Andreas Schott, Mittwoch, 14. April 2004 17:56:
Am Mittwoch, 14. April 2004 17:05 schrieb Matthias Houdek:
Andreas Schott, Mittwoch, 14. April 2004 16:08: [..]
Ich möchte aber auch Verezichnisse vom PC-Router per NFS an PC1 und Laptop freigeben und mounten. An PC1 geht das auch problemlos, da intern der Firewall des PC-Routers. Vom Laptop komme ich aber an die NFS-Verzeichnisse nicht ran, da diese Ports entsprechend blockiert werden. Da diese aber auch immer wechseln, kann ich sie nicht explizit in der PC-Router Firewall freigeben.
Was wechselt dort?
Jedesmal wen der Server neu bootet weist der Portmapper doch dem nfsd neue Ports zu, oder nicht?
Hm, der Zielport ist 2049, Verbindungen laufen über UDP und TCP. Ich kam bisher noch nicht in die Verlegenheit, NFS/NIS durch eine Firewall leiten zu müssen.
Natürlich musst du die entsprechenden Ports für NFS genau so wie Port 631 fürs Drucken an der Schnittstelle WLAN freigeben.
Soweit bin ich auch, doch welche Ports sind das?
Gib einfach alle Ports frei für Verbindungen, die von lokalen IPs reinkommen.
Schalte ich die Firewall am PC-Router aus, so kann ich NFS mounten, aber komme von PC1 mangels masquerading nicht mehr ins Internet.
Richtig, mit dem Ausschalten der SuSE-Firewall werden _alle_ Regeln für den Netfilter des Kernels zurückgesetzt. Damit auch das Masquerading.
Und für dieses Problem suche ich eine Lösung.
Ich weiß nicht, wie wichtig dir die Absicherung des PC-Routers gegen das WLAN ist, aber ich würde die Firewall-Funktion des PC-Routers in einem kleinen Home-Netz wahrscheinlich abschalten. Wichtig ist hier eine vernünftige, sichere Einrichtung des WLAN-Routers, da das der kritische Punkt für jeden Angriff von Außen ist (schau ins Handbuch des Teiles).
Auf dem PC-Router gibt alle Ports frei und stelle das Masquerading für den PC1 ein. Dann kümmert sich die SuSEFirewall nur noch darum und nicht um das Blockieren von irgendwelchen Datenströmen.
Soll ich dann einfach an der Stelle, wo jetzt 631 für die Druckerfreigabe 1:65535 schreiben?
Ich kenne SuSE-Firewall nicht in der Konfiguration. Kann man da nicht die Filterung für bestimmte Netze ganz ausschalten? Ich mag keine Automatismen, auf die ich mich verlassen muss. Dann lieber selbstgestrickt (und selbst durchschaut). -- Gruß MaxX 8-) Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu