8.2 mit 2.4.20, susefirewall2 (personal firewall legacy mode), isdn, Einrichtung
Hallo zusammen, ich habe eine kleine Frage bezüglich der Konfiguration der Susefirewall2 für meine private ISDN-isp-Verbindung mit SuSE8.2 (Kernel 2.4.20, aktuelle You-Patches). Unter "yast2 -> netzwerk -> isdn -> aendern -> bearbeiten (im unteren Fenster) -> Schnittstelle " habe ich die Checkbox Firewall aktiviert. Alles läuft problemlos, aber der Rechner weist alle externen Anfragen zurück. Daich über ssh von außen auf den Rechner zugreifen möchte, habe ich über "yast2 -> sicherheit&benutzer -> firewall" die ports entsprechend geöffnet (was mir den Hinweis eingebracht hat, daß die laufende personal firewall nun zugunsten der firewall2 beendet wird). Das hat auch prima hingehauen, bis ich die Verbindung unterbrochen und neu aufgebaut habe, dann ging überhaupt nichts mehr. Präziser: die Verbindung wurde korrekt aufgebaut, aber z.B. "ping www.spiegel.de" ergab keine Reaktion. Irgendwie war da keine Route da, "route -n" ergab dann auch erwartungsgemäß keinen Eintrag. Ich mußte zuerst die Firewall neu aufbauen, dann war alles in Ordnung UND ich konnte in der Tat von außen zugreifen. Um den Neustart der Firewall zu automatisieren, habe ich folgende Korrespondenz gefunden: On Wed, Apr 02, 2003 at 08:12:39PM +0200, René Krell wrote:
Ich gebe hier nur mal weiter, auf welches Problem ich bei der EInrichtung eines automatischen ISDN-Dialin in Zusammenhang mit der Aktivierung des SuSEfirewall2 (anstelle des personal-firewall) gestossen bin und wie einfach dieses gelöst wurde:
Konfiguration: - SuSE Linux 8.1 - AVM FritzCard PCI! (wahrscheinlich hier belanglos) - Online-Updates vom Stand 18.03.2003 eingespielt
Problem: Nach Konfiguration des SuSEfirewall mit Yast (Security->Firewall) versagt jeglicher Netzwerkverkehr mit dem Internet, lediglich die ISDN-Verbindung steht. In /var/log/messages tauchen Meldungen der Form -- schnipp -- Apr 2 07:40:16 myhost kernel: SuSE-FW-ILLEGAL-TARGET IN=ippp0 OUT= MAC= SRC=<IP_Adr1> DST=<IP_Adr2> LEN=66 TOS=0x00 PREC=0x00 TTL=61 ID=0 DF PROTO=UDP SPT=53 DPT=1045 LEN=46 -- schnapp -- auf, obwohl die Services "domain" bzw. "53" schon erlaubt worden sind. In Mailinglisten gab es ausserdem zum gleichen Problem Kommentare, dass erst nach Restart des Firewall bei zu erhaltender ISDN-Verbindung alles wie vorgegeben funktioniert.
Lösung: /etc/sysconfig/network/ifcfg-ippp0: Eintrag FIREWALL auf "yes" setzen, ist leer.
Frage an SuSE-Experten: Kann man das nicht irgendwie gleich über den YAST automatisch einstellen? Oder habe ich da eine Sicherheitslücke übersehen?
Das kann bei der Schnittstelle eingestellt werden.
yast -> netzwerk -> isdn -> aendern -> bearbeiten (im unteren Fenster) -> Schnittstelle Dort Firewall aktivieren...
-- Karsten Keil SuSE Labs ISDN development -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-isdn-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-isdn-help@suse.com
Und siehe da: Die eigentlich aktivierte "firewall"-Option bei der Einrichtung der ISDN-Karte ist nach der Einrichtung der Firewall mit "yast2" auf einmal ausgetragen. Wenn ich sie wieder aktiviere, wird auch die Firewall wieder automatisch neu gestartet, allerdings macht sie auch wieder komplett dicht (kein ssh). Meine Vermutung ist nun, daß die Option "yast2 -> netzwerk -> isdn -> aendern bearbeiten (im unteren Fenster) -> Schnittstelle" lediglich die Datei /etc/sysconfig/personal-firewall modifiziert, indem die Option REJECT_ALL_INCOMING_CONNECTIONS auf (in meinem Fall) "ippp0" gesetzt wird. Damit wird die firewall2 außer Kraft gesetzt und leider auch deren Regeln. Wenn ich firewall2 wieder starte, wird REJECT_ALL_INCOMING_CONNECTIONS zurück auf "" gesetzt, aber leider wird die firewall2 (im Gegensatz zur personal firewall) bei Neustart der Verbindung NICHT neu gestartet - dies muß von Hand geschehen. Langer Rede kurzer Sinn: Was ist denn der Unterschied zwischen "personal firewall", "firewall2" und dem "legacy mode"? Und was muß ich tun, um den ssh-Port nach außen zu öffnen und irgendeine ;-) Firewall bei Verbindungsneuaufbau auch neu zu starten? Vielen herzlichen Dank für ein paar Tips!!! Alexander -- ---------------------------------------------------------------- Dipl.-Ing. Alexander Rudolph Institute of Automatic Control Control Theory and Robotics Laboratory Darmstadt University of Technology Petersenstr. 20 Area L2|04, Room 322 D-64287 Darmstadt Phone : ++49 (0)6151-16 7409 Fax : ++49 (0)6151-16 7424 SMTP : alexis@rtr.tu-darmstadt.de URL : http://www.rtr.tu-darmstadt.de ----------------------------------------------------------------
On Tue, Jun 10, 2003 at 12:27:16PM +0200, Alexander Rudolph wrote:
Hallo zusammen,
ich habe eine kleine Frage bezüglich der Konfiguration der Susefirewall2 für meine private ISDN-isp-Verbindung mit SuSE8.2 (Kernel 2.4.20, aktuelle You-Patches). ... Langer Rede kurzer Sinn: Was ist denn der Unterschied zwischen "personal firewall", "firewall2" und dem "legacy mode"? Und was muß ich tun, um den ssh-Port nach außen zu öffnen und irgendeine ;-) Firewall bei Verbindungsneuaufbau auch neu zu starten?
Wichtig fuer einen Neustart nach dem Verbindungsaufbau ist nur folgender Eintrag in /etc/sysconfig/isdn/cfg-netX (X=0...) FIREWALL="yes" Wenn danach ein 'SuSEconfig --module isdn' laeuft wird dieser Wert auch nach /etc/sysconfig/network/ifcfg-ipppX kopiert und veranlast beim naechsten Verbindungsaufbau das restarten der Firewall ueber das script /etc/ppp/ip-up Dabei ist der Mode der Firewall egal. -- Karsten Keil SuSE Labs ISDN development
Am Dienstag, 10. Juni 2003 13:40 schrieb Karsten Keil:
On Tue, Jun 10, 2003 at 12:27:16PM +0200, Alexander Rudolph wrote:
Hallo zusammen,
ich habe eine kleine Frage bezüglich der Konfiguration der Susefirewall2 für meine private ISDN-isp-Verbindung mit SuSE8.2 (Kernel 2.4.20, aktuelle You-Patches).
...
Langer Rede kurzer Sinn: Was ist denn der Unterschied zwischen "personal firewall", "firewall2" und dem "legacy mode"? Und was muß ich tun, um den ssh-Port nach außen zu öffnen und irgendeine ;-) Firewall bei Verbindungsneuaufbau auch neu zu starten?
Wichtig fuer einen Neustart nach dem Verbindungsaufbau ist nur folgender Eintrag in /etc/sysconfig/isdn/cfg-netX (X=0...)
FIREWALL="yes"
Wenn danach ein 'SuSEconfig --module isdn' laeuft wird dieser Wert auch nach /etc/sysconfig/network/ifcfg-ipppX kopiert und veranlast beim naechsten Verbindungsaufbau das restarten der Firewall ueber das script /etc/ppp/ip-up
Dabei ist der Mode der Firewall egal.
-- Karsten Keil SuSE Labs ISDN development
Vielen Dank für den Tip: Die Firewall rennt jetzt. Dennoch bleibt ein kleines Problem: Wenn ich die ppp-Verbindung über kinternet kappe oder mein Provider mich alle 24 h rausschmeißt, und ich mich neu einwähle, kann der Rechner weder Verbindung mit den Nameservern aufnehmen (diese Meldung zeigt die Verbindungskontrolle von kinternet an, obwohl /etc/resolve.conf passt), noch ist zum Beispiel ein 'ping 213.95.15.200' möglich. Der Rechner bekommt zwar eine IP und einen Gateway, aber ansonsten passiert nichts. Das ist vor dem Hintergrund seltsam, daß die übrigen Rechner meines Netzes, die über den ISDN-Rechner nach draußen geroutet werden keine Problem haben. Wenn ich nun die FW anhalte, komme ich mit dem ISDN-Rechner wieder raus, mit den restlichen Clients aber nicht mehr (das macht Sinn, da die FW wohl das Routing übernimmt) . Wenn ich die FW neu starte, funktioniert wieder alles astrein. Weiß da jemand weiter? Ich kenne mich eher schlecht mit dem Konfigurieren von FWs aus und vermute hier den Fehler. Viele Grüsse, Alexander -- ---------------------------------------------------------------- Dipl.-Ing. Alexander Rudolph Institute of Automatic Control Control Theory and Robotics Laboratory Darmstadt University of Technology Petersenstr. 20 Area L2|04, Room 322 D-64287 Darmstadt Phone : ++49 (0)6151-16 7409 Fax : ++49 (0)6151-16 7424 SMTP : alexis@rtr.tu-darmstadt.de URL : http://www.rtr.tu-darmstadt.de ----------------------------------------------------------------
participants (2)
-
Alexander Rudolph -
Karsten Keil