Susefirewall2 Konfiguration: Redirect Dienst auf Firewall Host ohne den Originalport freizugeben
Hallo, gegeben: Linux Server mit Suse 9.0 als Server für alles (Mail/News/www/ etc.) und gleichzeitig auch masq. Router. Was ich erreichen möchte: Der Dienst imap (143) soll von internen Hosts unter dieser Portnummer erreichbar sein. Aus Richtung des Internet möchte ich diesen Port aber nicht freigeben sondern einen (beliebigen) anderen Port > 1024 wählen. Unter FW_SERVICES_TCP_EXT habe ich die 143 also nicht eingetragen. Stattdessen habe ich unter FW_FORW_MASQ einen Eintrag 0/0,192.168.9.1,tcp,9143,143. Bei einem Versuch den Port 9143 zu kontaktieren bekomme ich dann im Log folgende Meldung: SuSE-FW-ILLEGAL-TARGET IN=ppp0 OUT= MAC= SRC=217.7.147.254 DST=192.168.9.1 LEN=60 TOS=0x10 PREC=0x00 TTL=58 ID=41252 DF PROTO=TCP SPT=52143 DPT=143 Funktioniert also leider nicht wie gedacht. Welchen Trick muß ich anwenden um das gewünschte zu erreichen. Mfg Jörg
muito mais gente poderia lhe prestar alguma ajuda caso voce escrevesse este texto em ingles..... ----- Original Message ----- From: Jörg Spilker To: suse-security@suse.com Sent: Wednesday, June 15, 2005 4:25 PM Subject: [suse-security] Susefirewall2 Konfiguration: Redirect Dienst auf FirewallHost ohne den Originalport freizugeben Hallo, gegeben: Linux Server mit Suse 9.0 als Server für alles (Mail/News/www/ etc.) und gleichzeitig auch masq. Router. Was ich erreichen möchte: Der Dienst imap (143) soll von internen Hosts unter dieser Portnummer erreichbar sein. Aus Richtung des Internet möchte ich diesen Port aber nicht freigeben sondern einen (beliebigen) anderen Port > 1024 wählen. Unter FW_SERVICES_TCP_EXT habe ich die 143 also nicht eingetragen. Stattdessen habe ich unter FW_FORW_MASQ einen Eintrag 0/0,192.168.9.1,tcp,9143,143. Bei einem Versuch den Port 9143 zu kontaktieren bekomme ich dann im Log folgende Meldung: SuSE-FW-ILLEGAL-TARGET IN=ppp0 OUT= MAC= SRC=217.7.147.254 DST=192.168.9.1 LEN=60 TOS=0x10 PREC=0x00 TTL=58 ID=41252 DF PROTO=TCP SPT=52143 DPT=143 Funktioniert also leider nicht wie gedacht. Welchen Trick muß ich anwenden um das gewünschte zu erreichen. Mfg Jörg -- Check the headers for your unsubscription address For additional commands, e-mail: suse-security-help@suse.com Security-related bug reports go to security@suse.de, not here
Am Mittwoch, 15. Juni 2005 21:35 schrieb joao marka:
muito mais gente poderia lhe prestar alguma ajuda caso voce escrevesse este texto em ingles..... ----- Original Message -----
sorry, i think you´re reminding me to write in english. Given a home server with is serving mail/www/news and also is a masq. router. Some services like imap should be available to the intranet on the standard ports but on ports > 1024 from the outside. So i can´t put imap into FW_SERVICES_TCP_EXT. I tried the entry 0/0,192.168.9.1,tcp,9143,143 within FW_FORW_MASQ which gives the following error SuSE-FW-ILLEGAL-TARGET IN=ppp0 OUT= MAC= SRC=217.7.147.254 DST=192.168.9.1 LEN=60 TOS=0x10 PREC=0x00 TTL=58 ID=41252 DF PROTO=TCP SPT=52143 DPT=143 What trick gives me the desired behaviour. Greetings, Jörg
From: Jörg Spilker To: suse-security@suse.com Sent: Wednesday, June 15, 2005 4:25 PM Subject: [suse-security] Susefirewall2 Konfiguration: Redirect Dienst auf FirewallHost ohne den Originalport freizugeben
Hallo,
gegeben: Linux Server mit Suse 9.0 als Server für alles (Mail/News/www/ etc.) und gleichzeitig auch masq. Router.
Was ich erreichen möchte: Der Dienst imap (143) soll von internen Hosts unter dieser Portnummer erreichbar sein. Aus Richtung des Internet möchte ich diesen Port aber nicht freigeben sondern einen (beliebigen) anderen Port > 1024 wählen. Unter FW_SERVICES_TCP_EXT habe ich die 143 also nicht eingetragen. Stattdessen habe ich unter FW_FORW_MASQ einen Eintrag 0/0,192.168.9.1,tcp,9143,143.
Bei einem Versuch den Port 9143 zu kontaktieren bekomme ich dann im Log folgende Meldung: SuSE-FW-ILLEGAL-TARGET IN=ppp0 OUT= MAC= SRC=217.7.147.254 DST=192.168.9.1 LEN=60 TOS=0x10 PREC=0x00 TTL=58 ID=41252 DF PROTO=TCP SPT=52143 DPT=143
Funktioniert also leider nicht wie gedacht. Welchen Trick muß ich anwenden um das gewünschte zu erreichen.
Mfg Jörg
On Jun 15, Jörg Spilker <js@jetsys.de> wrote:
gegeben: Linux Server mit Suse 9.0 als Server für alles (Mail/News/www/ etc.) und gleichzeitig auch masq. Router. First of all, this is an english mailing list. Please post english! To summarize: You have a SuSE 9.0 box as Server + masquerading router.
Was ich erreichen möchte: Der Dienst imap (143) soll von internen Hosts unter dieser Portnummer erreichbar sein. Aus Richtung des Internet möchte ich diesen Port aber nicht freigeben sondern einen (beliebigen) anderen Port > 1024 wählen. Unter FW_SERVICES_TCP_EXT habe ich die 143 also nicht eingetragen. Stattdessen habe ich unter FW_FORW_MASQ einen Eintrag 0/0,192.168.9.1,tcp,9143,143. You want to make imap (port 143) available to internal clients and make it available to external clients on a different port.
While using non-standard ports might be ok to prevent some worms/script kiddies, etc. you should really, really, really use IMAP/SSL (port 993). Let your imapd listen on port 143 for your internal clients (probably using SSL there would be better, too!) AND on port 993, which you can open to the internet. If your imapd doesn't support SSL, you can use stunnel for SSL termination. Create your certificates using TinyCA. It's a great and easy to use tool!
Bei einem Versuch den Port 9143 zu kontaktieren bekomme ich dann im Log folgende Meldung: SuSE-FW-ILLEGAL-TARGET IN=ppp0 OUT= MAC= SRC=217.7.147.254 DST=192.168.9.1 LEN=60 TOS=0x10 PREC=0x00 TTL=58 ID=41252 DF PROTO=TCP SPT=52143 DPT=143 (I'm no susefirewall expert, so I'll leave that to someone else).
Markus -- __________________ /"\ Markus Gaugusch \ / ASCII Ribbon Campaign markus(at)gaugusch.at X Against HTML Mail / \
Hallo Jörg, this es an English speaking list. You get many more answers when writing English :-)
gegeben: Linux Server mit Suse 9.0 als Server für alles (Mail/News/www/ etc.) und gleichzeitig auch masq. Router.
Was ich erreichen möchte: Der Dienst imap (143) soll von internen Hosts unter dieser Portnummer erreichbar sein. Aus Richtung des Internet möchte ich diesen Port aber nicht freigeben sondern einen (beliebigen) anderen Port > 1024 wählen. Unter FW_SERVICES_TCP_EXT habe ich die 143 also nicht eingetragen. Stattdessen habe ich unter FW_FORW_MASQ einen Eintrag 0/0,192.168.9.1,tcp,9143,143.
--> The external IP address is only accessible from the outside (internet), not from internal hosts. So you need to use port internal_IP:143 for internal hosts and external_IP:9143. Also you have to make sure that imap is listening on both interfaces/IPs. Hope this brings you closer to a solution. If not, repost in English. Regards, Armin -- Am Hasenberg 26 office: Institut für Atmosphärenphysik D-18209 Bad Doberan Schloss-Straße 6 Tel. ++49-(0)38203/42137 D-18225 Kühlungsborn / GERMANY Email: schoech@iap-kborn.de Tel. +49-(0)38293-68-102 WWW: http://armins.cjb.net/ Fax. +49-(0)38293-68-50
Am Mittwoch, 15. Juni 2005 22:55 schrieb Armin Schoech: Hello,
this es an English speaking list. You get many more answers when writing English :-)
yes, sorry. I already translated my request.
--> The external IP address is only accessible from the outside (internet), not from internal hosts. So you need to use port internal_IP:143 for internal hosts and external_IP:9143. Also you have to make sure that imap is listening on both interfaces/IPs.
because i´m the only user on my local net, i set FW_PROTECT_FROM_INTERNAL to no. So every service on the firewall is accessible by any host from the internal networks. And as i can see from the redirect message the redirect to a different local port also works. I just have to eliminate the ILLEGAL_TARGETmessage which really seems not so easy. Greetings, Joerg
On Thu, 16 Jun 2005, [iso-8859-1] Jörg Spilker wrote:
Am Mittwoch, 15. Juni 2005 22:55 schrieb Armin Schoech:
Hello,
this es an English speaking list. You get many more answers when writing English :-)
yes, sorry. I already translated my request.
--> The external IP address is only accessible from the outside (internet), not from internal hosts. So you need to use port internal_IP:143 for internal hosts and external_IP:9143. Also you have to make sure that imap is listening on both interfaces/IPs.
because i?m the only user on my local net, i set FW_PROTECT_FROM_INTERNAL to no. So every service on the firewall is accessible by any host from the internal networks. And as i can see from the redirect message the redirect to a different local port also works. I just have to eliminate the ILLEGAL_TARGETmessage which really seems not so easy.
maybe you try to redirect to 127.0.0.1. imapd should be listening there too. usually i use rinetd to redirect ports, does the same but works. greetings -- BINGO: Remarkable bird, the Norwegian Blue. --- Engelbert Gruber -------+ SSG Fintl,Gruber,Lassnig / A6170 Zirl Innweg 5b / Tel. ++43-5238-93535 ---+
Am Mittwoch, 15. Juni 2005 22:55 schrieb Armin Schoech: Hello Armin,
--> The external IP address is only accessible from the outside (internet), not from internal hosts. So you need to use port internal_IP:143 for internal hosts and external_IP:9143. Also you have to make sure that imap is listening on both interfaces/IPs.
FW_REDIRECT_MASQ was the wrong place. I tried FW_REDIRECT with the following setup Jun 18 07:34:43 daolin kernel: SuSE-FW-ACCEPT IN=ppp0 OUT= MAC= SRC=217.7.147.254 DST=84.139.46.145 LEN=60 TOS=0x10 PREC=0x00 TTL=58 ID=33886 DF PROTO=TCP SPT=51472 DPT=9143 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40402080A09895F7A0000000001030300) telnet: connect to address 84.139.46.145: Connection refused FW_REDIRECT="0/0,192.168.9.1,tcp,9143,143 0/0,192.168.9.1,tcp,9993,993 the packet is accepts but not directed to the correct port. I had to substitute my internal ip with 0/0 and now it´s working as expected. Greetings, Joerg
participants (5)
-
Armin Schoech
-
engelbert.gruber@ssg.co.at
-
joao marka
-
Jörg Spilker
-
Markus Gaugusch