Hallo, nach der Neuinstallation von openSUSE-11.2 hatte ich beschlossen, mein langjähriges itpables-Script einzumotten und mich Yast zur Einstellung der Firewall anzuvertrauen. Dazu habe ich ein par Fragen. 1. Aus welcher Quelle liest SFW die Protollbezeichnungen? Nach der manuellen Eingabe von Port 22 und Protoll ssh sowie Port 389 und Protokoll ldap meldete SFW: unknown protocol ssh, unknown protocol ldap. Das kann doch irgendwie nicht wahr sein, wozu gibt es die /etc/services? 2. Mit den Vorgaben der Eingabemaske, wie z.B. OpenLDAP Server kann ich nichts anfangen, ich habe da keinen OpenLDAP Server installiert, sondern einen OpenDS. Wenn Protokoll ldap nicht verstanden wird, wie richte ich es dann ein, dass OpenLDAP Server durch OpenDS oder ApacheDS, oder Sun Directory Server, oder einen sonstigen Namen ersetzt werden kann? Wo liegen diese Vorgabenmasken? -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:8EF7B6C6 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Sam, 26 Dez 2009, Dieter Kluenter schrieb:
1. Aus welcher Quelle liest SFW die Protollbezeichnungen? Nach der manuellen Eingabe von Port 22 und Protoll ssh sowie Port 389 und Protokoll ldap meldete SFW: unknown protocol ssh, unknown protocol ldap. Das kann doch irgendwie nicht wahr sein, wozu gibt es die /etc/services?
/etc/protocols. Protokoll wie bei 'iptables --protocol' also udp, tcp, icmp etc. ssh, ldap usw. kannst du als Port angeben, das wird dann per /etc/services aufgelöst. -dnh -- *So viele schöne Fragezeichen in meinem Kopf* ;-) [Moritz Esser, hier] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
David Haller
Hallo,
Am Sam, 26 Dez 2009, Dieter Kluenter schrieb:
1. Aus welcher Quelle liest SFW die Protollbezeichnungen? Nach der manuellen Eingabe von Port 22 und Protoll ssh sowie Port 389 und Protokoll ldap meldete SFW: unknown protocol ssh, unknown protocol ldap. Das kann doch irgendwie nicht wahr sein, wozu gibt es die /etc/services?
/etc/protocols. Protokoll wie bei 'iptables --protocol' also udp, tcp, icmp etc.
ssh, ldap usw. kannst du als Port angeben, das wird dann per /etc/services aufgelöst.
Eben nicht, das ist ja meine Klage. Die Eingabemaske von yast hat vier Felder, Port, TCP, UDP, Proto. Wenn etc/services gelesen würde, gäbe es keine Meldung über unknown protocol. Ich habe wieder mein altes iptabels Script geladen, damit ist Ruhe im Karton und ich weiss, was wie gefiltert wird. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:8EF7B6C6 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Dienstag, 29. Dezember 2009 schrieb Dieter Kluenter:
(...). Ich habe wieder mein altes iptabels Script geladen, damit ist Ruhe im Karton und ich weiss, was wie gefiltert wird.
Wenn du genau wissen willst, was passiert, dann bearbeite /etc/sysconfig/SuSEfirewall2 von Hand. Und dort kann ich problemlos ssh als Port anegeben. Und lies doch mal bitte, was David geschrieben hat: Du mußt ssh und ldap als *Port* angeben. ssh und ldap sind *keine* Protokolle auf der Ebene von iptables. In deinem ursprünglichen Artikel hast du aber geschrieben, daß du ssh und ldap als *Protokoll* angegeben hast. Das kann nicht funktionieren. Gruß Jan -- Humpty Dumpty was pushed. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Jan Ritzerfeld
Am Dienstag, 29. Dezember 2009 schrieb Dieter Kluenter:
(...). Ich habe wieder mein altes iptabels Script geladen, damit ist Ruhe im Karton und ich weiss, was wie gefiltert wird.
Wenn du genau wissen willst, was passiert, dann bearbeite /etc/sysconfig/SuSEfirewall2 von Hand. Und dort kann ich problemlos ssh als Port anegeben.
Und lies doch mal bitte, was David geschrieben hat: Du mußt ssh und ldap als *Port* angeben. ssh und ldap sind *keine* Protokolle auf der Ebene von iptables. In deinem ursprünglichen Artikel hast du aber geschrieben, daß du ssh und ldap als *Protokoll* angegeben hast. Das kann nicht funktionieren.
ssh und ldap sind und bleiben Protokolle, unabhängig vom Port. Wenn du dir den Unfug der Eingabemaske von yast ansehen würdest, dann würdest du erkennen, das dort vier Eingabefelder angeboten werden, u.a. wird dort die Porteingabe und die Protokolleingabe verlangt. Mir geht es nur um die Fehlermeldung, das ssh und ldap keine bekannten Protokolle seien. Diese Fehlermeldung kommt bestimmt nicht von iptables. Ich vermute, dass iptabes /etc/services nicht lesen kann, da die Paketfilter sehr früh in den Kernel geladen werden. Yast, als Konfigurationswerkzeug, müsste daher /etc/services lesen um die Gültigkeit eines Protokolls zu prüfen. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:8EF7B6C6 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Die, 29 Dez 2009, Dieter Kluenter schrieb:
ssh und ldap sind und bleiben Protokolle, unabhängig vom Port.
Nicht in der Nomenklatur von iptables.
Wenn du dir den Unfug der Eingabemaske von yast ansehen würdest, dann würdest du erkennen, das dort vier Eingabefelder angeboten werden, u.a. wird dort die Porteingabe und die Protokolleingabe verlangt.
Siehe meine erste Mail. Protokoll für iptables sind udp, tcp, icmp, usw. Aber _NICHT_ http, ftp, smtp, ssh, ldap, ... -dnh -- Körperverletzung kann bei Sahne auch durch längeres schlagen nicht hervorgerufen werden. Und selbst wenn, das Beweismaterial lässt sich nachher durch Verzehr vernichten. [Woko° in dag°] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
David Haller
Hallo,
Am Die, 29 Dez 2009, Dieter Kluenter schrieb:
ssh und ldap sind und bleiben Protokolle, unabhängig vom Port.
Nicht in der Nomenklatur von iptables.
Wenn du dir den Unfug der Eingabemaske von yast ansehen würdest, dann würdest du erkennen, das dort vier Eingabefelder angeboten werden, u.a. wird dort die Porteingabe und die Protokolleingabe verlangt.
Siehe meine erste Mail. Protokoll für iptables sind udp, tcp, icmp, usw. Aber _NICHT_ http, ftp, smtp, ssh, ldap, ...
Meine Erwartungen waren zu hoch gestellt. Eigentlich hatte ich erwartet, dass auf Layer 4 wohlgeformte Protocol Data Units inspiziert werden sollten. Es werden aber nur profane TCP Protokollbestandteile für Layer 3 erwartet :-( -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:8EF7B6C6 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (3)
-
David Haller
-
Dieter Kluenter
-
Jan Ritzerfeld