zum Serverraum zugelassen hatte, möchte ich das Problem jetzt nochmal angehen. Wer kann mir helfen? Falls ihr die damalige Mail schon gelöscht hattet, habe ich sie unten nochmal angehängt. Ein gesundes, nicht _zu_ stressiges neues Jahr wünscht Christian Schütz
Wie von euch geraten, wollte ich mein ftp-Problem dadurch lösen, dass ich den Proxy umgehe. Beim Versuch, diese Einstellung in der Firewall zu setzen, hat sich die (bis dahin aktive) SuSE personal firewall duch die SuSEfirewall2 ersetzt. Ich hatte bisher nur auf Konsolenebene mit iptables gespielt und das Frontend noch gar nicht beachtet.
Soweit so gut - nur: Jetzt komme ich mit den Clients nicht mehr ins Internet, auch nicht mehr auf den Proxy (auch Ping geht nicht).
Hier meine Konfiguration (slss, Beta _1_): Netzwerkkarten: eth0 10.0.0.2 eth0:0 10.0.0.3 eth0:1 10.0.0.4 eth0:2 10.0.0.5 (Proxy) eth1 (dynamisch vom Provider)
In der /etc/sysconfig/SuSEfirewall2 sind eingetragen als FW_DEV_EXT = "ppp0" FW_DEV_INT = "eth0 eth0:0 eth0:1 eth0:2"
Damit liefert SuSEfirewall2 status: Chain INPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination (...) 38 1886 input_ext all -- ppp0 * 0.0.0.0/0 80.irg.end.was 109 10791 input_int all -- eth0 * 0.0.0.0/0 10.0.0.2 0 0 input_int all -- eth0 * 0.0.0.0/0 10.0.0.2 0 0 input_int all -- eth0 * 0.0.0.0/0 10.0.0.2
0 0 input_int all -- eth0 * 0.0.0.0/0 10.0.0.2
(...) 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `SuSE-FW-ILLEGAL-TARGET ' 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 (...)
Interessant sind die vier 10.0.0.2-Einträge. Sollten da nicht - entsprechend den virtuellen Netzwerkkarten - 10.0.0.2, bis .5 stehen? Es fehlt also eine Verzweigung auf die Chain input_int beim Zugriff auf 10.0.0.5. Mit dieser iptables wird der Zugriff auf 10.0.0.5 natürlich "gedropped" (SuSEfirewall test liefert log-Eintrag: SuSE-FW-ILLEGAL-TARGET beim Zugriff auf den Proxy).
Ich habe das Ganze mal zu Hause mit dem Laptop (SuSE 8.2) nachgestellt. Da funktioniert es normal (d.h. wie von mir erwartet ;).
Eines ist mir noch aufgefallen: ifconfig liefert keine Informationen über die ip-aliase. Erst mit ifstatus eth0 werde ich fündig. Zuhause bekomme ich diese Info auch mit ifconfig.
So. Habe ich einen Denkfehler gemacht? Oder könnte ein Bug im iptables-Script, das aus der SuSEfirewall2.conf die iptables-Einträge baut, die Ursache sein?
In der Hoffnung, nicht schon wieder eine seit langem beantwortete Frage gestellt zu haben...
Christian
-- C. Schütz Systembetreuer Staatliche Realschule Schwabach email: c.schuetzATrealschule-schwabachDOTde
Christian Schütz wrote:
Hallo Liste, ich sitze immer noch auf meinem Problem mit der Firewall. Nachdem mich erst der böse Bazillus vorübergehend hingerafft hatte und ich über die Feiertage mal die Tür zum Serverraum zugelassen hatte, möchte ich das Problem jetzt nochmal angehen.
Wer kann mir helfen? Falls ihr die damalige Mail schon gelöscht hattet, habe ich sie unten nochmal angehängt.
Ein gesundes, nicht _zu_ stressiges neues Jahr wünscht
Christian Schütz
Wie von euch geraten, wollte ich mein ftp-Problem dadurch lösen, dass ich den Proxy umgehe. Beim Versuch, diese Einstellung in der Firewall zu setzen, hat sich die (bis dahin aktive) SuSE personal firewall duch die SuSEfirewall2 ersetzt. Ich hatte bisher nur auf Konsolenebene mit iptables gespielt und das Frontend noch gar nicht beachtet.
Soweit so gut - nur: Jetzt komme ich mit den Clients nicht mehr ins Internet, auch nicht mehr auf den Proxy (auch Ping geht nicht).
Hier meine Konfiguration (slss, Beta _1_): Netzwerkkarten: eth0 10.0.0.2 eth0:0 10.0.0.3 eth0:1 10.0.0.4 eth0:2 10.0.0.5 (Proxy) eth1 (dynamisch vom Provider)
In der /etc/sysconfig/SuSEfirewall2 sind eingetragen als FW_DEV_EXT = "ppp0" FW_DEV_INT = "eth0 eth0:0 eth0:1 eth0:2"
Damit liefert SuSEfirewall2 status: Chain INPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination (...) 38 1886 input_ext all -- ppp0 * 0.0.0.0/0 80.irg.end.was 109 10791 input_int all -- eth0 * 0.0.0.0/0 10.0.0.2 0 0 input_int all -- eth0 * 0.0.0.0/0 10.0.0.2 0 0 input_int all -- eth0 * 0.0.0.0/0 10.0.0.2
0 0 input_int all -- eth0 * 0.0.0.0/0 10.0.0.2
(...) 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `SuSE-FW-ILLEGAL-TARGET ' 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 (...)
In der Tat, hier sieht das so aus: 6407 566K input_ext all -- ppp0 * 0.0.0.0/0 80.136.90.153 1 62 input_int all -- eth0 * 0.0.0.0/0 192.168.0.2 0 0 input_int all -- eth0 * 0.0.0.0/0 192.168.0.3 0 0 input_int all -- eth0 * 0.0.0.0/0 192.168.0.4 0 0 input_int all -- eth0 * 0.0.0.0/0 192.168.0.5 Welche Version vom SLSS hast du installiert? Hier kommt auch nirgends "SuSE-FW-ILLEGAL-TARGET" in einer Regel vor. Gruß Frank
Hallo Frank,
In der Tat, hier sieht das so aus: 6407 566K input_ext all -- ppp0 * 0.0.0.0/0 80.136.90.153 1 62 input_int all -- eth0 * 0.0.0.0/0 192.168.0.2 0 0 input_int all -- eth0 * 0.0.0.0/0 192.168.0.3 0 0 input_int all -- eth0 * 0.0.0.0/0 192.168.0.4 0 0 input_int all -- eth0 * 0.0.0.0/0 192.168.0.5
Fein. Genau so sollte es IMHO auch aussehen.
Welche Version vom SLSS hast du installiert? die Beta 1 (Bitte, bitte im Moment keine Neuinstallation!)
Hier kommt auch nirgends
"SuSE-FW-ILLEGAL-TARGET" in einer Regel vor. Bei mir schon, in einer LOG-Anweisung als vorletzte Regel in der INPUT-Chain (vor dem terminalen "DROP"): 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `SuSE-FW-ILLEGAL-TARGET ' 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Noch eine Frage: Was erhältst du als Ausgabe von ifconfig? Auch die Infos über die ip-Aliase (eth0:1, eth0:2, ...) oder nur über eth0? Grüße Christian -- C. Schütz Systembetreuer Staatliche Realschule Schwabach email: c.schuetzATrealschule-schwabachDOTde
Christian Schütz wrote:
Hallo Frank,
In der Tat, hier sieht das so aus: 6407 566K input_ext all -- ppp0 * 0.0.0.0/0 80.136.90.153 1 62 input_int all -- eth0 * 0.0.0.0/0 192.168.0.2 0 0 input_int all -- eth0 * 0.0.0.0/0 192.168.0.3 0 0 input_int all -- eth0 * 0.0.0.0/0 192.168.0.4 0 0 input_int all -- eth0 * 0.0.0.0/0 192.168.0.5
Fein. Genau so sollte es IMHO auch aussehen.
Welche Version vom SLSS hast du installiert?
die Beta 1 (Bitte, bitte im Moment keine Neuinstallation!)
"Ich fürchte doch" ;), ich hab hier Beta 3
Hier kommt auch nirgends
"SuSE-FW-ILLEGAL-TARGET" in einer Regel vor.
Bei mir schon, in einer LOG-Anweisung als vorletzte Regel in der INPUT-Chain (vor dem terminalen "DROP"): 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `SuSE-FW-ILLEGAL-TARGET ' 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Bei mir so: 0 0 LOG all -- eth0 * 0.0.0.0/0 80.136.90.153 LOG flags 6 level 4 prefix `SuSE-FW-ACCESS_DENIED_INT ' 0 0 DROP all -- eth0 * 0.0.0.0/0 80.136.90.153 53 21015 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Noch eine Frage: Was erhältst du als Ausgabe von ifconfig? Auch die Infos über die ip-Aliase (eth0:1, eth0:2, ...) oder nur über eth0?
ifconfig zeigt bei mir alles an.
Grüße Christian
Gruß Frank
Am Sonntag, 4. Januar 2004 17:02 schrieb Frank Wein:
Welche Version vom SLSS hast du installiert?
die Beta 1 (Bitte, bitte im Moment keine Neuinstallation!)
"Ich fürchte doch" ;), ich hab hier Beta 3
Vielleicht hat Christian doch Glück: Herr Varkoly hat uns kurz vor Weihnachten definitiv versichert, dass er ein Update für alle Version >=0.964 auf die offizielle V1.0 ermöglicht. Wann er dazu komt weiß ich nicht, er hat auf jeden Fall noch bis 6.1 Urlaub. -- Viele Grüße/kind regards (o_ (o_ Dieter //> (o_ (o_ //\ http://www.linux-in-der-schule.de V_)_ (/)_ (\)_ V_/_
Am Sonntag, 4. Januar 2004 17:23 schrieb Dieter Kroemer:
Am Sonntag, 4. Januar 2004 17:02 schrieb Frank Wein:
Welche Version vom SLSS hast du installiert?
die Beta 1 (Bitte, bitte im Moment keine Neuinstallation!)
"Ich fürchte doch" ;), ich hab hier Beta 3
Vielleicht hat Christian doch Glück:
Herr Varkoly hat uns kurz vor Weihnachten definitiv versichert, dass er ein Update für alle Version >=0.964 auf die offizielle V1.0 ermöglicht.
Es ist sogar fertig, wurde im Hirscheid getestet und es klappt.
Wann er dazu komt weiß ich nicht, er hat auf jeden Fall noch bis 6.1 Urlaub.
-- Viele Grüße/kind regards (o_ (o_ Dieter //> (o_ (o_ //\ http://www.linux-in-der-schule.de V_)_ (/)_ (\)_ V_/_
-- ----------------------------------- Péter Varkoly -o) SuSE Linux AG /\\ e-mail: Peter.Varkoly@suse.de _\_/ Tel.: +49-911-74053484 Mobil.: +49-179-1277635 -----------------------------------
Hallo Herr Varkoly,
Herr Varkoly hat uns kurz vor Weihnachten definitiv versichert, dass er ein Update für alle Version >=0.964 auf die offizielle V1.0 ermöglicht.
Es ist sogar fertig, wurde im Hirscheid getestet und es klappt.
Heißt das, wenn ich angesichts der verbesserten Haushaltslage im neuen Jahr von der Beta 1 auf die Version 1.0 "upgraden" darf, dass ich ohne Neuinstallation auch meine Schülerordner, Passwörter, etc. behalten kann? Ist diese Upgrade-Funktionalität bei der im Handel angebotenen Version schon dabei? Grüße und ein schönes neues Jahr an alle! Christian -- C. Schütz Systembetreuer Staatliche Realschule Schwabach email: c.schuetzATrealschule-schwabachDOTde
Am Mittwoch, 7. Januar 2004 20:41 schrieb Christian Schütz:
Hallo Herr Varkoly,
Herr Varkoly hat uns kurz vor Weihnachten definitiv versichert, dass er ein Update für alle Version >=0.964 auf die offizielle V1.0 ermöglicht.
Es ist sogar fertig, wurde im Hirscheid getestet und es klappt.
Heißt das, wenn ich angesichts der verbesserten Haushaltslage im neuen Jahr von der Beta 1 auf die Version 1.0 "upgraden" darf, dass ich ohne Neuinstallation auch meine Schülerordner, Passwörter, etc. behalten kann?
Genau, aber wie gesagt nur für Verseionen ab 0.964.
Ist diese Upgrade-Funktionalität bei der im Handel angebotenen Version schon dabei?
Nicht, aber Sie melden sich bei mir wenn es soweit ist.
Grüße und ein schönes neues Jahr an alle!
Danke!!!!!
Christian
-- C. Schütz Systembetreuer Staatliche Realschule Schwabach email: c.schuetzATrealschule-schwabachDOTde
-- ----------------------------------- Péter Varkoly -o) SuSE Linux AG /\\ e-mail: Peter.Varkoly@suse.de _\_/ Tel.: +49-911-74053484 Mobil.: +49-179-1277635 -----------------------------------
participants (4)
-
Christian Schütz -
Dieter Kroemer -
Frank Wein -
Peter Varkoly