Hallo, Am Sun, 07 Aug 2011, Al Bogner schrieb:
Am So, 07 Aug 2011 00:00:04 CEST schrieb David Haller:
Am Sat, 06 Aug 2011, Helga Fischer schrieb:
Hmm... ich habe hier das Problem, dass ein Rechner wunderbar ins Netz kommt, sich Unfug im Netz angucken kann, aber keinen meiner internen Rechner erreicht. Mit IP anpingen kann ich alle. Das mit dem ping ist manchmal so eine Sache. Ich würde mich also nicht unbedingt auf pings verlassen.
ICMP ist eben nicht TCP oder UDP ;)
Was spuckt denn
LANG=C iptables -vnL | awk '$1 == "Chain" || $4 == "icmp" { print; }'
Ich hänge es, der Umbruch im Mail ist schwer leserlich.
Das nächste Mal bitte als .gz. Komprimiert Logs genauso gut wie zip und ich kann's direkt im Mutt angucken. .bz2 oder so wäre auch ok, da geht wenigstens pipen. Aber .zip ist das unpraktischste. Jedenfalls: auf englisch heißt es so schön: "Hook, Line and Sinker!" Zuerst ein bissl was aus 'man 7 icmp': Bit definitions (see the kernel source file include/linux/icmp.h): 0 Echo Reply 3 Destination Unreachable * 4 Source Quench * 5 Redirect 8 Echo Request B Time Exceeded * C Parameter Problem * D Timestamp Request E Timestamp Reply F Info Request G Info Reply H Address Mask Request I Address Mask Reply Ein 'ping' schickt "Echo Requests" raus (type 8) und die Antworten kommen als "Echo Reply" (Type 0) zurück. Dann gucken wir mal, was iptables bei also damit anstellt: Chain FORWARD (policy DROP 0 packets, 0 bytes) Chain forward_ext (1 references) 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED icmp type 0 Echo-Antworten werden "extern" durchgereicht .. aber kein "type 8", Anfragen also nicht! Im Log sollten sich Einträge dieser Regel finden: 0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT ' Und in der Gegenrichtung sieht's genauso aus: Chain forward_int (1 references) 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED icmp type 0 [..] 0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT ' Kurzum: dir fehlt ne Forward-Regel für Pings (ICMP type 8). Wie das mit Yast / SuSEFirewall2 geht weiß ich nicht. Mit iptables in die SFW eingefügt: iptables -I 2 forward_int -p icmp --icmp-type echo-request -j ACCEPT iptables -I 2 forward_ext -p icmp --icmp-type echo-request -j ACCEPT Das sollte man ggfs. noch nach Interface / Quelle einschränken. Im Notfall könnte ich mich auch mal wieder durch die SFW2 wühlen, wo man sowas "regelgerecht" einbindet, aber obiges sollte schon mal helfen (irgendwo nach dem Start der SFW2 ausgeführt). Achso, für mich schaut das sehr unlogisch aus, ICMP-Echo-Requests zu forwarden, Antworten aber nicht. Es sei denn, ich überseh da was bzgl. "RELATED,ESTABLISHED", aber erstens ist ICMP AFAIK verbindungslos, und zweitens gibt's nur in der INPUT Chain ein allgemeines "icmp .. RELATED" und ein 'icmp type 8 ACCEPT, aber nicht bei FORWARD. Riecht nach nem Bugzilla-Eintrag gegen die SFW2 ... Oder du hast was in der Yast-Oberfläche übersehen. Die kenne ich nicht. Meine FW ist mit ein handgeklöppeltes initscript, das neben ein paar anderen Sachen ein 'iptables restore' einer handgeklöppelten "rules"-Datei macht ;) In der steht z.B. so Krams wie: -A input_ext -p icmp -m icmp --icmp-type 8 -j ACCEPT -A input_ext -p icmp -m icmp --icmp-type 0 -m state \ --state RELATED,ESTABLISHED -j ACCEPT -A output_ext -p icmp -m icmp --icmp-type 8 -j ACCEPT -A output_ext -p icmp -m icmp --icmp-type 0 -m state \ --state RELATED,ESTABLISHED -j ACCEPT Forwarding mach ich hier z.Z. nicht, aber es ist übertragbar, s.o. HTH, -dnh PS: jup, die Regeldatei ist fast unverändert aus dem Hallerlix übernommen ;) -- Aber warum willst Du den Rechner eigentlich herunterfahren? Linux- rechner bootet man nicht alle paar Tage, sondern alle paar Monate, wenn man einen neuen Kernel installiert hat oder neue Hardware integrieren will und dafür den Strom abstellen muß. --- Bernd Brodesser -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org