Suse Firewall und Dial on demand
Hallo, mit meiner ersten linux installation habe ich so meine probleme das meiste konnte ich mit viel, viel howtos und readmes lösen aber seit einiger zeit plage ich mit der Firewall von Suse, sobald sie installiert ist werden die DNS-Antworten aus dem Internet geblockt, meiner meinung nach ist die konfiguration richtig ( Suse 6.4 mit firewall 2.1) kann mich einer in die richtige richtung schubsen ich stochere nur noch holger lüttich firewall.rc.config FW_DEV_WORLD="ippp0" FW_DEV_WORLD_ippp0="192.168.2.99 255.255.255.0" # e.g. for external interface FW_DEV_INT="eth0" FW_DEV_INT_eth0="192.168.1.71 255.255.255.0" # e.g. for internal interface eth0 FW_DEV_DMZ="" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_NETS="192.168.1.0/24" FW_MASQ_DEV="ippp0" # e.g. "ippp0" or "$FW_DEV_WORLD" FW_PROTECT_FROM_INTERNAL="yes" FW_AUTOPROTECT_GLOBAL_SERVICES="yes" # "yes" is a good choice FW_SERVICES_EXTERNAL_TCP="53 3000" # Common: smtp domain FW_SERVICES_EXTERNAL_UDP="53 3000" # Common: domain FW_SERVICES_DMZ_TCP="" # Common: smtp domain FW_SERVICES_DMZ_UDP="" # Common: domain syslog FW_SERVICES_INTERNAL_TCP="53 23 80 3000 3128 137:139" # Common: ssh smtp domain FW_SERVICES_INTERNAL_UDP="53 23 80 3000 3128 137:139" # Common: domain #dns telnet hcbi squid smb FW_TRUSTED_NETS="" FW_SERVICES_TRUSTED_TCP="" # Common: ssh FW_SERVICES_TRUSTED_UDP="" # Common: syslog time ntp FW_ALLOW_INCOMING_HIGHPORTS_TCP="dns 3000" # Common: "ftp-data" (sadly!) FW_ALLOW_INCOMING_HIGHPORTS_UDP="dns 3000" # Common: "dns" FW_SERVICE_DNS="yes" FW_SERVICE_DHCLIENT="no" FW_SERVICE_DHCPD="no" FW_FORWARD_TCP="" # Beware to use this! FW_FORWARD_UDP="" # Beware to use this! FW_REDIRECT_TCP="" FW_REDIRECT_UDP="" FW_LOG_DENY_CRIT="yes" FW_LOG_DENY_ALL="yes" #zum testen FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="yes" #zum testen FW_KERNEL_SECURITY="no" #bis es funktioniert FW_STOP_KEEP_ROUTING_STATE="yes" FW_ALLOW_PING_FW="no" FW_ALLOW_PING_DMZ="no" route.conf #192.168.1.0 internes netz #192.168.2.99 ippp0 #192.168.2.100 ppp partneradresse ippp0 # # Ziel |Dummy oder Gateway | Netzmaske |Device 192.168.1.0 0.0.0.0 255.255.255.0 eth0 192.168.2.100 0.0.0.0 255.255.255.255 ippp0 default 192.168.2.99 die konfigurationsanleitung aus der SUSE sdb stimmt leider nicht mit der SuSEfirewall-technical überein sdb: für dialup verbindungen "/sbin/SuSEfirewall" in ip-up eintragen technical: "/sbin/init.d/rc2.d/S99firewall_setup" start in ip-up eintragen welches ist denn nun das richtige /sbin/SuSEfirewall check bringt folgende Meldung ipchains produced errors, no default routing set up? ipchains produced errors, no default routing set up? ipchains produced errors, no default routing set up? und zum Schluß der langen Mail noch ein Stück aus /var/log/messages Sep 13 19:59:30 linux1 kernel: Packet log: input DENY ippp0 PROTO=6 62.224.38.48:3084 62.224.154.120:27374 L=48 S=0x00 I=62973 F=0x4000 T=116 SYN (#135) Sep 13 19:59:38 linux1 kernel: Packet log: input DENY ippp0 PROTO=17 194.25.2.129:53 62.224.154.120:1027 L=136 S=0x00 I=55581 F=0x0000 T=57 (#135) Sep 13 19:59:58 linux1 kernel: Packet log: input DENY ippp0 PROTO=17 212.185.249.244:53 62.224.154.120:1027 L=145 S=0x00 I=55822 F=0x0000 T=59 (#135) Sep 13 20:00:03 linux1 kernel: Packet log: input DENY ippp0 PROTO=17 194.25.2.129:53 62.224.154.120:1027 L=145 S=0x00 I=3149 F=0x0000 T=57 (#135) Sep 13 20:00:08 linux1 kernel: Packet log: input DENY ippp0 PROTO=17 212.185.249.244:53 62.224.154.120:1027 L=145 S=0x00 I=58860 F=0x0000 T=59 (#135) Sep 13 20:00:13 linux1 kernel: Packet log: input DENY ippp0 PROTO=17 194.25.2.129:53 62.224.154.120:1027 L=145 S=0x00 I=8189 F=0x0000 T=57 (#135)
Hallo,
ich bin kein Freund der vorgegebenen Konfiguration. Mein persoenlicher Ratschlag waere: bau Dir eine eigene Regeldatei, in der Du zu Anfang alle Regeln loeschst und die Default-Policy fuer die Chains input, forward und output auf DENY setzt. Dann schaust Du in Deine /var/log/firewall und gibst von den abgewiesenen Paketen genau die frei, die Du erlauben willst.
scheinen keine grundlegenen Fehler drin zu sein.
wenn Du in rc2.d den Link S99firewall_setup stehen hast und die Variable START_FW auf yes gesetzt hast, dann wird das Startscript mit dem Parameter start bei jedem Wechsel in Runlevel 2 (Systemstart) in der Gruppe der letzten Scripte (alle mit 99) aufgerufen. Du brauchst also nichts mehr in ip-up aufrufen.
ist ein Verbindungsaufbau (SYN gesetzt) auf mir unbekannten Ports mit TCP-Protokoll
das ist z.B. ne DNS-Rueckmeldung. 194.25.2.129 will auf Port 53 mit Protokoll UDP den Rechner 62.224.154.120 auf Port 1027 erreichen. Wenn Du das erlauben willst, waere also folgender Eintrag sinnvoll: ipchains -A input -p UDP -s 194.25.2.129 domain -d 62.224.154.120 -i ippp0 -l ACCEPT
Sep 13 20:00:03 linux1 kernel: Packet log: input DENY ippp0 PROTO=17 194.25.2.129:53 62.224.154.120:1027 L=145 S=0x00 I=3149 F=0x0000 T=57 (#135)
Sep 13 20:00:13 linux1 kernel: Packet log: input DENY ippp0 PROTO=17 194.25.2.129:53 62.224.154.120:1027 L=145 S=0x00 I=8189 F=0x0000 T=57 (#135)
dto. Nameserver-Antworten. Arbeitest Du mit zwei Nameservern (194.25.2.129 und 212.185.249.244) ? Dann musst Du natuerlich auch beide freigeben. Ich hoffe, es hilft etwas Gruss Norbert -- Nur fuer Segelbegeisterte: http://www.wscg.de/ Norbert Boese eMail: norbert.boese@ptb.de Phone +49-531-18533 Fax +49-531-592693231
Hallo,
sorry fuer meinen Fehler. Es muss natuerlich am Ende -j ACCEPT (fuer jump) heissen und nicht -l (-l wuerde ein List bedeuten). Gruss Norbert -- Nur fuer Segelbegeisterte: http://www.wscg.de/ Norbert Boese eMail: norbert.boese@ptb.de Phone +49-531-18533 Fax +49-531-592693231
participants (2)
-
Dr Norbert Boese
-
Lüttich Holger