Hallo zusammen, ich habe ein Problem mit der SuSEFirewall2. Kurz zur Umgebung. Ich habe zwei funktionierende OpenVPN-Gateways verbunden damit ich von LAN1 auf die Hosts in LAN2 zugreifen kann. Vom OpenVPN-Gateway das auch gleichzeitig das Internet-Gateway ist kann ich die Rechner in LAN2 anpingen. Von einem Host in LAN2 nicht. Ich habe mir das Log der Firewall angeschaut und finde dort: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=tun1 SRC=192.168.0.196 DST=192.168.111.1 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=6167 SEQ=1 Jun 13 13:22:20 darwin kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=tun1 SRC=192.168.0.196 DST=192.168.111.1 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=6167 SEQ=2 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wobei 192.168.0.196 Host in LAN1 ist von dem aus ich den Ping abgesetzt habe, 192.168.111.1 ist der Rechner den ich in LAN2 anpingen wollte. Was muß ich tun damit die Firewall die zuläßt? Die Devices tun0 tun1 sind als intern deklariert und die Option "von intern schützen" ist auch nicht an. Routing-Tabellen sind absolut richtig. Hat jemand eine Idee für mich? -- Sven Gehr Benderstrasse 34 77815 Bühl Fon: +49.7223.250265 -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Am Tuesday 13 June 2006 13:50 schrieb Sven Gehr:
Hallo zusammen,
ich habe ein Problem mit der SuSEFirewall2. Kurz zur Umgebung. Ich habe zwei funktionierende OpenVPN-Gateways verbunden damit ich von LAN1 auf die Hosts in LAN2 zugreifen kann. Vom OpenVPN-Gateway das auch gleichzeitig das Internet-Gateway ist kann ich die Rechner in LAN2 anpingen. Von einem Host in LAN2 nicht. Ich habe mir das Log der Firewall angeschaut und finde dort:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=tun1 SRC=192.168.0.196 DST=192.168.111.1 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=6167 SEQ=1 Jun 13 13:22:20 darwin kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=tun1 SRC=192.168.0.196 DST=192.168.111.1 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=6167 SEQ=2 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wobei 192.168.0.196 Host in LAN1 ist von dem aus ich den Ping abgesetzt habe, 192.168.111.1 ist der Rechner den ich in LAN2 anpingen wollte. Was muß ich tun damit die Firewall die zuläßt? Die Devices tun0 tun1 sind als intern deklariert und die Option "von intern schützen" ist auch nicht an. Routing-Tabellen sind absolut richtig.
Hat jemand eine Idee für mich?
habs nur kurz überflogen, aber: Hast du deine SuSIfirewall angewiesen, die Pakete der beiden Netzwerke weiterzuleiten? nicht nur die, die von der firewall stammen, sonder auch die aus den lokalen netzwerken. z.B. über das Stichwort: enable class routing (oder so) - das erlaubt routing zwischen internen netzwerken, soweit ich mich erinnere... :-) funktioniert aber nicht immer, besser ist das mit iptables custom rules zu definieren - und die Regeln kannst dann einfach auf andere Systeme mitnehmen.. :-)
-- Sven Gehr Benderstrasse 34 77815 Bühl Fon: +49.7223.250265
-- Best Regards - Mit freundlichen Grüßen Markus Feilner -------------------------- Feilner IT Linux & GIS Linux Solutions, Training, Seminare und Workshops - auch Inhouse Kötztingerstr 6c 93057 Regensburg fon regensburg +49 941 8107989 mobil +49 170 3027092 www: www.feilner-it.net mail: mfeilner@feilner-it.net --------------------------------------- My new book - Out now: http://www.packtpub.com/openvpn/book OPENVPN : Building and Integrating Virtual Private Networks ======================================= -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Am Dienstag, 13. Juni 2006 14:45 schrieb Markus Feilner:
Am Tuesday 13 June 2006 13:50 schrieb Sven Gehr:
Hallo,
ich habe ein Problem mit der SuSEFirewall2. Kurz zur Umgebung. Ich habe zwei funktionierende OpenVPN-Gateways verbunden damit ich von LAN1 auf die Hosts in LAN2 zugreifen kann. Vom OpenVPN-Gateway das auch gleichzeitig das Internet-Gateway ist kann ich die Rechner in LAN2 anpingen. Von einem Host in LAN2 nicht. Ich habe mir das Log der Firewall angeschaut und finde dort:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=tun1 SRC=192.168.0.196 DST=192.168.111.1 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=6167 SEQ=1 Jun 13 13:22:20 darwin kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=tun1 SRC=192.168.0.196 DST=192.168.111.1 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=6167 SEQ=2 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wobei 192.168.0.196 Host in LAN1 ist von dem aus ich den Ping abgesetzt habe, 192.168.111.1 ist der Rechner den ich in LAN2 anpingen wollte. Was muß ich tun damit die Firewall die zuläßt? Die Devices tun0 tun1 sind als intern deklariert und die Option "von intern schützen" ist auch nicht an. Routing-Tabellen sind absolut richtig.
Hat jemand eine Idee für mich?
habs nur kurz überflogen, aber: Hast du deine SuSIfirewall angewiesen, die Pakete der beiden Netzwerke weiterzuleiten? nicht nur die, die von der firewall stammen, sonder auch die aus den lokalen netzwerken. z.B. über das Stichwort: enable class routing (oder so) - das erlaubt routing zwischen internen netzwerken, soweit ich mich erinnere... :-)
ja habe ich gefunden und auf beiden Gateway auf Yes gesetzt.
funktioniert aber nicht immer,
genau das ist das Ergebnis :-(
besser ist das mit iptables custom rules zu definieren - und die Regeln kannst dann einfach auf andere Systeme mitnehmen..
und wie würden die aussehen? Ich habe folgende Interfaces: eth0: für's LAN eth1: zum DSL-Modem dsl0: Device für DSL tun0: Device auf welchem der VPN-Server auf Verbindungen wartet tun1: Device mit welchem der VPN als Client zum anderen Gatewayverbindent Wie müssten die Regeln nun aussehn? -- Sven Gehr Benderstrasse 34 77815 Bühl Fon: +49.7223.250265 -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
On Tue, Jun 13, 2006 at 01:50:38PM +0200, Sven Gehr wrote:
Hat jemand eine Idee für mich?
Beigefuegte SuSEfirewall2 Examples auf eigene Beduerfnisse anpassen. rpm -qd ... Peter -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Am Dienstag, 13. Juni 2006 20:17 schrieb Peter Wiersig:
On Tue, Jun 13, 2006 at 01:50:38PM +0200, Sven Gehr wrote:
Hallo zusammen,
Hat jemand eine Idee für mich?
ok, meine Regel habe ich formuliert. Auf dem Gateway in LAN1 benötige ich: iptables -I FORWARD -i eth0 -o tun1 -j ACCEPT iptables -I FORWARD -i tun1 -o eth0 -j ACCEPT und auf dem Gateway in LAN2: iptables -I FORWARD -i tun0 -o eth1 -j ACCEPT (hier zeigt eth1 in's LAN) Wenn ich diese auf beiden Gatways manuell setze funktioniert alles wie gewünscht. Seltsamerweise muß ich auf dem Gateway in LAN2, in welches sich das Gateway von LAN1 als Client einwählt: FW_ALLOW_CLASS_ROUTING = yes setzen, sonst funktioniert das nicht. Auf dem Gateway in LAN1 benötige ich das nicht. Das erscheint mir nicht ganz logisch. Nun möchte ich die Regel in die SuSE-FW einbauen. Hierfür ist ja das File: /etc/sysconfig/scripts/SuSEfirewall2-custom zuständig. Hier gibt es verschiedene Bereiche und bevor ich jetzt eine Lücke aufreise wollte ich mal nachfragen. Ich hätte die Regeln in den Bereich: fw_custom_before_port_handling() { # these rules will be loaded after the anti-spoofing and icmp handling # and after the input has been redirected to the input_XXX and # forward_XXX chains and some basic chain-specific anti-circumvention # rules have been set, # but before any IP protocol or TCP/UDP port allow/protection rules # will be set. # You can use this hook to allow/deny certain IP protocols or TCP/UDP # ports before the SuSEfirewall2 generated rules are hit. iptables -I FORWARD -i eth0 -o tun1 -j ACCEPT iptables -I FORWARD -i tun1 -o eth0 -j ACCEPT true } Ist das richtig/sinvoll ? -- Sven Gehr Benderstrasse 34 77815 Bühl Fon: +49.7223.250265 -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
On Wed, Jun 14, 2006 at 09:39:24AM +0200, Sven Gehr wrote:
fw_custom_before_port_handling() { ... # You can use this hook to allow/deny certain IP protocols or TCP/UDP # ports before the SuSEfirewall2 generated rules are hit.
iptables -I FORWARD -i eth0 -o tun1 -j ACCEPT iptables -I FORWARD -i tun1 -o eth0 -j ACCEPT
true }
Ist das richtig/sinvoll ?
Klingt nicht schlecht. Kannst du nicht, wie im Kommentar angesprochen, das IP protocol noch zusaetzlich mit aufnehmen? In deinem DROP-Logs sollte es ausgefuehrt sein. Peter -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Am Mittwoch, 14. Juni 2006 10:03 schrieb Peter Wiersig:
On Wed, Jun 14, 2006 at 09:39:24AM +0200, Sven Gehr wrote:
Ist das richtig/sinvoll ?
Klingt nicht schlecht. Kannst du nicht, wie im Kommentar angesprochen, das IP protocol noch zusaetzlich mit aufnehmen? In deinem DROP-Logs sollte es ausgefuehrt sein.
Du meinst den Datenaustausch zwichen ethX und tunY auf das verwendete Protokoll, in meinem Fall UDP, beschränken. Oder habe ich dich jetzt falsch verstanden? Also: fw_custom_before_port_handling() { ... # You can use this hook to allow/deny certain IP protocols or TCP/UDP # ports before the SuSEfirewall2 generated rules are hit. iptables -I FORWARD -i eth0 -o tun1 -p UDP -j ACCEPT iptables -I FORWARD -i tun1 -o eth0 -p UDP -j ACCEPT true } -- Sven Gehr Benderstrasse 34 77815 Bühl Fon: +49.7223.250265 -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Am Mittwoch, 14. Juni 2006 10:15 schrieb Sven Gehr:
Am Mittwoch, 14. Juni 2006 10:03 schrieb Peter Wiersig:
On Wed, Jun 14, 2006 at 09:39:24AM +0200, Sven Gehr wrote:
Ist das richtig/sinvoll ?
Klingt nicht schlecht. Kannst du nicht, wie im Kommentar angesprochen, das IP protocol noch zusaetzlich mit aufnehmen? In deinem DROP-Logs sollte es ausgefuehrt sein.
Du meinst den Datenaustausch zwichen ethX und tunY auf das verwendete Protokoll, in meinem Fall UDP, beschränken. Oder habe ich dich jetzt falsch verstanden?
Ja, und da geht noch viel mehr... :-) Du kannst damit genau definieren, welchen traffic von Netz A nach Netz B du erlauben willst. Bedenke: Je mehr du einschränkst, um so genauer musst du die Dienste kennen, die du verwenden willst.. Viel Spass beim "man iptables" :-)
Also:
fw_custom_before_port_handling() { ... # You can use this hook to allow/deny certain IP protocols or TCP/UDP # ports before the SuSEfirewall2 generated rules are hit.
iptables -I FORWARD -i eth0 -o tun1 -p UDP -j ACCEPT iptables -I FORWARD -i tun1 -o eth0 -p UDP -j ACCEPT
true }
-- Sven Gehr Benderstrasse 34 77815 Bühl Fon: +49.7223.250265
-- Best Regards - Mit freundlichen Grüßen Markus Feilner -------------------------- Feilner IT Linux & GIS Linux Solutions, Training, Seminare und Workshops - auch Inhouse Kötztingerstr 6c 93057 Regensburg fon regensburg +49 941 8107989 mobil +49 170 3027092 www: www.feilner-it.net mail: mfeilner@feilner-it.net --------------------------------------- My new book - Out now: http://www.packtpub.com/openvpn/book OPENVPN : Building and Integrating Virtual Private Networks ======================================= -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
participants (3)
-
Markus Feilner -
Peter Wiersig -
Sven Gehr