Griaseichallemidananda, hab' gerade eben versucht meinen USB-Scanner vom Netzwerk aus anzusprechen. Local hier vom Rechner klappt das Ding sehr gut. Ich hab' am Rechner (Server), an dem der Scanner hängt folgendes gemacht: /etc/sane.d/dll.conf enthält zwei relevante Zeilen net epson Die Datei net.conf enthält auch zwei Zeilen: localhost inge.local In der Datei saned.conf auf dem Server habe ich angegeben, welche Rechner auf den Scanner zugreifen dürfen: localhost inge.local Damit der Scanner im Netz zur Verfügung gestellt wird kann, hab' ich noch zwei Dateien im Verzeichnis /etc geändert. In der Datei /etc/services habe ich eine Zeile eingetragen: sane 6566/tcp und in der Datei /etc/inetd.conf die Zeile: sane stream tcp nowait root /usr/sbin/saned saned Lokal kann ich wunderschön mittels xsane den Scanner ansprechen. Auf dem client hab' ich noch folgendes eingetragen: In der Datei /etc/sane.d/dll.conf hab' ich nur den bewusten Eintrag vorgenommen: net Die Datei net.conf enthält auch nur die eine Zeile: server.local Starte ich nun vom Rechner inge xsane aus einem Terminalfenster, so erscheint das xsane-Fenster und nach einer Weile kommt die Meldung "xsane: no device available" und das war's dann ... :-( In der /var/log/messages taucht auch nix verdächtiges auf. So nun bin ich mit meinem Latein am Ende und die diversten google-Seiten hab' ich auch schon abgegrast. Kann mir vielleicht jemand den entscheidenden Tip geben? Ach ja, die fw-regel hab' ich zu Testzwecken bei getrennter Internetanbindung auch schobn deaktiviert, jedoch ohne Erfolg! Vielleicht hat ja jemand den entscheidenden Tip für mich! :-) Pfiadseich, BC P.S.: Wie kann ich denn wieder nachprüfen, ob der saned daemon überhaupt läuft? -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-989810 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
Am Dienstag, 12. Februar 2002 22:21 schrieb Michael Nausch:
Griaseichallemidananda,
hab' gerade eben versucht meinen USB-Scanner vom Netzwerk aus anzusprechen. Local hier vom Rechner klappt das Ding sehr gut.
Ich hab' am Rechner (Server), an dem der Scanner hängt folgendes gemacht:
/etc/sane.d/dll.conf enthält zwei relevante Zeilen net epson
Die Datei net.conf enthält auch zwei Zeilen: localhost inge.local
In der Datei saned.conf auf dem Server habe ich angegeben, welche Rechner auf den Scanner zugreifen dürfen:
localhost inge.local
Damit der Scanner im Netz zur Verfügung gestellt wird kann, hab' ich noch zwei Dateien im Verzeichnis /etc geändert. In der Datei /etc/services habe ich eine Zeile eingetragen: sane 6566/tcp
und in der Datei /etc/inetd.conf die Zeile: sane stream tcp nowait root /usr/sbin/saned saned
Lokal kann ich wunderschön mittels xsane den Scanner ansprechen.
Auf dem client hab' ich noch folgendes eingetragen:
In der Datei /etc/sane.d/dll.conf hab' ich nur den bewusten Eintrag vorgenommen: net
Die Datei net.conf enthält auch nur die eine Zeile:
server.local
Starte ich nun vom Rechner inge xsane aus einem Terminalfenster, so erscheint das xsane-Fenster und nach einer Weile kommt die Meldung "xsane: no device available" und das war's dann ... :-( In der /var/log/messages taucht auch nix verdächtiges auf.
So nun bin ich mit meinem Latein am Ende und die diversten google-Seiten hab' ich auch schon abgegrast. Kann mir vielleicht jemand den entscheidenden Tip geben? Ach ja, die fw-regel hab' ich zu Testzwecken bei getrennter Internetanbindung auch schobn deaktiviert, jedoch ohne Erfolg!
Vielleicht hat ja jemand den entscheidenden Tip für mich! :-)
Pfiadseich, BC
P.S.: Wie kann ich denn wieder nachprüfen, ob der saned daemon überhaupt läuft? Vielleicht splltest Du mittels eines init q Deinem System die Änderungen der inittab auch mitteilen. Dann könntes es auch schon funktionieren. (Das ist eines der schöneren Gegenstücke zum WIN Reboot)
CIAO Michael
Griasde Michael! Am Mittwoch, 13. Februar 2002 07:11 schrieb Michael Ziegler:
Vielleicht splltest Du mittels eines init q Deinem System die Änderungen der inittab auch mitteilen. Dann könntes es auch schon funktionieren. (Das ist eines der schöneren Gegenstücke zum WIN Reboot)
Das bringt leider nix, hatte ich schon probiert, auch hatte ich den Rechner heute mal seit langem wieder runtergefahren, da ich meine "alte" ELSA Gladiac wieder eingebaut habe. Die Geforce2 machte mir mit dem Lüfter einfach zu viel Krach ... Pfiade, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-989810 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
Am Die, 2002-02-12 um 22.21 schrieb Michael Nausch:
Griaseichallemidananda,
hab' gerade eben versucht meinen USB-Scanner vom Netzwerk aus anzusprechen. Local hier vom Rechner klappt das Ding sehr gut.
Dito hier, hab das gleiche Problem. Habe alles genau so gemacht wie du auch, allerdings ahbe ich hier [...]
In der Datei saned.conf auf dem Server habe ich angegeben, welche Rechner auf den Scanner zugreifen dürfen:
localhost inge.local
localhost mops pelle zusätzlich beide Rechner nochmal mit Namen eingetragen. [wieder alles gleich]
Die Datei net.conf enthält auch nur die eine Zeile:
server.local
Hier habe ich die gleichen drei Zeilen wie oben eingetragen.
Starte ich nun vom Rechner inge xsane aus einem Terminalfenster, so erscheint das xsane-Fenster und nach einer Weile kommt die Meldung "xsane: no device available" und das war's dann ... :-( In der /var/log/messages taucht auch nix verdächtiges auf.
Da sehe ich auf der Servermaschine sogar, wenn man auf saned zugreift. Allerdings habe ich nicht einfach xsane aufgerufen, sondern mit Parametern für den Netzzugriff. Auf der localen Maschine (Server) funktioniert das sogar bei beiden Usern die bei mir eingetragen sind. Auf der Nachbarmaschine übers Netz funktioniert es nicht. Man sieht zwar auch hier bei den Serverlogs, das übers Netz zugegriffen wurde, aber auf dem Client erhält man die Meldung, das man keine Rechte auf das Device hätte. [...]
P.S.: Wie kann ich denn wieder nachprüfen, ob der saned daemon überhaupt läuft?
Garnicht, er läuft ja nicht;-) Erst wenn man drauf zugreifen will wird er vom inetd gestartet. Das aber kannst Du in den messages sehr gut sehen. Versuch es mal auf dem Rechner, an dem der Scanner hängt, natürlich mit Parameter rechnername:device. -- mfg Peter Küchler, Planungsverband Frankfurt Region Rhein Main
Griasde Peter, Am Mittwoch, 13. Februar 2002 11:51 schrieb Peter Kuechler: Warst Du nicht der liebe nette Mensch, der mir damals schon half, als ich meinen Scanner zum Laufen gebracht habe? Wenn nicht, auch kein Beinbruch ...
Dito hier, hab das gleiche Problem. Habe alles genau so gemacht wie du auch, allerdings ahbe ich hier
Geht das Scannen bei Dir also auch nicht über's Netzwerk, oder wie? Wenn ich nun XSANE aufrufe, bekomme ich am Server eine Auswahl angeboten: o Epson GT-7000 flatbed scanner [epson:/dev/usbscanner] o Epson GT-7000 flatbed scanner [net:localhost:epson:/dev/usbscanner] Wähle ich die letzte Version aus, klappt alles wie gewohnt. In der /var/log/messages taucht auch ein Eintrag auf: Feb 13 20:43:31 server saned[2706] access by bigchief@localhost accepted Rufe ich xsane auf dem client auf, dann taucht dort nix in der /var/log/messages auf, geschweige denn hier auf dem Server. Ich schliese also daraus, daß der client gar nicht versucht hier auf den server zuzugreifen, oder? Nun gut, aber nun weiter bei der Beantwortung Deiner Nachricht:
In der Datei saned.conf auf dem Server habe ich angegeben, welche Rechner auf den Scanner zugreifen dürfen:
localhost inge.local
localhost mops pelle
zusätzlich beide Rechner nochmal mit Namen eingetragen.
stehen bei mir auch so drinnen, hier mal meine komplette saned.conf: # # saned.conf # # The contents of the saned.conf file is a list of host # names that are permitted by saned to use local SANE # devices in a networked configuration. The hostname # matching is NO LONGER case-sensitive. # #scan-client.somedomain.firm #localhost localhost inge.local inge server server.local # # NOTE: /etc/inetd.conf and /etc/services must also # be properly configured to start the saned daemon as # documented in saned(1), services(4) and inetd.conf(4) # # for example, /etc/services might contain a line: # sane 6566/tcp # network scanner daemon # # and /etc/inetd.conf might contain a line: # sane stream tcp nowait root /usr/local/sbin/saned saned
Da sehe ich auf der Servermaschine sogar, wenn man auf saned zugreift.
Das sehe ich auch, aber nur, wenn ich am Server versuche auf den Scanner über das Netz darauf zuzugreifen.
Allerdings habe ich nicht einfach xsane aufgerufen, sondern mit Parametern für den Netzzugriff. Auf der localen Maschine (Server) funktioniert das sogar bei beiden Usern die bei mir eingetragen sind.
Hmm ich hab' einfach xsane aufgerufen und da kam die oben genannte Auswahl.
Auf der Nachbarmaschine übers Netz funktioniert es nicht.
Also genau so wie bei mir, ein Griff in's Klo?
Man sieht zwar auch hier bei den Serverlogs, das übers Netz zugegriffen wurde, aber auf dem Client erhält man die Meldung, das man keine Rechte auf das Device hätte.
Nein, soweit komme ich noch nicht! :-( Ich denke erst einmal, ich muß auf dem client noch ein wenig suchen.
Garnicht, er läuft ja nicht;-) Erst wenn man drauf zugreifen will wird er vom inetd gestartet. Das aber kannst Du in den messages sehr gut sehen. Versuch es mal auf dem Rechner, an dem der Scanner hängt, natürlich mit Parameter rechnername:device.
O.K., O.K. das war ein Eigentor, daemliche Frage, ich ziehe sie zurück ... Pfiade, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-989810 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
HI, hab' gerade folgendes heruasgefunden: trage ich in der /etc/sane.d/dll.conf ein "net" ein, so wird für jeden Eintrag in der /etc/sane.d/net.conf beim Straten von xsane eine neue "Verbindung" zur Auswahl angeboten. Die Ausgabe:
o Epson GT-7000 flatbed scanner [epson:/dev/usbscanner] o Epson GT-7000 flatbed scanner [net:localhost:epson:/dev/usbscanner]
taucht dort auf, da ich eine Zeile localhost dort eingetragen habe, ergänze ich eine neue Zeile mit "server" so erscheint eine weitere Auswahl:
o Epson GT-7000 flatbed scanner [net:server:epson:/dev/usbscanner]
Trage ich dort den clientname inge ein, so braucht xsane bei mir am server xsane ewig, bis er die devices gescannt hat! :-( Klar, war ja bedingt durch meine firewall-policy gesperrt! Tja, die fw-regel hab' ich entsprechend abgeändert, nun klappt das auch soweit mit dem Starten am Server wieder mit gesetzter firewall. Aber der client inge verweigert nach wie vor die Zusammenarbeit. Wie muß ich denn ggf. am client xscanimage oder xsane starten wenn ich das net-device explizit ansprechen möchte? Weis das zufällig jemand? cu, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-989810 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
Hallo Michael,
From the keyboard of Michael,
HI,
hab' gerade folgendes heruasgefunden:
trage ich in der /etc/sane.d/dll.conf ein "net" ein, so wird für jeden Eintrag in der /etc/sane.d/net.conf beim Straten von xsane eine neue "Verbindung" zur Auswahl angeboten. Die Ausgabe:
o Epson GT-7000 flatbed scanner [epson:/dev/usbscanner] o Epson GT-7000 flatbed scanner [net:localhost:epson:/dev/usbscanner]
taucht dort auf, da ich eine Zeile localhost dort eingetragen habe, ergänze ich eine neue Zeile mit "server" so erscheint eine weitere Auswahl:
o Epson GT-7000 flatbed scanner [net:server:epson:/dev/usbscanner]
Trage ich dort den clientname inge ein, so braucht xsane bei mir am server xsane ewig, bis er die devices gescannt hat! :-(
Klar, war ja bedingt durch meine firewall-policy gesperrt! Tja, die fw-regel hab' ich entsprechend abgeändert, nun klappt das auch soweit mit dem Starten am Server wieder mit gesetzter firewall. Aber der client inge verweigert nach wie vor die Zusammenarbeit.
Wie muß ich denn ggf. am client xscanimage oder xsane starten wenn ich das net-device explizit ansprechen möchte? Weis das zufällig jemand?
Bei korrekter Konfiguration muß man das nicht. Geht ein telnet server 66?? (alzheimer :))? Ich würde mal auf dem Server aus der dll.conf net rausnehmen, vielleicht wird sonst ne loop erzeugt. Ein einfaches xsane auf dem Client reicht. Trage auch in der net.conf auf dem Client nur einen hostnamen ein, am besten einen der beim telnet auch funzt. gruß Waldemar -- Are your questions smart enough? http://www.tuxedo.org/~esr/faqs/smart-questions.html
Griasde! Am Donnerstag, 14. Februar 2002 02:04 schrieb Waldemar Brodkorb:
Bei korrekter Konfiguration muß man das nicht. Geht ein telnet server 66?? (alzheimer :))?
Danke, das war eine gute Hilfe. Wie soll der client inge denn auch den server ansprechen können, wenn in der /etc/hostes hierzu kein Eintrag drinnen war ... Man wie war ich doch d*** ... :-)
Ich würde mal auf dem Server aus der dll.conf net rausnehmen, vielleicht wird sonst ne loop erzeugt.
Das geht leider nicht, da sonst der client nicht über das Netz auf den scanner kommt!
Ein einfaches xsane auf dem Client reicht.
Genau! Ich kann nun xsane starten, nur wenn ich den Scannvorgang starte, dann scheint sich xsane aufzuhängen, da tut sich nix mehr ... Mal Morgen kucken, woran das wohl liegt. cu, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-989810 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
Am Mit, 2002-02-13 um 20.56 schrieb Michael Nausch:
Griasde Peter,
Am Mittwoch, 13. Februar 2002 11:51 schrieb Peter Kuechler:
Warst Du nicht der liebe nette Mensch, der mir damals schon half, als ich meinen Scanner zum Laufen gebracht habe? Wenn nicht, auch kein Beinbruch ...
Das ist nicht ausgeschlossen;-))
Dito hier, hab das gleiche Problem. Habe alles genau so gemacht wie du auch, allerdings ahbe ich hier
Geht das Scannen bei Dir also auch nicht über's Netzwerk, oder wie?
Kann man so nicht sagen. Auf dem Server schon, nur von einem anderen Rechner nicht. Hört sich im ersten Moment komisch an, ist es aber nicht. Wenn ich lokal auf saned zugreife, ist ja im Prinzip auch ein Netzwerkzugriff, halt nur von localhost. Wie ich weiter unten in deiner Mail sehe, geht das bei dir ja auch.
Wenn ich nun XSANE aufrufe, bekomme ich am Server eine Auswahl angeboten:
o Epson GT-7000 flatbed scanner [epson:/dev/usbscanner] o Epson GT-7000 flatbed scanner [net:localhost:epson:/dev/usbscanner]
Schon beim Start oder im Menü von xsane?
Wähle ich die letzte Version aus, klappt alles wie gewohnt.
In der /var/log/messages taucht auch ein Eintrag auf:
Feb 13 20:43:31 server saned[2706] access by bigchief@localhost accepted
So sieht das bei mir im Prinzip auch aus. Allerdings klappt das auch von dem Zweiten Rechner. Zumindest bei mir scheint es also nicht am Netzwerkzugriff auf den saned zu liegen. Da ist eher was mit den rechten faul. [...]
Hmm ich hab' einfach xsane aufgerufen und da kam die oben genannte Auswahl.
Damit hat sich meine Frage w.o. erledigt. Bei mir kommt das nicht.
Auf der Nachbarmaschine übers Netz funktioniert es nicht.
Also genau so wie bei mir, ein Griff in's Klo?
Nee, so wie es aussieht haben wir unterschiedliche Probleme. Bei dir funktioniert der Zugriff übers Netz nicht (keine Einträge in messages). Bei mir klemmt es scheinbar beim Zugriff auf das Device.
Man sieht zwar auch hier bei den Serverlogs, das übers Netz zugegriffen wurde, aber auf dem Client erhält man die Meldung, das man keine Rechte auf das Device hätte.
Nein, soweit komme ich noch nicht! :-( Ich denke erst einmal, ich muß auf dem client noch ein wenig suchen.
Garnicht, er läuft ja nicht;-) Erst wenn man drauf zugreifen will wird er vom inetd gestartet. Das aber kannst Du in den messages sehr gut sehen. Versuch es mal auf dem Rechner, an dem der Scanner hängt, natürlich mit Parameter rechnername:device.
O.K., O.K. das war ein Eigentor, daemliche Frage, ich ziehe sie zurück ...
Wieso dämlich? Jeder übersieht mal was;-) Ich muß heute abend oder am Wochenende nochmal suchen. -- mfg Peter Küchler, Planungsverband Frankfurt Region Rhein Main
Griasde Peter, Am Donnerstag, 14. Februar 2002 11:40 schrieb Peter Kuechler:
Netzwerkzugriff, halt nur von localhost. Wie ich weiter unten in deiner Mail sehe, geht das bei dir ja auch.
Genau! :-)
Schon beim Start oder im Menü von xsane?
Gelich nach dem Starten auf'm Server, noch bevor das eigentliche Fenster von xsane erscheint.
Wieso dämlich? Jeder übersieht mal was;-)
Ja aber doch nich ICH! :-)
Ich muß heute abend oder am Wochenende nochmal suchen.
Das werd' ich auch noch machen müssen, da xsane sich nicht so richtig zum Mitarbeiten bewegen lassen will. Denke, das ist eine Sache der Rechte. Ich melde mich dann wieder ... cul8r, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-989810 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
Hi! Also ich habe weitaus weniger Kenntisse in diesem Bereich, als die meisten die hier geantwortet haben. Vielleicht ist meine Mail hier völlig nutzlos. Hoffe ich aber nicht ;) Also ich habe ein USB-Scanner am laufen und ich kann ihn auch übers netzwerk ansprechen. Ich bin, wie auf der suse-supportdatenbank beschrieben vorgegangen: http://sdb.suse.de/de/sdb/html/scanner.html#netscan Ich hiffe, das hilft dir. Gruss, Oli
Griasdebua! Am Freitag, 15. Februar 2002 12:44 schrieb Olivier Warin:
Also ich habe weitaus weniger Kenntisse in diesem Bereich, als die meisten die hier geantwortet haben.
Wenn Du wüstetst, wieviel Ahnung ich hab' ... :-)
Also ich habe ein USB-Scanner am laufen und ich kann ihn auch übers netzwerk ansprechen.
Ansprechen kann ich ihn nun auch, nur ist mir folgendes aufgefallen. Ist der client ausgeschaltet, dann dauert es verhältnis lange, bis der Server hier den Scanner "findet". Strate ich am client xsane oder wenn ich unter gimp scannen möchte passiert folgendes. xsane kommt ganz normal hoch, ich kann die diversen Einstellungen machen, wie z.B. fax, farb ect pp. Starte ich aber nun den Scannvorgang oder ich klicke den preview-button an, so fängt der scanner auch an zu werkeln, aber dann "hängt" sich xsane auf, d.h. alle buttons sind nicht mehr anwählbar und nur noch schattiert dargestellt. Da hilft dann nur noch ein "STRG"+"ALT"+"ESC" und weg damit in den Datenhimmel. Ich bin am Ende ... :-( cu, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-989810 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
Hallo, On Fri, 15 Feb 2002, Michael Nausch wrote:
xsane kommt ganz normal hoch, [..] aber dann "hängt" sich xsane auf,
Probiere doch mal nen anderen client... Bin mir aber nicht sicher, ob z.B. xscanimage auch "uebers Netz" geht... -dnh -- WARNING! ~/.signature contains a signature-virus and is blocked by VaporWare(tm) Antivirus-Wall V42. Please contact your local admin.
Griasde David, Am Freitag, 15. Februar 2002 23:47 schrieb David Haller:
Probiere doch mal nen anderen client... Bin mir aber nicht sicher, ob z.B. xscanimage auch "uebers Netz" geht...
Doch doch das geht schon, nur muß man wissen wie. Ich weiß auch schon an was es liegt, aber hierzu gleich mehr in der Antwort zur Nachricht von Waldemar! cu, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-989810 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
Hallo Michael,
From the keyboard of Michael,
Griasdebua!
Am Freitag, 15. Februar 2002 12:44 schrieb Olivier Warin:
Also ich habe weitaus weniger Kenntisse in diesem Bereich, als die meisten die hier geantwortet haben.
Wenn Du wüstetst, wieviel Ahnung ich hab' ... :-)
Also ich habe ein USB-Scanner am laufen und ich kann ihn auch übers netzwerk ansprechen.
Ansprechen kann ich ihn nun auch, nur ist mir folgendes aufgefallen.
Ist der client ausgeschaltet, dann dauert es verhältnis lange, bis der Server hier den Scanner "findet".
Fehler in der config. Wie gesagt wozu mußt du in der dll.conf mehr als einen Eintrag haben? Hast du mehr als einen Scanner?
Strate ich am client xsane oder wenn ich unter gimp scannen möchte passiert folgendes.
xsane kommt ganz normal hoch, ich kann die diversen Einstellungen machen, wie z.B. fax, farb ect pp. Starte ich aber nun den Scannvorgang oder ich klicke den preview-button an, so fängt der scanner auch an zu werkeln, aber dann "hängt" sich xsane auf, d.h. alle buttons sind nicht mehr anwählbar und nur noch schattiert dargestellt. Da hilft dann nur noch ein "STRG"+"ALT"+"ESC" und weg damit in den Datenhimmel.
Ich bin am Ende ... :-(
Welche xsane Version? Schonmal über ein Update von sane+xsane nachgedacht? gruß Waldemar -- Are your questions smart enough? http://www.tuxedo.org/~esr/faqs/smart-questions.html If not: perl -e 'print $i=pack(c5,(41*2),sqrt(7056),(unpack(c,H)-2),oct(115),10);'
Griasde Waldemar, Griase David! Am Samstag, 16. Februar 2002 01:29 schrieb Waldemar Brodkorb:
Fehler in der config. Wie gesagt wozu mußt du in der dll.conf mehr als einen Eintrag haben? Hast du mehr als einen Scanner?
Das nicht, aber in der dll.conf steht ja schließlich welcher scanner verwendet wird, und ob dieser über das Netzwerk angesprochen werden kann/soll, daher die zwei Zeilen: net epson
Welche xsane Version? Schonmal über ein Update von sane+xsane nachgedacht?
xsane 0.74 hab' das Ding vorher nochmals neu intsalliert, nachdem ich aus versehen, beim updaten die der SuSE 7.3 erwischte und nicht die der 7.2er ... Die Ursache warum xsane am client sich vermeintlich aufhängt ist meine "SUPER firewall", dort hab ich grundsätzlich alles geblockt, was ich nicht kenn. Für den Scanner-Zugriff über das Netz hab' ich z.B. definiert: # -------------------------------------------------------------------------- # Regeln fuer xsane-netzwerkzugriffe $IPTABLES -A INPUT -i $INT -p tcp --dport sane -j ACCEPT $IPTABLES -A INPUT -i $INT -p tcp --sport sane -j ACCEPT $IPTABLES -A OUTPUT -o $INT -p tcp --dport sane -j ACCEPT $IPTABLES -A OUTPUT -o $INT -p tcp --sport sane -j ACCEPT Damit kann ich zwar mittels xsane den Scanner ansprechen, aber die Daten vom Scanner werden im Moment noch von der firewall geblockt. Stoppe ich nämlich die DSL-Verbindung mit: adsl-stop /root/fw/clear_all_rules und versuche dann mein Glück, dann funktioniert das hervorragend. Starte ich nun meine firewall wieder mit: adsl-start /root/fw/fw-mna und versuche es erneut, "hängt sich scheinbar" xsane auf. In der /var/log/syslog/messages tauchen ein Haufen Zeilen auf: saned[xxxx] : [epson] error in receive - status = 9 auf. Weiß zufällig, wie die Daten vom Scanner über sane an den client geschickt werden? (tcp,udp, port?) Wenn ich das noch herausgefunden habe, muß ich nur noch den firewall-script anpassen und dann kann die holde Gattin endlich auch selber Bilder einscannen ... :-) cu, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-989810 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
HAI! Am Samstag, 16. Februar 2002 16:11 schrieb Michael Nausch:
Das nicht, aber in der dll.conf steht ja schließlich welcher scanner verwendet wird, und ob dieser über das Netzwerk angesprochen werden kann/soll, daher die zwei Zeilen: net epson
und in der /etc/sane.d/net.conf steht nun nur noch der cleient drinnen, der Scannen darf, nun klappt es auch wieder am Server ohne Probleme!
Die Ursache warum xsane am client sich vermeintlich aufhängt ist meine "SUPER firewall", dort hab ich grundsätzlich alles geblockt, was ich nicht kenn.
Nach einigen zeitaufreibenden Suchen hab' ich nun einen Portbereich gefunden, der von sane benutzt wird. Ich hab' nun meine fw-routine etwas angepasst: # -------------------------------------------------------------------------- # Regeln fuer xsane-netzwerkzugriffe $IPTABLES -A INPUT -i $INT -p tcp --dport sane -j ACCEPT $IPTABLES -A INPUT -i $INT -p tcp --sport sane -j ACCEPT $IPTABLES -A OUTPUT -o $INT -p tcp --dport sane -j ACCEPT $IPTABLES -A OUTPUT -o $INT -p tcp --sport sane -j ACCEPT # mal einen groesseren Bereich an ports im intranet freigeschaltet $IPTABLES -A INPUT -i $INT -p tcp --dport 1030:1040 -j ACCEPT $IPTABLES -A INPUT -i $INT -p tcp --sport 1030:1040 -j ACCEPT $IPTABLES -A OUTPUT -o $INT -p tcp --dport 33130:33140 -j ACCEPT $IPTABLES -A OUTPUT -o $INT -p tcp --sport 33130:33140 -j ACCEPT Das ganze passt zwar nicht ganz in meine fw-policy, aber anderst geht es vorerst nicht. Aber nachdem ich von halbwegs sicheren Zugängen hier in meinem heimischen Netzwerk ausgehen will, denke ich, das geht vorerst mal so. Aber wenn einer von Euch eine bessere Idee hat, oder wenn ich den port-Bereich weiter einschränken kann, dann bitte Bescheid geben! cul8r, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-989810 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
Hallo Michael,
From the keyboard of Michael,
HAI!
Wo :)
Aber wenn einer von Euch eine bessere Idee hat, oder wenn ich den port-Bereich weiter einschränken kann, dann bitte Bescheid geben!
Wo kein Service am externen Interface lauscht da keine Angriffsfläche. Schau dir mal xinetd und seine bind Option _genau_ an. gruß Waldemar -- Are your questions smart enough? http://www.tuxedo.org/~esr/faqs/smart-questions.html If not: perl -e 'print $i=pack(c5,(41*2),sqrt(7056),(unpack(c,H)-2),oct(115),10);'
Griasdebua! Am Samstag, 16. Februar 2002 20:35 schrieb Waldemar Brodkorb:
Wo kein Service am externen Interface lauscht da keine Angriffsfläche.
Mir ist bedeutend wohler, wenn ich mir halbwegs sicher sein kann, daß nur das frei ist, was ich auch will. Der Scannvorgang hier im Netzwerk besteht aus zwei Dingen, einmal der "start" der über port 6656 "sane" läuft und dann einem zufällig ausgewählten Bereich von Ports in der Größenordnung von z.B.: 1032 als source-port am Server und einem destination-port von 33137 am client: Feb 16 18:36:23 server kernel: DROP-TCP IN=eth1 OUT= MAC=00:30:84:3a:c6:e8:00:e0:7d:71:69:d2:08:00 SRC=192.168.10.20 DST=192.168.10.10 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=226 DF PROTO=TCP SPT=1032 DPT=33137 WINDOW=32120 RES=0x00 SYN URGP=0 Aber dennoch ein herzliches Dankeschön an Waldmar und all die anderen, die mir bei "speziell meinem Problem" geholfen haben! Vergelt's Gott ... Pfiade, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-989810 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
Hallo, On Sat, 16 Feb 2002, Michael Nausch wrote:
Die Ursache warum xsane am client sich vermeintlich aufhängt ist meine "SUPER firewall", dort hab ich grundsätzlich alles geblockt, was ich nicht kenn.
Nach einigen zeitaufreibenden Suchen hab' ich nun einen Portbereich gefunden, der von sane benutzt wird. Ich hab' nun meine fw-routine etwas angepasst:
# -------------------------------------------------------------------------- # Regeln fuer xsane-netzwerkzugriffe
$IPTABLES -A INPUT -i $INT -p tcp --dport sane -j ACCEPT $IPTABLES -A INPUT -i $INT -p tcp --sport sane -j ACCEPT $IPTABLES -A OUTPUT -o $INT -p tcp --dport sane -j ACCEPT $IPTABLES -A OUTPUT -o $INT -p tcp --sport sane -j ACCEPT
# mal einen groesseren Bereich an ports im intranet freigeschaltet $IPTABLES -A INPUT -i $INT -p tcp --dport 1030:1040 -j ACCEPT $IPTABLES -A INPUT -i $INT -p tcp --sport 1030:1040 -j ACCEPT $IPTABLES -A OUTPUT -o $INT -p tcp --dport 33130:33140 -j ACCEPT $IPTABLES -A OUTPUT -o $INT -p tcp --sport 33130:33140 -j ACCEPT
Beobachte mal (z.B. auf dem Server) ohne FW das scannen mit 'netstat -cutpn'... Und ich wuerde mal testen ob das evtl. mit '-m state --state ESTABLISHED,RELATED' reicht, anstatt die Ports freizugeben... -dnh -- "I think it's a beautiful day to go to the zoo and feed the ducks. To the lions." - Brian Kantor
Habedieehreoidewuaschhaud! Am Samstag, 16. Februar 2002 22:30 schrieb David Haller:
Beobachte mal (z.B. auf dem Server) ohne FW das scannen mit 'netstat -cutpn'...
Brauch' nur auf entsprechende eMails von logsurfer@server.local warten, die als Betreff z.B.: "DROP from 192.168.10.20, Service 33137/TCP" hat. Das sind sie dann.
Und ich wuerde mal testen ob das evtl. mit '-m state --state ESTABLISHED,RELATED' reicht, anstatt die Ports freizugeben...
Werd's mal ausprobieren! Pfiade, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-989810 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
Griasde David! Am Samstag, 16. Februar 2002 22:30 schrieb David Haller:
Beobachte mal (z.B. auf dem Server) ohne FW das scannen mit 'netstat -cutpn'... Und ich wuerde mal testen ob das evtl. mit '-m state --state ESTABLISHED,RELATED' reicht, anstatt die Ports freizugeben...
Leider ist es so, daß das back-end net wirkürlich eaus einem immer größer werdenden Portbereich schöpft. Tja, im Moment hab ich mir nur dadurch beholfen, in dem ich einen gewissen Bereich frei gegeben hab. Das gefällt mir zwar so gar nicht, aber wenigstens die Frau gibt Ruhe ... Hab' mal parallel an die Spezialisten, aus den Reihen der sane-mailingliste geschrieben, vielleicht haben die ja 'ne Idee ... cu, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-989810 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
Hallo Michael,
From the keyboard of Michael,
Griasde Waldemar, Griase David!
Am Samstag, 16. Februar 2002 01:29 schrieb Waldemar Brodkorb:
Fehler in der config. Wie gesagt wozu mußt du in der dll.conf mehr als einen Eintrag haben? Hast du mehr als einen Scanner?
Das nicht, aber in der dll.conf steht ja schließlich welcher scanner verwendet wird, und ob dieser über das Netzwerk angesprochen werden kann/soll, daher die zwei Zeilen: net epson
Die ist doch lokal auf dem Server. Warum willste auf dem Server den Overhead der Sockets und saned-Dämons mitnehmen? Ist doch unsinnig. Wenn du auf dem Server bist, dann willste direkt auf das Device zugreifen, über das Epson-Backend und nicht noch über Sockets.
Welche xsane Version? Schonmal über ein Update von sane+xsane nachgedacht?
xsane 0.74 hab' das Ding vorher nochmals neu intsalliert, nachdem ich aus versehen, beim updaten die der SuSE 7.3 erwischte und nicht die der 7.2er ...
JFYI: 0.8.4 ist aktuell.
Die Ursache warum xsane am client sich vermeintlich aufhängt ist meine "SUPER firewall", dort hab ich grundsätzlich alles geblockt, was ich nicht kenn.
Für den Scanner-Zugriff über das Netz hab' ich z.B. definiert:
# -------------------------------------------------------------------------- # Regeln fuer xsane-netzwerkzugriffe
$IPTABLES -A INPUT -i $INT -p tcp --dport sane -j ACCEPT $IPTABLES -A INPUT -i $INT -p tcp --sport sane -j ACCEPT $IPTABLES -A OUTPUT -o $INT -p tcp --dport sane -j ACCEPT $IPTABLES -A OUTPUT -o $INT -p tcp --sport sane -j ACCEPT
Damit kann ich zwar mittels xsane den Scanner ansprechen, aber die Daten vom Scanner werden im Moment noch von der firewall geblockt.
Stoppe ich nämlich die DSL-Verbindung mit: adsl-stop /root/fw/clear_all_rules
und versuche dann mein Glück, dann funktioniert das hervorragend. Starte ich nun meine firewall wieder mit: adsl-start /root/fw/fw-mna
Dazu fällt mir nur was "mieses" ein. Wer keine Ahnung von "Firewall" und Paketfiltern hat sollte diese nicht benutzen, da sie mehr Schaden als Sicherheit bringen.
und versuche es erneut, "hängt sich scheinbar" xsane auf. In der /var/log/syslog/messages tauchen ein Haufen Zeilen auf:
saned[xxxx] : [epson] error in receive - status = 9 auf.
Weiß zufällig, wie die Daten vom Scanner über sane an den client geschickt werden? (tcp,udp, port?)
Wirf Ethereal an und untersuche es. Oder schau in den Source von saned, da stehts auch drin.
Wenn ich das noch herausgefunden habe, muß ich nur noch den firewall-script anpassen und dann kann die holde Gattin endlich auch selber Bilder einscannen ... :-)
Stoppe dein firewallskript und dann läuft es auch. gruß Waldemar -- Are your questions smart enough? http://www.tuxedo.org/~esr/faqs/smart-questions.html If not: perl -e 'print $i=pack(c5,(41*2),sqrt(7056),(unpack(c,H)-2),oct(115),10);'
G'dnaaaaaaaaaaaaaaaamd! Am Samstag, 16. Februar 2002 20:32 schrieb Waldemar Brodkorb:
Die ist doch lokal auf dem Server. Warum willste auf dem Server den Overhead der Sockets und saned-Dämons mitnehmen?
Songmamoiso: Der Begriff "Server" steht bei mir hier für einen LINUX-Rechner, an dem ich "arbeite" oder 'rumspiele und die clients sind die PC's von meiner Frau, Kinder, Laptop ...
Ist doch unsinnig.
Du Waldemar, sei mir nicht böse, aber ich komme da zum einen nicht ganz mit, was Du mir da sagen willst und zum anderen funktioniert das Teil auch entsprechend nur so bei mir.
Dazu fällt mir nur was "mieses" ein. Wer keine Ahnung von "Firewall" und Paketfiltern hat ...
Sag' mal, ist Dir eine Laus über die Leber gelaufen oder was? ;-) Gut, daß ich heute gut aufgelegt bin, sonst müsste ich mich da aufregen ... Ist doch gut, daß ich EINE AHNUNG von Firewall und Paketfiltern habe und ich mir so entsprechend helfen kann! :^)
...sollte diese nicht benutzen, da sie mehr Schaden als Sicherheit bringen.
Sorry, aber so einen Schwachsinn hab' ich ja seit dem Entfernen von MS-Windows von meiner Festplatte nicht mehr gehört. Ich sehe die Sache so: Wer keinen Peil hat, der kann ruhig ein unsicheres System auf einer unsicheren Plattform betreiben, oder irgendeine "0815"-Standardfirewall laufen lassen, in der Hoffnung "die werden schon wissen, was sie tun". Ich für mich habe mir folgenden Grundsatz gemacht: Erst einmal sperre ich alles im internen und externen Netzverkehr und gebe nur die Protokolle und Ports frei, von denen ich halbwegs weiss, für was diese Sachen gut sind. Natürlich stolpere ich da manchmal über mich selber, da eine "klicki-klacki"-Installation wie bei Win**** nicht auf Anhieb funktioniert. So musste ich z.B. für den cddb-Dialog ert mal die Port freischalten um in den Genuß von Titeln beim CD-Abspielen komme. ABER dennoch kann ich somit relativ sicher sein, daß mein System gut geschützt ist und ich somit die Angriffs- und Schadensfläche sehr gering halte. Deine Aussage "..sollte diese nicht benutzen, da sie mehr Schaden als Sicherheit bringen." kann ich nun schwehrlich und im Prinzip gar nicht verstehen.
Wirf Ethereal an und untersuche es. Oder schau in den Source von
Danke füpr den Tip mit "ethereal" das Programm ist wirklich sehr hilfreich!
Stoppe dein firewallskript und dann läuft es auch.
Das ist doch nicht Dein Ernst, oder? Das ist ja fast, wie wenn Du Deinem besten Freund sagt: "Geh' in den Puff, aber Gummi brauchst Du keinen. Ansteckungsgefahr ist doch gar keine gegeben!" :-) Nu' denn, Waldemar, irgenwie bekomme ich gerade die Vermutung nicht los, daß Dich entweder Deiner Frau verlassen oder Dein Scheff Dir gekündigt hat. Hol' Dir also eine Pulle Hopfentee aus'm Kühlschrank, trink auf mich und schon sieht die Welt wieder viel besser aus ... :-) Pfiade, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-989810 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
HalliHallo Michael,
From the keyboard of Michael,
G'dnaaaaaaaaaaaaaaaamd!
Am Samstag, 16. Februar 2002 20:32 schrieb Waldemar Brodkorb:
Die ist doch lokal auf dem Server. Warum willste auf dem Server den Overhead der Sockets und saned-Dämons mitnehmen?
Songmamoiso: Der Begriff "Server" steht bei mir hier für einen LINUX-Rechner, an dem ich "arbeite" oder 'rumspiele und die clients sind die PC's von meiner Frau, Kinder, Laptop ...
Aber es ist abstrakt gesehen ein Client-Server Modell. Der Server bietet Scandienste, die dein Client nutzt. Egal wie die Rechner da im speziellen Aussehen.
Ist doch unsinnig.
Du Waldemar, sei mir nicht böse, aber ich komme da zum einen nicht ganz mit, was Du mir da sagen willst und zum anderen funktioniert das Teil auch entsprechend nur so bei mir.
Wenn net aus der dll.conf auf deinem "Server" nicht drin ist, kannst du weder auf dem "Server" selbst noch auf dem "Client" scannen?
Dazu fällt mir nur was "mieses" ein. Wer keine Ahnung von "Firewall" und Paketfiltern hat ...
Sag' mal, ist Dir eine Laus über die Leber gelaufen oder was? ;-)
Nö. Ist ein _allgemeiner_ Mißmut gegen diesen "Firewall" hier, "Firewall" da Schwachsinn. Dann Erläutere mir bitte was _du_ unter Firewall verstehst. Das ist ein weit auslegbarer und sehr unspezifischer Begriff und Modewort dazu.
Gut, daß ich heute gut aufgelegt bin, sonst müsste ich mich da aufregen ...
Solltest du nicht, bleib locker, unnötig aufregen ist schlecht für's Herz.
Ist doch gut, daß ich EINE AHNUNG von Firewall und Paketfiltern habe und ich mir so entsprechend helfen kann! :^)
Wie du meinst ... EINE AHNUNG ist beliebig stauchbar ;)
...sollte diese nicht benutzen, da sie mehr Schaden als Sicherheit bringen.
Sorry, aber so einen Schwachsinn hab' ich ja seit dem Entfernen von MS-Windows von meiner Festplatte nicht mehr gehört. Ich sehe die Sache so: Wer keinen Peil hat, der kann ruhig ein unsicheres System auf einer unsicheren Plattform betreiben, oder irgendeine "0815"-Standardfirewall laufen lassen, in der Hoffnung "die werden schon wissen, was sie tun".
LoL Komisch wie du jetzt zu diesem Schluß gekommen bist, kann ich nicht nachvollziehen.
Ich für mich habe mir folgenden Grundsatz gemacht:
Erst einmal sperre ich alles im internen und externen Netzverkehr und gebe nur die Protokolle und Ports frei, von denen ich halbwegs weiss, für was diese Sachen gut sind. Natürlich stolpere ich da manchmal über mich selber, da eine "klicki-klacki"-Installation wie bei Win**** nicht auf Anhieb funktioniert. So musste ich z.B. für den cddb-Dialog ert mal die Port freischalten um in den Genuß von Titeln beim CD-Abspielen komme. ABER dennoch kann ich somit relativ sicher sein, daß mein System gut geschützt ist und ich somit die Angriffs- und Schadensfläche sehr gering halte. Deine Aussage "..sollte diese nicht benutzen, da sie mehr Schaden als Sicherheit bringen." kann ich nun schwehrlich und im Prinzip gar nicht verstehen.
Mußt du auch nicht. Wie stark ist denn z.B. eine Maschine die bei einem nmap-Scan nur TCP-Port 22 und 113 offen hat angreifbar? Ganz ohne Paketfilter? Wenn ich die dahinterstehenden Dämonen selbst auswähle und regelmäßig aktualisiere. Durch die Erhöhung der Komplexität und der zusätzlichen Software _muß_ dein System nicht automatisch sicherer werden.
Wirf Ethereal an und untersuche es. Oder schau in den Source von
Danke füpr den Tip mit "ethereal" das Programm ist wirklich sehr hilfreich!
Jupp.
Stoppe dein firewallskript und dann läuft es auch.
Das ist doch nicht Dein Ernst, oder? Das ist ja fast, wie wenn Du Deinem besten Freund sagt: "Geh' in den Puff, aber Gummi brauchst Du keinen. Ansteckungsgefahr ist doch gar keine gegeben!" :-)
Schwachsinn hoch 10. Solche Vergleich hinken, beweist wieder wie groß die "EINE AHNUNG" ist ;)
Nu' denn, Waldemar, irgenwie bekomme ich gerade die Vermutung nicht los, daß Dich entweder Deiner Frau verlassen oder Dein Scheff Dir gekündigt hat.
Nope. Sorry. Warum fühlst du dich gleich persönlich angegriffen und versuchst das jetzt mit sowas zu reflektieren? Ein persönlicher Angriff ist nicht meine Intention, ich wollte dir nur bei deinem Netzwerkscannerproblem helfen. Schade das bei manchen Leuten eine technische Diskussion, nicht technisch bleiben kann.
Hol' Dir also eine Pulle Hopfentee aus'm Kühlschrank, trink auf mich und schon sieht die Welt wieder viel besser aus ... :-)
Naja, die Pulle Hopfentee hole ich mir trotzdem, ist ja auch gesund *g* MfG Waldemar -- Are your questions smart enough? http://www.tuxedo.org/~esr/faqs/smart-questions.html If not: perl -e 'print $i=pack(c5,(41*2),sqrt(7056),(unpack(c,H)-2),oct(115),10);'
Griasde Waldmar! Am Sonntag, 17. Februar 2002 03:35 schrieb Waldemar Brodkorb:
Aber es ist abstrakt gesehen ein Client-Server Modell. Der Server bietet Scandienste, die dein Client nutzt. Egal wie die Rechner da im speziellen Aussehen.
Vollkommen richtig, was Du da sagst! So wird IMHO z.B.: ein Scannvorgang immer wie folgt ablaufen: 1. Suchen des Kommunikationspartners, dies passiert über den /etc/sane.d/net.conf Eintrag am client und der zugehörigen /etc/hosts am client. (Das war übrigends mein erster Fehler, den ich gemacht hatte, in der /etc/hosts hatte ich den Namenseintarg des Servers vergessen.) 2. Aufbau der Verbindung, dies massiert über port 6656 "sane" in Richtung "saned" am Server. 3. Austausch der Daten. Dies passiert über die bereits berichtetetn "zufällig ausgewählten" Ports zwischen server und client via TCP. 4. Verbindungsabbau. Wurden alle Daten ausgetauscht, wird die Verbindung beendet. Man sieht dies z.B. auch sehr schön am saned-Eintrag in der /var/log/syslog/messages. Der Ablauf der Kommunikationsbeziehung kann nun lokal an einem Rechner oder auch zwischen zwei "eigenständigen" Rechnern ablaufen. Ich denke doch mal, daß ich hier nicht allzuviel "schamrrn" erzaählt habe, aber so denke ich mal, wird die Sache doch ablaufen.
Wenn net aus der dll.conf auf deinem "Server" nicht drin ist, kannst du weder auf dem "Server" selbst noch auf dem "Client" scannen?
Entferne ich den "net-Eintrag" in der /etc/sane.d/dll.conf kann ich sehr wohl vom Rechner mit dem Namen "server" den Scanner ansprechen, da ja der zugehörige "epson-Eintrag" in der /etc/sane.d/dll.conf drinnen ist. Versuche ich aber ohne dem "net-Eintrag" in der /etc/sane.d/dll.conf, dann ... Autsch, was ist nun los, dann geht's ja auch auf einmal. Scheibenkleister, ich glaub da war ich doch wohl auf dem Holzweg. So ein Mist aber auch. Ich geb's ja zu, auch wenn's mir schwehr fällt:
Die ist doch lokal auf dem Server. Warum willste auf dem Server den Overhead der Sockets und saned-Dämons mitnehmen? Ist doch unsinnig.
Jawoll! :-) Frag' mich aber bitte nun nicht, warum es das letzte mal nicht ging. Ist ja egal nun hab' ich die Konfiguration entsprechend berichtigt und nun startet xsane am Rechner mit dem Namen "server" auch wieder schön brav. Waldemar, ohne Dein bestäniges Nachbohren wäre mir das gar nicht aufgefallen, also muchos gracias! :-)
Nö. Ist ein _allgemeiner_ Mißmut gegen diesen "Firewall" hier, "Firewall" da Schwachsinn. Dann Erläutere mir bitte was _du_ unter Firewall verstehst. Das ist ein weit auslegbarer und sehr unspezifischer Begriff und Modewort dazu.
Also ein Firewall ist für mich eine grundlegende "Ausrichtung" und auf keinen Fall "nur" ein Programm, irgendein script den mir eine Distribution mitschickt oder sonst was. Laß' mich das Wort Ausrichtung vielleicht besser gegen Regelwerk austauschen. In meinem Regelwerk hab' ich z.B.: folgende Punkte definiert: ° Keine Verwendung von unsicheren Betriessystemen ° Keine Verwendung von unsicherer Software ° Keine Verwendung von "pauschalen und fragwürdigen" Konfigurationseinstellungen, wie z.B. generelle Java oder Java-Script Freischaltung im Browser ° Verbergen des intranets aus Richtung internet ° Nur die Serverdienste werden frei geschaltet, die auch wirklich benötigt werden. ° Grundsätzlich ist alles "verboten", was ich nicht ausdrücklich erlaube. (Ja, ja, im Famielienleben ist dies bei weitem nicht so einfach und restriktiv zu handhaben ... :-) ) ° Auch das interne Netzwerk wird sowei wie möglich gegen Manipulation abgeschottet. ° Software wird nur von vertraulichen Quellen verwendet. ° Das System wird laufend auf etwaige Schwachstellen überprüft und ggf. Sicherheitslücken und/oder Konfigurationsfehler beseitigt. ° Das System wird aus Sicht der Software aktuell gahalten und etwaige security-patches werden umgehend nach der Veröffentlichung eingespielt. ° eMAils mit fragwürdigen Betreffzeilen und/oder Absendern werden ungelesen nach /dev/null "entsorgt" ° Passworte werden in regelmäßigen Abständen gewechselt ° "Verstöße" gegen "meine Politik" werden erfaßt und gemeldet, sowie entsprechende Gegenmaßnahmen "eingeläutet". Ich denke mal, das ist so ziemlich mein "Regelwerk" oder anderst ausgedrückt, das verstehe ich unter (meiner) Firewall. Wir können das Thema gerne noch weiter ausbreiten, aber ggef unter einem neuen "Betreff" oder per privater eMail.
Solltest du nicht, bleib locker, unnötig aufregen ist schlecht für's Herz.
Hatte ich da einen smily vergessen? Wenn ja, dann ist er hier nun :-)))))) Wenn ich ehrlich bin, dann konnte ich Deine Message nicht ganz einordnen, da ich Dich eigentlich als einen derjenigen schätze, der dieses Forum mit _vernünftigen_ Beiträgen füttert. Im ersten Moment wusste ich nicht so recht, was Du eigentlich von mir wolltest. Das mit dem "Aufregen" war auch halb so schlimm, da muß schon ein wenig mehr passieren ...
Wie du meinst ... EINE AHNUNG ist beliebig stauchbar ;)
Richtig! Aber dennoch bleibe ich mei meiner Aussage: "ich habe Ahnung" (kann'S mir ja entsprechend zurechtbiegen, bzw. zu Recht stauchen, wei Du geschreiben hast.)
Komisch wie du jetzt zu diesem Schluß gekommen bist, kann ich nicht nachvollziehen.
Ganz einfach, Du hattest Doch geschrieben: "Wer keine Ahnung von "Firewall" und Paketfiltern hat sollte diese nicht benutzen, da sie mehr Schaden als Sicherheit bringen." daraus schloß ich im Extremfall ich soll meine oben genannten Grundsätze über Bord werfen, da dies "Mehr Schaden als Sicherheit" mit sich brächte.
Mußt du auch nicht. Wie stark ist denn z.B. eine Maschine die bei einem nmap-Scan nur TCP-Port 22 und 113 offen hat angreifbar? Ganz ohne Paketfilter?
Selbst mit, was ist denn mit fragmentierten Paketen? Einen 100%igen Schutz gibt's nun mal nicht.
Durch die Erhöhung der Komplexität und der zusätzlichen Software _muß_ dein System nicht automatisch sicherer werden.
Darum hab ich ja auch mein ganz spezielles Firewall-Regelwerk (siehe oben) welches mit entsprechenden Hilfsmitteln unterstützt wird.
Schwachsinn hoch 10. Solche Vergleich hinken, beweist wieder wie groß die "EINE AHNUNG" ist ;)
Mit Vergleichen kann man aber IMHO sehr leicht und einfach Dinge beschreiben, da wir beide wohl einen unterschiedlichen Standpunkt haben. (was ja auch gar nicht verkehrt ist) Deine Aufforderung "Mein Firewall-Regelwerk" über Bord zu werfen, wäre für mich entsprechend vergleichbar mit meinem Beispiel. Nimm einfach mal gedanklich meine Regeln "dreh' Sie um 180 Grad" und stell Dir einen Rechner vor der im Netz hängt. Wie hoch wäre denn wohl Deiner Meinung nach die "Ansteckungsgefahr"? Für mich nicht "zu verantworten" ... Aber ich denke mal, die unterscheidlichen Standpunkte sind einfach zum Teil sehr unterschiedlich, da ich mir 'was anderes von einer firewall vorstelle und erwarte als z.B. Du. Beispiel, eine kleine Denkaufgabe: Stell Dir mal folgende Situation vor: Zwei Männer stehen an der Isar - beide wollen an das andere Ufer des Flusses, es gibt aber nur ein Boot. Wie stellen das nun beide an, ohne "nasse Füsse" zu bekommen?
Nope. Sorry. Warum fühlst du dich gleich persönlich angegriffen und versuchst das jetzt mit sowas zu reflektieren?
Persönlich angegriffen? :-) Aber was denn, da musst Du schon ein wenig mehr anstellen! :-)
Ein persönlicher Angriff ist nicht meine Intention, ich wollte dir nur bei deinem Netzwerkscannerproblem helfen.
Waldemar, sorry, da hast Du anscheinend "etwas in den falschen Hals" bekommen, angegriffen hattest Duz mich nicht, ich war nur etwas irritiert und Dank Deiner Hilfe hast Du ja auch zur Lösung meines Problemes beigetragen! Nochmals vielen herzlichen Dank!
Schade das bei manchen Leuten eine technische Diskussion, nicht technisch bleiben kann.
Meinst Du da vielleicht mich? ;-) Nicht wirklich, oder? Also nachmals vielen Danke, und mach weiter so mit Deinen bohrenden Antworten! Schönen Sonntag noch ... Pfiade! BC
Naja, die Pulle Hopfentee hole ich mir trotzdem, ist ja auch gesund *g*
D'rum hatte ich es ja gesagt! Prost ... :-) -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-989810 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
Hi Michael,
From the keyboard of Michael,
Griasde Waldmar!
Am Sonntag, 17. Februar 2002 03:35 schrieb Waldemar Brodkorb: Also ein Firewall ist für mich eine grundlegende "Ausrichtung" und auf keinen Fall "nur" ein Programm, irgendein script den mir eine Distribution mitschickt oder sonst was. Laß' mich das Wort Ausrichtung vielleicht besser gegen Regelwerk austauschen.
Na, dann sind wir uns ja einig und es ist wieder FriedeFreudeEierkuchen :))
In meinem Regelwerk hab' ich z.B.: folgende Punkte definiert: Schönen Sonntag noch ...
Und schönen Urlaub *g* Danke. gruß Waldemar -- Are your questions smart enough? http://www.tuxedo.org/~esr/faqs/smart-questions.html If not: perl -e 'print $i=pack(c5,(41*2),sqrt(7056),(unpack(c,H)-2),oct(115),10);'
Griasde Waldemar! Am Dienstag, 26. Februar 2002 01:13 schrieb Waldemar Brodkorb:
Na, dann sind wir uns ja einig und es ist wieder FriedeFreudeEierkuchen :))
Aber logisch ... :-)
Und schönen Urlaub *g*
Hmmm, das stimmt mich aber nun wieder nachdenklich, woher weisst Du denn das ich Urlaub hab'? Pfiade, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-989810 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
Griasde Waldemar, Am Sonntag, 17. Februar 2002 03:35 schrieb Waldemar Brodkorb:
Nö. Ist ein _allgemeiner_ Mißmut gegen diesen "Firewall" hier, "Firewall" da Schwachsinn.
Hat zwar nun nix mehr mit dem Subjet zu tun, aber ich hab' hier ein paar interessante links zum Thema security gefunden: http://www.computec.ch/dokumente/index.html http://www.computec.ch/security-guide/windows-sicherheit/index.html http://www.computec.ch/security-guide/windows-sicherheit/7-firewall-systeme/... http://www.computec.ch/security-guide/windows-sicherheit/7-firewall-systeme/... Pfiade, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-989810 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
participants (6)
-
David Haller -
Michael Nausch -
Michael Ziegler -
Olivier Warin -
Peter Kuechler -
Waldemar Brodkorb