isdn - susefirewall2
hallo! ich habe folgendes problem bei isdn mit susefirewall2. (suse linux 8.2) habe bis vor kurzem ein modem mit dial on demand verwendet und das susefirewall2 script so kofiguriert, dass routing + masquerading fürs netzt gemacht wird und da hat alles ohne probleme funtioniert. beim umstieg auf isdn hätte ich eigentlich damit gerechnet, dass ich nur FW_DEV_EXT in /etc/sysconifg/susefirewall2 auf "ippp0" umstellen muss. nachdem das erledigt war und pakete fürs internet angeliefert wurden wurde zwar eine verbindung aufgebaut aber keine pakete durchgelassen. mit der meldung in /var/log/messages: kernel: SuSE-FW-ILLEGAL-TARGET IN=ippp0 OUT= MAC= SRC=128.8.10.90 DST=212.152.148.217 LEN=396 TOS=0x00 PREC=0x00 TTL=42 ID=53269 PROTO=UDP SPT=53 DPT=32768 LEN=376 dann hab ich noch versucht im yast bei der isdn interface kofiguration activate firewall zu aktivieren. danach hats zwar geklappt aber die suse firewall2 hat ippp0 in den "quick mode" geschaltet. (/var/log/messages: SuSEfirewall2: Firewall rules successfully set in QUICKMODE for device(s) " ippp0" plus masquerading) was zur auswirkung hat, dass die in /etc/sysconifg/susefirewall2 gesetzen regeln nicht zur anwendung kommen. z.b. gibts für unbekannte packete kein DROP sondern ein REJECT. hat irgendwer eine idee wie man das lösen kann, dass man susefirewall2 verwendet ohne diesen "quickmode" für ippp0? grüsse leo
On Sun, Aug 17, 2003 at 08:29:20PM +0200, Leo Alzinger wrote:
hallo!
ich habe folgendes problem bei isdn mit susefirewall2. (suse linux 8.2)
habe bis vor kurzem ein modem mit dial on demand verwendet und das susefirewall2 script so kofiguriert, dass routing + masquerading fürs netzt gemacht wird und da hat alles ohne probleme funtioniert.
beim umstieg auf isdn hätte ich eigentlich damit gerechnet, dass ich nur FW_DEV_EXT in /etc/sysconifg/susefirewall2 auf "ippp0" umstellen muss.
nachdem das erledigt war und pakete fürs internet angeliefert wurden wurde zwar eine verbindung aufgebaut aber keine pakete durchgelassen. mit der meldung in /var/log/messages: kernel: SuSE-FW-ILLEGAL-TARGET IN=ippp0 OUT= MAC= SRC=128.8.10.90 DST=212.152.148.217 LEN=396 TOS=0x00 PREC=0x00 TTL=42 ID=53269 PROTO=UDP SPT=53 DPT=32768 LEN=376
dann hab ich noch versucht im yast bei der isdn interface kofiguration activate firewall zu aktivieren. danach hats zwar geklappt aber die suse firewall2 hat ippp0 in den "quick mode" geschaltet. (/var/log/messages: SuSEfirewall2: Firewall rules successfully set in QUICKMODE for device(s) " ippp0" plus masquerading)
was zur auswirkung hat, dass die in /etc/sysconifg/susefirewall2 gesetzen regeln nicht zur anwendung kommen. z.b. gibts für unbekannte packete kein DROP sondern ein REJECT.
hat irgendwer eine idee wie man das lösen kann, dass man susefirewall2 verwendet ohne diesen "quickmode" für ippp0?
Einfach in /etc/sysconfig/personal-firewall REJECT_ALL_INCOMING_CONNECTIONS="" setzen. -- Karsten Keil SuSE Labs ISDN development
On Sun, Aug 17, 2003 at 08:29:20PM +0200, Leo Alzinger wrote:
hallo!
ich habe folgendes problem bei isdn mit susefirewall2. (suse linux 8.2)
habe bis vor kurzem ein modem mit dial on demand verwendet und das susefirewall2 script so kofiguriert, dass routing + masquerading fürs netzt gemacht wird und da hat alles ohne probleme funtioniert.
beim umstieg auf isdn hätte ich eigentlich damit gerechnet, dass ich nur FW_DEV_EXT in /etc/sysconifg/susefirewall2 auf "ippp0" umstellen muss.
nachdem das erledigt war und pakete fürs internet angeliefert wurden wurde zwar eine verbindung aufgebaut aber keine pakete durchgelassen. mit der meldung in /var/log/messages: kernel: SuSE-FW-ILLEGAL-TARGET IN=ippp0 OUT= MAC= SRC=128.8.10.90 DST=212.152.148.217 LEN=396 TOS=0x00 PREC=0x00 TTL=42 ID=53269 PROTO=UDP SPT=53 DPT=32768 LEN=376
dann hab ich noch versucht im yast bei der isdn interface kofiguration activate firewall zu aktivieren. danach hats zwar geklappt aber die suse firewall2 hat ippp0 in den "quick mode" geschaltet. (/var/log/messages: SuSEfirewall2: Firewall rules successfully set in QUICKMODE for device(s) " ippp0" plus masquerading)
was zur auswirkung hat, dass die in /etc/sysconifg/susefirewall2 gesetzen regeln nicht zur anwendung kommen. z.b. gibts für unbekannte packete kein DROP sondern ein REJECT.
hat irgendwer eine idee wie man das lösen kann, dass man susefirewall2 verwendet ohne diesen "quickmode" für ippp0?
Einfach in /etc/sysconfig/personal-firewall REJECT_ALL_INCOMING_CONNECTIONS="" setzen. -- Karsten Keil SuSE Labs ISDN development -- hat funktioniert! danke. eine kleinigkeit ist damit auch noch nicht behoben (war auch beim "quickmode" so): gleich nach dem aufbau der isdn verbindung und noch bevor die firewall regeln gesetzt werden gibts folgende meldung in /var/log/messages ein paar mal hintereinander: kernel: SuSE-FW-ILLEGAL-TARGET IN=ippp0 OUT= MAC= SRC=195.70.224.61 DST=212.152.140.22 LEN=129 TOS=0x00 PREC=0x00 TTL=61 ID=0 DF PROTO=UDP SPT=53 DPT=1024 LEN=109 was kann das noch sein? dann wäre es perfekt! danke leo alzinger
P&M
Hallo "Leo Alzinger"
hat funktioniert! danke. eine kleinigkeit ist damit auch noch nicht behoben (war auch beim "quickmode" so): gleich nach dem aufbau der isdn verbindung und noch bevor die firewall regeln gesetzt werden gibts folgende meldung in /var/log/messages ein paar mal hintereinander:
kernel: SuSE-FW-ILLEGAL-TARGET IN=ippp0 OUT= MAC= SRC=195.70.224.61 DST=212.152.140.22 LEN=129 TOS=0x00 PREC=0x00 TTL=61 ID=0 DF PROTO=UDP SPT=53 DPT=1024 LEN=109
was kann das noch sein? dann wäre es perfekt!
Nun, während das Script durchläuft sind alle Verbindungen auf deny, also kann auch keine DNS-Abfrage nach draußen gehen (Port 53). Ob man das irgendwie beheben kann, kann ich so nciht sagen. Falls es eine Möglichkeit gibt, wäre ich daran auch interessiert, rein aus logfilekosmetischen Gründen... PS: Leo, bitte reduziere Deine Quotes doch auf den zum Verständnis nötigen Teil der Vormail: http://learn.to/quote hilft weiter... Tschüß und Gruß von der Wieseck, Dirk -- Dirk Janßen | Fon: +49 (0)641 9502070 | PGP-Key available Gießen, Germany | Fax: +49 (0)641 9502071 | at pgp@dja-it.de
participants (3)
-
Karsten Keil
-
Leo Alzinger
-
linux@dja-it.de