On Wed, Nov 20, 2013 at 09:19:40AM +0100, T. Ermlich wrote:
Guten Morgen liebe Liste,
ich habe versucht, ein OS 12.3 (openSUSE 12.3 (x86_64), VERSION = 12.3, CODENAME = Dartmouth) System mit der SuSEFirewall2 zu konfigurieren. Das System hat eine Netzwerkkarte (eth0), eine öffentliche IP-Adresse und hängt an zwei privaten Netzwerken. Zugriff auf angebotene Dienste des Systems sollen nur die Geräte aus den beiden privaten Netzen haben, nach außen hin soll nur ssh "sichtbar" sein.
Ein Scan mittels nmap über das Internet erbrachte nun aber, daß viele Ports nach außen hin sichtbar sind: Scanning XYZ.domain.tld (aaa.bbb.ccc.ddd) [1000 ports] Discovered open port 53/tcp on aaa.bbb.ccc.ddd Discovered open port 993/tcp on aaa.bbb.ccc.ddd Discovered open port 110/tcp on aaa.bbb.ccc.ddd Discovered open port 995/tcp on aaa.bbb.ccc.ddd Discovered open port 143/tcp on aaa.bbb.ccc.ddd Discovered open port 27000/tcp on aaa.bbb.ccc.ddd Discovered open port 2049/tcp on aaa.bbb.ccc.ddd Completed SYN Stealth Scan at 08:51, 3.65s elapsed (1000 total ports)
Die Konfig habe ich angehängt ... habe ich da einen Denkfehler drin?
Die internen und externen Netze haengen beide auf eth0? Fuer den Rechner scheint eher ein DMZ Profil angebracht. Also FW_DEV_DMZ="eth0" und FW_DEV_INT="" (Wenn er in "INT" ist, sind die ports immer offen.) FW_CONFIGURATIONS_EXT="sshd" ... wenn sshd von aussen offen sein soll, dann eher in die FW_CONFIGURATIONS_DMZ Das sollte hoffentlich reichen, bin mir aber nicht sicher ;) Ciao, Marcus
Danke & Gruß Torsten
# /etc/sysconfig/SuSEfirewall2 # # for use with /sbin/SuSEfirewall2 version 3.6 # FW_DEV_EXT="" FW_DEV_INT="eth0" FW_DEV_DMZ="" FW_ROUTE="yes" FW_MASQUERADE="no" FW_MASQ_DEV="eth0" FW_MASQ_NETS="0/0" FW_NOMASQ_NETS="" FW_PROTECT_FROM_INT="no" FW_SERVICES_EXT_TCP="" FW_SERVICES_EXT_UDP="" FW_SERVICES_EXT_IP="" FW_SERVICES_EXT_RPC="" FW_CONFIGURATIONS_EXT="sshd" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_DMZ_IP="" FW_SERVICES_DMZ_RPC="" FW_CONFIGURATIONS_DMZ="" FW_SERVICES_INT_TCP="" FW_SERVICES_INT_UDP="" FW_SERVICES_INT_IP="" FW_SERVICES_INT_RPC="" FW_CONFIGURATIONS_INT="" FW_SERVICES_DROP_EXT="" FW_SERVICES_DROP_DMZ="" FW_SERVICES_DROP_INT="" FW_SERVICES_REJECT_EXT="" FW_SERVICES_REJECT_DMZ="" FW_SERVICES_REJECT_INT="" FW_SERVICES_ACCEPT_EXT="" FW_SERVICES_ACCEPT_DMZ="" FW_SERVICES_ACCEPT_INT="" FW_SERVICES_ACCEPT_RELATED_EXT="" FW_SERVICES_ACCEPT_RELATED_DMZ="" FW_SERVICES_ACCEPT_RELATED_INT="" FW_TRUSTED_NETS="NETWORK-1/25 NETWORK-2/25 NETWORK-3/25" FW_ALLOW_INCOMING_HIGHPORTS_TCP="" FW_ALLOW_INCOMING_HIGHPORTS_UDP="" FW_FORWARD="" FW_FORWARD_REJECT="" FW_FORWARD_DROP="" FW_FORWARD_MASQ="" FW_REDIRECT="" FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="no" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" FW_LOG_LIMIT="" FW_LOG="" FW_KERNEL_SECURITY="yes" FW_STOP_KEEP_ROUTING_STATE="no" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_PING_EXT="no" FW_ALLOW_FW_SOURCEQUENCH="" FW_ALLOW_FW_BROADCAST_EXT="no" FW_ALLOW_FW_BROADCAST_INT="no" FW_ALLOW_FW_BROADCAST_DMZ="no" FW_IGNORE_FW_BROADCAST_EXT="yes" FW_IGNORE_FW_BROADCAST_INT="no" FW_IGNORE_FW_BROADCAST_DMZ="no" FW_ALLOW_CLASS_ROUTING="yes" FW_CUSTOMRULES="" FW_REJECT="" FW_REJECT_INT="yes" FW_HTB_TUNE_DEV="" FW_IPv6="" FW_IPv6_REJECT_OUTGOING="" FW_IPSEC_TRUST="no" FW_ZONES="" FW_ZONE_DEFAULT="" FW_USE_IPTABLES_BATCH="" FW_LOAD_MODULES="nf_conntrack_netbios_ns" FW_FORWARD_ALWAYS_INOUT_DEV="" FW_FORWARD_ALLOW_BRIDGING="" FW_WRITE_STATUS="" FW_RUNTIME_OVERRIDE="" FW_LO_NOTRACK="" FW_BOOT_FULL_INIT="" -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org