SuseFirewall2 und DynDNS: Kein Zugriff über internes Netz
Auch auf die Gefahr hin, dass ich mich mit meinen Anfängerfragen unbelibt mache, hier trotzdem: Hallo! Hab ein Problem mit der SuSEFirewall2 und DynDNS. Ich gehe von verschiedenen Clientrechnern über den Linuxrechner ins Internet. Dazu hab ich in der SuseFirewall entsprechende Dienste aktiviert. Soweit super. Jetzt habe ich aber auchnoch eine Domain bei dyndns.org. Wenn ich vom Server oder vom externen Internet aus (Port 80 wird in der Firewall freigegeben) aus auf http://hreic.dyndns.org zugreife funzt das ohne Probleme. Wenn ich allerdings vom internenen Netz zugreife, geht garnix. Kein Ping, kein http. Timeout. Woran könnte das liegen? Schöne Grüße Marco Sievert
Wenn Du innerhalb des eigenen Netzes auf den Webserver zugreifen möchtest, musst Du dem zugreifenden Rechner erst den Rechner, auf dem der Webserver läuft, bekannt machen (hier greift der DNS nicht): 1. Datei hosts suchen (bei SUSE 9.0 im Verzeichnis /etc) 2. in hosts eintragen: IP-Adresse des Webservers (TAB oder Leerzeichen) Domainname, z.B. 192.168.1.110 hreic.dyndns.org 3. speichern und Neustart Viel Erfolg! Stefan Ukat Am Di, 2003-12-30 um 02.26 schrieb Marco Sievert:
Dr. Stefan Ukat wrote:
Neustart ist doch ein Reflex aus der Windows-Zeit, den wir ablegen sollten. Unter Unix/Linux ist der Neustart (des Computers) kein Heilmittel. Was vorher nicht funktionierte, wird hinterher i.d.R. auch nicht funktionieren. Statt eines Reboots sollten die einzelnen Dienste neu gestartet werden. Nun die Frage: Wie bekommt man Zugriff auf eine geänderte /etc/hosts _ohne_ den ganzen PC neu zu starten? (Und idealerweise auch ohne 'rcnetwork restart') Stefan
Da aus Marco Sieverts Mail nicht hervorging, mit welchen Clients er auf den Webserver zugreifen möchte, habe ich Windows-Clients nicht ausgeschlossen. Insofern ist der Neustart des Clients zwar nicht elgant und modern aber doch ziemlich hilfreich. MfG Stefan Ukat Am Di, 2003-12-30 um 10.19 schrieb Stefan Waidele jun.:
Dr. Stefan Ukat wrote:
War keine Kritik an Deiner Antwort. Ich habe folgendes versucht: laptop:/home/stw # echo >>/etc/hosts "192.168.0.23 meinedyndnskiste" laptop:/home/stw # host meinedyndnskiste Host meinedyndnskiste not found: 3(NXDOMAIN) Also klappt es wirklich nicht ganz so auf anhieb, wie ich mir das eigentlich gedacht habe. Auch in 'man host' und 'man resolv.conf' war nichts entsprechendes zu lesen. Oder liegt es daran, dass ich einen DNS im lokalen Netz laufen habe? Eigentlich doch nicht, da: laptop:/home/stw # grep hosts /etc/nsswitch.conf hosts: files dns Also, meine Frage war ernst gemeint, auch wenn die Einleitung zu lange war:
Nochmals MfG, Stefan
Guten Tag!
Hmm, das würde zwar klappen, aber ich bräuchte die Möglichkeit des Direktzugridds eben, um zu kontrollieren ob die IP beim DynDNS-Service richtig eingetragen ist usw. Wenn ich unter Windows (die Clients sind Windoof) "ping hreic.dyndns.org" eingebe, wird die URL auch zur richtigen (externen!) IP aufgelöst, nur ein Zugriff ist nicht möglich. Die Lösung über die hosts ist eine gute Möglichkeit, das werde ich so machen. Und für richtige Tests kann ich über SSH per lynx auch noch draufgehen. Vielen Dank Marco
Moin, Am Di, den 30.12.2003 schrieb Marco Sievert um 02:26:
Auch auf die Gefahr hin, dass ich mich mit meinen Anfängerfragen unbelibt mache, hier trotzdem:
Nein.
Das liegt daran, daß die Suse-Firewall, ebenso wie die meisten anderen Firewalls, sowas defaultmässig nicht erlaubt. /Warum/ man das so handhabt, kann ich dir nicht sagen. Ich benutze die SuseFW nicht. Ich habe aber gehört, daß das Problem in "SuSEfirewall2" auf der inofficial-FAQ-Site erklärt und gelöst wird: http://sourceforge.net/projects/susefaq/ http://sourceforge.net/project/showfiles.php?group_id=42064&package_id=60847 Gruß, Ratti -- -o) fontlinge | Font management for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/
Hallöle!
Ich benutze die SuseFW nicht. Ich habe aber gehört, daß das Problem in "SuSEfirewall2" auf der inofficial-FAQ-Site erklärt und gelöst wird:
Ich hab mir die FAQ jetzt mal runtergeladen und bin über 113 Seiten erstaunt... Jetzt weiss ich natürlich überhaupt nicht, wo ich da suchen soll. Haste da nen Tipp? Ich dachte, dass es evtl. "8.1.6. Configuring SuSEfirewall2 for Internal Access to External IP" sein könnte, bin mir aber nicht sicher, wass ich da als externe IP eintragen muss. Ist es überhaupt dieser Punkt? Vielen Dank Marco Sievert
Moin, Am Di, den 30.12.2003 schrieb Marco Sievert um 14:53: Hier fehlt, daß ich das da geschrieben habe:
Ich benutze die SuseFW nicht. Ich habe aber gehört, daß das Problem in "SuSEfirewall2" auf der inofficial-FAQ-Site erklärt und gelöst wird:
...und sei bitte so gut, Antworten nur an die Liste zu schreiben, oder, wenn es persönlich wird, nur an den Absender - aber bitte nicht beides. Du ahnst nicht, wieviel sonst bei eifrigen Listenteilnehmern im Posteingang aufläuft... :-)
Wie gesagt, ich verwende die SuseFW nicht, aber das dürfte wohl die Stelle sein... nachguck... ja, das ist sie. Die Regel musst du natürlich auf deine Gegebenheiten anpassen (eth0? ppp0? ippp0?). Die IP ist die (vermutlich dynamische?) auf deinem internetseitigen Interface. Deine dynamische ip erfährst du unter "ifconfig" (Entweder als root, oder vollen Pfad angeben, vermutlich /sbin/ifconfig bei suse? Weiss nicht... ) Teste das mit der IP erstmal händisch aus - und wenn das dann geht, dann musst du ein wenig rummurkeln, um das bei jeder Einwahl neu zu setzen. Methoden zur Ermittlung der IP mit awk oder in der ip-up.local werden hier regelmässig durchdiskutiert. Wahrscheinlich muß du an dieser Stelle ein bisschen Code über Backticks (`) einfügen. Gruß, Ratti -- -o) fontlinge | Font management for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/
Hallo!
Ich habe folgendes eingetragen: iptables -A INPUT -i dsl0 -s 192.168.2.0/24 -d 80.136.80.78 -j ACCEPT und hab es auch mit -i ppp0 probiert. Beides bringt nicht den Erfolg, ein Ping und sonstige Zugriffe funktionieren weiterhin nur bei ausgeschaltetet Firewall. Noch jemand Ideen? Marco Sievert
Marco Sievert schrieb:
Das liegt daran das die Firewall alle Pakete aus dem internen Nwetzwerk verwirft ("DROP") Hallo Marco Ändere mal deine Datei /sbin/SuSEfirewall2 Suche nach den Einträgen ############################################################### # Anti Spoofing/Cirumvention protection - interface dependent # ############################################################### for DEV in $FW_DEV_INT; do for IP in $DEV_EXT; do $IPTABLES -A INPUT -j LOG ${LOG}"-ACCESS_DENIED_INT " -i $DEV -d $IP $IPTABLES -A INPUT -i $DEV -d $IP -j "$DROP" <-- hier ändern done done und ersetzen durch folgende Zeile $IPTABLES -A INPUT -i $DEV -d $IP -j "$ACCEPT" fertig. Evtl. hast du noch eine Regel in der Firewall definiert die auf PING nicht antwort, ggf. dieses ändern. Gruss Andy
Wenn Du innerhalb des eigenen Netzes auf den Webserver zugreifen möchtest, musst Du dem zugreifenden Rechner erst den Rechner, auf dem der Webserver läuft, bekannt machen (hier greift der DNS nicht): 1. Datei hosts suchen (bei SUSE 9.0 im Verzeichnis /etc) 2. in hosts eintragen: IP-Adresse des Webservers (TAB oder Leerzeichen) Domainname, z.B. 192.168.1.110 hreic.dyndns.org 3. speichern und Neustart Viel Erfolg! Stefan Ukat Am Di, 2003-12-30 um 02.26 schrieb Marco Sievert:
Dr. Stefan Ukat wrote:
Neustart ist doch ein Reflex aus der Windows-Zeit, den wir ablegen sollten. Unter Unix/Linux ist der Neustart (des Computers) kein Heilmittel. Was vorher nicht funktionierte, wird hinterher i.d.R. auch nicht funktionieren. Statt eines Reboots sollten die einzelnen Dienste neu gestartet werden. Nun die Frage: Wie bekommt man Zugriff auf eine geänderte /etc/hosts _ohne_ den ganzen PC neu zu starten? (Und idealerweise auch ohne 'rcnetwork restart') Stefan
Da aus Marco Sieverts Mail nicht hervorging, mit welchen Clients er auf den Webserver zugreifen möchte, habe ich Windows-Clients nicht ausgeschlossen. Insofern ist der Neustart des Clients zwar nicht elgant und modern aber doch ziemlich hilfreich. MfG Stefan Ukat Am Di, 2003-12-30 um 10.19 schrieb Stefan Waidele jun.:
Dr. Stefan Ukat wrote:
War keine Kritik an Deiner Antwort. Ich habe folgendes versucht: laptop:/home/stw # echo >>/etc/hosts "192.168.0.23 meinedyndnskiste" laptop:/home/stw # host meinedyndnskiste Host meinedyndnskiste not found: 3(NXDOMAIN) Also klappt es wirklich nicht ganz so auf anhieb, wie ich mir das eigentlich gedacht habe. Auch in 'man host' und 'man resolv.conf' war nichts entsprechendes zu lesen. Oder liegt es daran, dass ich einen DNS im lokalen Netz laufen habe? Eigentlich doch nicht, da: laptop:/home/stw # grep hosts /etc/nsswitch.conf hosts: files dns Also, meine Frage war ernst gemeint, auch wenn die Einleitung zu lange war:
Nochmals MfG, Stefan
participants (6)
-
Andreas Bogan -
Dr. Stefan Ukat -
Joerg Rossdeutscher -
Kristian Köhntopp -
Marco Sievert -
Stefan Waidele jun.