Hallo Liste! Ich habe immernoch das gleiche Problem wie vor einigen Tagen, auch nach Update auf das neueste Firewallscript. Meine Firewall hostet zugleich auf virtuellen Apachen mehrere Domains über dyndns.org-Accounts. Leute von außen können auf die Domains auf meiner Firewall zugreifen, nur ich selbst nicht. Ich kann aber auf alle anderen Seiten im Internet zugreifen, Email, etc. funtzt auch alles. Hier der entsprechende Auszug aus den messages:
> [...] Feb 18 23:02:39 comserver kernel: SuSE-FW-NO_ACCESS_INT->FWEXT IN=eth0 OUT= MAC=00:30:84:3d:05:bb:00:60:97:9b:5c:aa:08:00 SRC=192.168.0.100 DST=217.80.182.223 LEN=48 TOS=0x08 PREC=0x00 TTL=128 ID=11224 DF PROTO=TCP SPT=1651 DPT=80 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402) [...] <<<<
Hat jemand eine Idee? Matthias
Hallo, ist doch klar, Port 80 ist von Intern halt nicht offen :-) Gruß Sebastian
Ola! Hab mal noch FW_PROTECT_FROM_INTERNAL="no" gesetzt, hat aber auch nix gebracht. log-snipped: Feb 18 23:14:53 comserver kernel: SuSE-FW-NO_ACCESS_INT->FWEXT IN=eth0 OUT= MAC=00:30:84:3d:05:bb:00:60:97:9b:5c:aa:08:00 SRC=192.168.0.100 DST=217.80.182.223 LEN=48 TOS=0x08 PREC=0x00 TTL=128 ID=14110 DF PROTO=TCP SPT=1819 DPT=80 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402) Matthias
Hallo, Matthias Tinnemeier:
Feb 18 23:14:53 comserver kernel: SuSE-FW-NO_ACCESS_INT->FWEXT IN=eth0 OUT= MAC=00:30:84:3d:05:bb:00:60:97:9b:5c:aa:08:00 SRC=192.168.0.100 DST=217.80.182.223 LEN=48 TOS=0x08 PREC=0x00 TTL=128 ID=14110 DF PROTO=TCP SPT=1819 DPT=80 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Nur mal eine Frage, weil ich mir daran die letzten Tage die Zähne ausgebissen hatte: Ist eth0 auch die Karte, auf der dein internes Netz reinkommt? Ich hab die letzten Tage an einer Kiste gearbeitet, die hatte eth0 für "extern" und eth1 für "intern". Trotzdem kamen ständig auf eth0 Pakete mit 192.168.x.x rein, mit genau dem Effekt, den du beschreibst. Vielleicht hast du ja das selbe Problem - die Pakete werden dann nicht gefiltert, weil sie irgendwelchen Port-Regeln widersprechen, sondern weil sie als gespoofed identifiziert werden (Was sie in meinem Fall nicht waren). Ich habe inzwischen in einer bezahlten Kurzschlußhandlung mit vertauschter Karten-Konfig neu installiert, und jetzt gehts. Gelegentlich hege ich die Vermutung, yast enthält ein paar Zufallsfunktionen. ;-) Mach doch mal folgendes: Ich habe jetzt gerade keinen Zugriff auf den Rechner, aber es gibt da in der Firewall-Config-Datei einen Parameter, den man setzen kann, wenn man, Zitat aus dem Kopf, "irgendwelche obskuren Kernel-Aktionen" aktivieren wolle. Setz den mal aktiv und starte den Kram neu. Tauchen jetzt in deinem syslog Meldungen über "martian" Pakete auf? Wenn ja, dann kann ich dir zwar immer noch nicht weiterhelfen, aber zumindest hättest du dann die Richtung. Ich habe das Problem mit fdisk gelöst. Gruß, Ratti
From: "Ratti"
To: Sent: Tuesday, February 19, 2002 12:23 AM Subject: Re: SuSEFirewall 2.1
Hallo, Ist eth0 auch die Karte, auf der dein internes Netz >reinkommt?
Ist alles korrekt so.
Mach doch mal folgendes: [...] in der Firewall-Config-Datei einen Parameter,[...] "irgendwelche obskuren Kernel-Aktionen" aktivieren wolle.
meinst du etwa FW_KERNEL_SECURITY="yes"? Das wäre das einzige, das bei mir irgendwas mit "Kernel" zu tun hat und das ist bereits aktiviert. Grüße, tinne
Hallo, Matthias Tinnemeier:
Ist eth0 auch die Karte, auf der dein internes Netz >reinkommt?
Ist alles korrekt so.
Schade. War ein Versuch.
Mach doch mal folgendes: [...] in der Firewall-Config-Datei einen Parameter,[...] "irgendwelche obskuren Kernel-Aktionen" aktivieren wolle.
meinst du etwa FW_KERNEL_SECURITY="yes"? Das wäre das einzige, das bei mir irgendwas mit "Kernel" zu tun hat und das ist bereits aktiviert.
Jepp, den meinte ich. Da war das nix. Gruß, Ratti P.S.: Bitte die Antworten nicht zusätzlich an mich, das verwirrt mich. Danke. ;-)
Matthias Tinnemeier schrieb am Mon, Feb 18, 2002 at 11:02:47PM +0100:
Hab mal noch FW_PROTECT_FROM_INTERNAL="no" gesetzt, hat aber auch nix gebracht.
Mich wundern die dort angegebenen IP-Adressen.
Feb 18 23:14:53 comserver kernel: SuSE-FW-NO_ACCESS_INT->FWEXT IN=eth0 OUT= MAC=00:30:84:3d:05:bb:00:60:97:9b:5c:aa:08:00 SRC=192.168.0.100
^^Das it doch die "Quelle" der Anfrage, also die IP des Rechners, mit dem Du die Website aufrufst - eine "interne" Adresse.
DST=217.80.182.223 LEN=48 TOS=0x08 PREC=0x00 TTL=128 ID=14110 DF PROTO=TCP
^^Dies ist das Ziel der Anfrage. AFAIK ist das aber eine "offizielle" IP-Adresse, IMHO von t-online (bin gerade zu faul zum Nachsehen...;-).
SPT=1819 DPT=80 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Kann es sein, daß die Anfrage zunächst "nach draußen" geht? Wie sieht es mit der Namensauflösung aus? Wenn Du den Rechnernamen auzulösen versuchst, wird Dir welche IP-Adresse geliefert? Keine konkrete Lösung, aber vielleicht ein paar Denkanstöße... Gruß, Christian -- Christian Schmidt | Germany | christian@siebenbergen.de No HTML Mails, please!!
Hallo Matthias <Zitiere wer="Matthias Tinnemeier">
Meine Firewall hostet zugleich auf virtuellen Apachen mehrere Domains über dyndns.org-Accounts. Leute von außen können auf die Domains auf meiner Firewall zugreifen, nur ich selbst nicht. Ich kann aber auf alle anderen Seiten im Internet zugreifen, Email, etc. funtzt auch alles. ^^^^^^ ???
Ich habe ein Firewallscript out of the box installiert und fühle mich nun sicher. Ich habe aber keine Ahnung, was das Script macht.
Hier der entsprechende Auszug aus den messages: Feb 18 23:02:39 comserver kernel: SuSE-FW-NO_ACCESS_INT->FWEXT IN=eth0 OUT= MAC=00:30:84:3d:05:bb:00:60:97:9b:5c:aa:08:00 SRC=192.168.0.100 DST=217.80.182.223 LEN=48 TOS=0x08 PREC=0x00 TTL=128 ID=11224 DF PROTO=TCP SPT=1651 DPT=80 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402) [...] Hat jemand eine Idee?
Ja, offensichtlich blockiert Deine Firewall den Zugriff aus Deinem internen Netz auf die Firewall (SuSE-FW-NO_ACCESS_INT->FWEXT), welche ev auch Dein Webserver ist? Mein Tipp... In iptables einlesen, script studieren, dann fort- werfen und ein eigenes basteln. -- Urs Müller CH-Bern http://www.urs-mueller.ch
Ich habe ein Firewallscript out of the box installiert und fühle mich nun sicher. Ich habe aber keine Ahnung, was das Script macht.
Danke, aber (falls das überhaupt so gemeint war...) deine Ironie kannst du dir sparen. Ich weiß recht gut, was die FW macht. Allerdings scheint da immernoch was schief zu laufen, immerhin sind die Ports freigeschaltet und interner Zugriff erlaubt.
Ja, offensichtlich blockiert Deine Firewall den Zugriff aus Deinem internen Netz auf die Firewall (SuSE-FW-NO_ACCESS_INT->FWEXT), welche ev auch Dein Webserver ist?
Ja, ist auch der Webserver. Aber diese Blockade gibt keinen Sinn!!! Alle configs sagen das Gegenteil.
Mein Tipp... In iptables einlesen, script studieren, dann fort- werfen und ein eigenes basteln.
Jo, nur dass ich dafür keine Zeit habe. Ich habe eigentlich damit gerechnet, dass die SuSE FW2 gut funktionieren würde (ok... über den Schutz kann man sich wirklich nicht beklagen, wenn ich sogar selbst nicht mehr rein darf *g*). Nein, im Ernst. Es muss doch eine Lösung hierfür geben...ich hab echt nicht die Zeit mich in die komplette Materie einzuarbeiten. Grüße, tinne
On Monday, 18. February 2002 23:51, Matthias Tinnemeier wrote:
Ich habe ein Firewallscript out of the box installiert und fühle mich nun sicher. Ich habe aber keine Ahnung, was das Script macht.
Danke, aber (falls das überhaupt so gemeint war...) deine Ironie kannst du dir sparen. Ich weiß recht gut, was die FW macht. Allerdings scheint da immernoch was schief zu laufen, immerhin sind die Ports freigeschaltet und interner Zugriff erlaubt.
Ja, offensichtlich blockiert Deine Firewall den Zugriff aus Deinem internen Netz auf die Firewall (SuSE-FW-NO_ACCESS_INT->FWEXT), welche ev auch Dein Webserver ist?
Ja, ist auch der Webserver. Aber diese Blockade gibt keinen Sinn!!! Alle configs sagen das Gegenteil.
Mein Tipp... In iptables einlesen, script studieren, dann fort- werfen und ein eigenes basteln.
Jo, nur dass ich dafür keine Zeit habe. Ich habe eigentlich damit gerechnet, dass die SuSE FW2 gut funktionieren würde (ok... über den Schutz kann man sich wirklich nicht beklagen, wenn ich sogar selbst nicht mehr rein darf *g*). Nein, im Ernst. Es muss doch eine Lösung hierfür geben...ich hab echt nicht die Zeit mich in die komplette Materie einzuarbeiten. [...] Versuch mal mit fwbuilder ein Ruleset zu erstellen: Mit fwbuilder (X-Applikation) kann man für IPTables, IPChains und BSD-Netfilter rulesets erstellen. Ich hab in den letzten Tagen ein wenig damit herumexperimentiert und ich finde das lässt sich schon sehen. Für Rotmützen [1] genau das richtige. Tschüss, Thomas
[1] Vertreter einer obskuren Sekte aus Orem Utah, auch als Novellianer bekannt. :-)) -- Fatal Error: Found [MS-Windows] System -> Repartitioning Disk for Linux... (By cbbrown@io.org, Christopher Browne)
participants (6)
-
Christian Schmidt
-
Matthias Tinnemeier
-
Ratti
-
Sebastian Wolfgarten
-
Thomas Templin
-
Urs Müller