Firewall und Broadcastpakete (speziell ypbind)
Hallo, ich habe einen Rechner hier als Router konfiguriert um ein Notebook mit dem Internet zu verbinden und auf den Rechner zu greifen zu lassen. Zwei Netzwerkkarten, eth0 für das externe, eth1 für das interne Netz. Soweit klappt auch alles ganz gut. Das Notebook bekommt eine IP-Adresse vom lokalen DHCP-Server und eine Internetverbindung steht. Der Router hängt jedoch hier im Netz und die Benutzer werden über einen NIS- Server zur Verfügung gestellt. Anscheinend blockiert die Firewall jedoch die Broadcastpakete, was zu Folge hat, das die Anmeldung gar nicht bzw. nur mit einer sehr großen Verzögerung geht und das System von Zeit zu Zeit einfach hängen bleibt. Folgende Fehlermeldung taucht immer wieder in /var/log/messages auf ypbind[2535]: broadcast: RPC: Timed out Da der Rechner im Intranet steht soll die Firewall am besten alle Broadcastpakete durchlassen. Im Prinzip brauche ich nur die IP-Weiterleitung und Masquerading. Mit Hilfe von Yast habe ich für die externe (eth0) und interne Zone (eth1) für alle Netzwerke alle Dienste mit UDP oder TCP Paketen als auch SLP-Browsing erlaubt. Das hat mit folgendes in /etc/sysconfig/SuSEfirewall2 produziert: FW_SERVICES_ACCEPT_RELATED_EXT="0/0,udp 0/0, 0/0,udp,427" FW_SERVICES_ACCEPT_RELATED_DMZ="" FW_SERVICES_ACCEPT_RELATED_INT="0/0,udp 0/0,udp 0/0,427" Warum werden die ypbind broadcast Pakete immer noch nach einem Neustart der Firewall blockiert? An welcher Stellschraube muss ich drehen? MfG Marco -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Marco Roeben schrieb:
Hallo,
ich habe einen Rechner hier als Router konfiguriert um ein Notebook mit dem Internet zu verbinden und auf den Rechner zu greifen zu lassen. Zwei Netzwerkkarten, eth0 für das externe, eth1 für das interne Netz.
Soweit klappt auch alles ganz gut. Das Notebook bekommt eine IP-Adresse vom lokalen DHCP-Server und eine Internetverbindung steht.
Der Router hängt jedoch hier im Netz und die Benutzer werden über einen NIS- Server zur Verfügung gestellt. Anscheinend blockiert die Firewall jedoch die Broadcastpakete, was zu Folge hat, das die Anmeldung gar nicht bzw. nur mit einer sehr großen Verzögerung geht und das System von Zeit zu Zeit einfach hängen bleibt.
Folgende Fehlermeldung taucht immer wieder in /var/log/messages auf
ypbind[2535]: broadcast: RPC: Timed out
was hat das mit der Firewall zu tun?
Da der Rechner im Intranet steht soll die Firewall am besten alle Broadcastpakete durchlassen. Im Prinzip brauche ich nur die IP-Weiterleitung und Masquerading.
das ist eher eine Frage der Einstellung IP-Weiterleitung ?
Mit Hilfe von Yast habe ich für die externe (eth0) und interne Zone (eth1) für alle Netzwerke alle Dienste mit UDP oder TCP Paketen als auch SLP-Browsing erlaubt. Das hat mit folgendes in /etc/sysconfig/SuSEfirewall2 produziert:
FW_SERVICES_ACCEPT_RELATED_EXT="0/0,udp 0/0, 0/0,udp,427"
FW_SERVICES_ACCEPT_RELATED_DMZ=""
FW_SERVICES_ACCEPT_RELATED_INT="0/0,udp 0/0,udp 0/0,427"
Warum werden die ypbind broadcast Pakete immer noch nach einem Neustart der Firewall blockiert?
weil das die Firewall nichts angeht! und ein Router routet grundsätzlich keine Broadcasts!
An welcher Stellschraube muss ich drehen?
Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Fred, Fred Ockert Ockert wrote:
Folgende Fehlermeldung taucht immer wieder in /var/log/messages auf
ypbind[2535]: broadcast: RPC: Timed out
was hat das mit der Firewall zu tun?
Keine Ahnung, wenn ich dir Firewall ausschalte ist die Meldung weg. Daher komme ich darauf.
Da der Rechner im Intranet steht soll die Firewall am besten alle Broadcastpakete durchlassen. Im Prinzip brauche ich nur die IP-Weiterleitung und Masquerading.
das ist eher eine Frage der Einstellung IP-Weiterleitung ?
Ok, aber was ich nicht verstehe ist, dass die Broadcastpakete vom ypbind ja gar nicht weitergeleitet werden müssen. Der Router braucht den Zugriff auf den NIS-Server die Clients dahinter nicht. Wieso gibt es einen time-out? Müssen dafür nicht Pakete verworfen werden?
Warum werden die ypbind broadcast Pakete immer noch nach einem Neustart der Firewall blockiert?
weil das die Firewall nichts angeht! und ein Router routet grundsätzlich keine Broadcasts!
Da fehlt mir wohl etwas an Grundwissen zu Netzwerken. Bleibt meine ürsprüngliche Frage:
An welcher Stellschraube muss ich drehen?
Magst Du etwas mehr ins Detail gehen? Soweit ich das verstanden habe regelt die Susefirewall ja auch das Masquerading, also brauche ich die damit alle Clients im Netz hinter der Firewall in Netz kommen, oder nicht? Die Cleints haben im übergeordneten Netz natürlich keine IP-Adresse zugewiesen. Nur die IP-Weiterleitung zu aktivieren wird deshalb nicht ausreichen, oder? MfG Marco -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Marco Roeben schrieb:
Hallo Fred,
Fred Ockert Ockert wrote:
Folgende Fehlermeldung taucht immer wieder in /var/log/messages auf
ypbind[2535]: broadcast: RPC: Timed out
was hat das mit der Firewall zu tun?
Keine Ahnung, wenn ich dir Firewall ausschalte ist die Meldung weg. Daher komme ich darauf.
Ich meinte: broadcast + Firewall ... andere Ports schon sehr wohl
Da der Rechner im Intranet steht soll die Firewall am besten alle Broadcastpakete durchlassen. Im Prinzip brauche ich nur die IP-Weiterleitung und Masquerading.
das ist eher eine Frage der Einstellung IP-Weiterleitung ?
Ok, aber was ich nicht verstehe ist, dass die Broadcastpakete vom ypbind ja gar nicht weitergeleitet werden müssen. Der Router braucht den Zugriff auf den NIS-Server die Clients dahinter nicht. Wieso gibt es einen time-out? Müssen dafür nicht Pakete verworfen werden?
das sollte dann im Firewall Log stehen...andererseits: du musst nicht immer zwingend alle Meldungen wortwörtlich nehmen. (soll heissen: es gibt nicht unbedingt für jeden besonderen Fall extra messages..)
Warum werden die ypbind broadcast Pakete immer noch nach einem Neustart der Firewall blockiert?
weil das die Firewall nichts angeht! und ein Router routet grundsätzlich keine Broadcasts!
Da fehlt mir wohl etwas an Grundwissen zu Netzwerken. Bleibt meine ürsprüngliche Frage:
wikipedia hilft zum Beispiel -> Netzwerke , Routing, usw.
An welcher Stellschraube muss ich drehen?
Magst Du etwas mehr ins Detail gehen? Soweit ich das verstanden habe regelt die Susefirewall ja auch das Masquerading, also brauche ich die damit alle Clients im Netz hinter der Firewall in Netz kommen, oder nicht? Die Cleints haben im übergeordneten Netz natürlich keine IP-Adresse zugewiesen. Nur die IP-Weiterleitung zu aktivieren wird deshalb nicht ausreichen, oder?
he he ... nicht wirklich, nicht zwingend.. typisch macht ein Router NAT (also alle (250 IPs) auf eine (IP) abbilden. Muss er aber nicht ! er kann auch z.B. alles aus 192.168.99. nach 172.16.16. routen ...dann kommen die da eben mit ihren Quelladdressen an . Geht ..ist gut, aber...... private Netze(NetzIPs) werden im Internet nicht gerouted..also musst du private Netze zwingend NATten... hast du öffentliche IPs , musst du nicht ( bist du grosse Firma/Behörde vielleicht, bist du Uni vielleicht ?). Unsere Internetprovider haben für gewöhnlich "eine Kiste voller IPs"... bei Vodafone kriegst du im UMTS-Netz eine public IP (ohne NAT)..bei Rosa-T kriegst du einen private IP (10.irgendwas) und wirst geNATted . ES wird nur wichtig, wenn andere dich aus dem Internet connecten wollen (sollen, müssen...). Masquerading ..die werden hinter der (öffentlichen) IP versteckt. Das hat nix mit NIS zu tun...dazu brauchts keine IP-Weiterleitung...die brauchts erst für Portforward usw. Solange du nur NAT machst, ist es stinknormales Routing...und NAT übersetzt nur deine lokale IP in die "öffentliche" IP (ein Netz x.x.x.x/y hinter einer einzelnen IP "verstecken") ... dann kommst du von draussen nicht rein -> dafür gibts Portforwarding (portweiterleitung) (blödes) Beispiel aus 1.2.3.4:9432 wird 192.168.1.69.170:80 ... mit NIS "sprichst" du über die notwendigen Ports (nachlesen - welche das sind). Natürlich sind diese Ports auch auf einmal erreichbar, wenn die Firewall nix mehr blockt :) Dann wirds aber wieder wichtig, auf welches Device die Firewall wirkt...eigentlich nur auf das Device "nach aussen" - normalerweise.
MfG Marco
Fred ps: ich bin nicht der wirklich gute "ErklärBär" :( -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Fred, erstmal danke für die Erklärungen! Hat schonmal etwas Licht in den Netzwerkdjungel gebracht. Es ist so, dass die Firewall die entsprechenden Ports dei nötig sind blockiert. Da NIS, soweit ich das jetzt alles verstanden habe, mit Hilfe des Portmappers dynamisch Ports zugewiesen bekommt wird die Sache nicht einfacher. Eigentlich sollte das Szenario eines NIS-Clients hinter der Firewall schon abgedeckt sein, denn Yast berücksichtigt bei der Konfiguration des NIS-Clients die Firewall sofern diese aktiviert ist. Warum das nicht passiert weiss ich nicht. Ich mache mal einen neuen Thread auf. MfG Marco -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (2)
-
Fred Ockert
-
Marco Roeben