Hallo,
ich möchte in meinem lokalen Netzwerk auf einen zweiten Linux-Rechner per XDMCP zugreifen können, möchte aber die Firewalls nicht abschalten.
Leider reicht es noch nicht, "Fernzugriff auf Displaymanager" und TCP 6000 (bei mir komischerweise 6001) in der Firewall zu öffnen. Der Chooser der "Anmeldung auf Fremdrechner" bleibt leer.
Ein Blick mit Wireshark hat gezeigt, dass der entfernte Rechner auf einem UDP-Port um 1030 auf den XDMCP Broadcast antwortet. Wenn ich diesen Port freischalte, funktioniert alles prima. Leider scheinen es nach jedem Booten andere Ports in diesem Bereich zu sein.
Weiß jemand, welcher Portbereich dafür benutzt werden kann oder ob man den Antwort-Port festlegen kann, damit man nicht so viele Ports öffnen muss?
Gruß
Gerhard
On Sun 02 Mar 2008 11:38:54 NZDT +1300, Gerhard Stengel wrote:
ich möchte in meinem lokalen Netzwerk auf einen zweiten Linux-Rechner per XDMCP zugreifen können, möchte aber die Firewalls nicht abschalten.
Leider reicht es noch nicht, "Fernzugriff auf Displaymanager" und TCP 6000 (bei mir komischerweise 6001) in der Firewall zu öffnen. Der Chooser der "Anmeldung auf Fremdrechner" bleibt leer.
Hier werden Broadcasts vom login server Rechner unterdrückt.
Wenn Du die Rechner, die einloggen dürfen, eingrenzen möchtest: FW_SERVICES_ACCEPT_EXT="1.1.1.1,udp,xdmcp"
Und für die Broadcasts: FW_ALLOW_FW_BROADCAST_EXT="xdmcp"
Beides auf dem Rechner, zu dem Du einloggen möchtest, nicht auf dem X Terminal Rechner.
Volker
Am Sonntag, 2. März 2008 schrieb Volker Kuhlmann:
On Sun 02 Mar 2008 11:38:54 NZDT +1300, Gerhard Stengel wrote:
ich möchte in meinem lokalen Netzwerk auf einen zweiten Linux-Rechner per XDMCP zugreifen können, möchte aber die Firewalls nicht abschalten.
Leider reicht es noch nicht, "Fernzugriff auf Displaymanager" und TCP 6000 (bei mir komischerweise 6001) in der Firewall zu öffnen. Der Chooser der "Anmeldung auf Fremdrechner" bleibt leer.
Hier werden Broadcasts vom login server Rechner unterdrückt.
Wenn Du die Rechner, die einloggen dürfen, eingrenzen möchtest: FW_SERVICES_ACCEPT_EXT="1.1.1.1,udp,xdmcp"
Und für die Broadcasts: FW_ALLOW_FW_BROADCAST_EXT="xdmcp"
Beides auf dem Rechner, zu dem Du einloggen möchtest, nicht auf dem X Terminal Rechner.
Den Eintrag für xdmcp in FW_ALLOW_FW_BROADCAST_EXT sollte die Option "Fernzugriff auf Displaymanager" im Firewallmodul von Yast erledigen.
Ich denke doch, dass das Problem in der Firewall des X-Terminals, d.h. meines lokalen Rechners liegt. Die entfernte Maschine antwortet auf den xdmcp-Broadcast mit einem Xwilling-Paket an einen UDP Port zwischen 1029 bis 1041 (diese Ports habe ich bei ein paar Versuchen gesehen, ist aber wohl kaum der gesamte mögliche Bereich), und das wird normalerweise von der Firewall des X-Terminals geblockt. Dass das Xwilling vom entfernten Rechner kommt zeigt, dass der Broadcast dort angekommen sein muss.
Gruß Gerhard
Volker
-- Volker Kuhlmann is list0570 with the domain in header http://volker.dnsalias.net/ Please do not CC list postings to me.
On Mon 03 Mar 2008 11:07:15 NZDT +1300, Gerhard Stengel wrote:
Ich denke doch, dass das Problem in der Firewall des X-Terminals, d.h. meines lokalen Rechners liegt.
Test ist sehr einfach: als root SuSEfirewall2 stop, nach dem Testen SuSEfirewall2 eingeben.
Die entfernte Maschine antwortet auf den xdmcp-Broadcast mit einem Xwilling-Paket an einen UDP Port zwischen 1029 bis 1041 (diese Ports habe ich bei ein paar Versuchen gesehen, ist aber wohl kaum der gesamte mögliche Bereich), und das wird normalerweise von der Firewall des X-Terminals geblockt.
Versuch mal ein FW_SERVICES_ACCEPT_EXT="1.1.1.1,udp,,xdmcp" auf dem X server (lokalen, Terminal) Rechner.
Volker
Am Montag, 3. März 2008 schrieb Volker Kuhlmann:
On Mon 03 Mar 2008 11:07:15 NZDT +1300, Gerhard Stengel wrote:
Ich denke doch, dass das Problem in der Firewall des X-Terminals, d.h. meines lokalen Rechners liegt.
Test ist sehr einfach: als root SuSEfirewall2 stop, nach dem Testen SuSEfirewall2 eingeben.
Die entfernte Maschine antwortet auf den xdmcp-Broadcast mit einem Xwilling-Paket an einen UDP Port zwischen 1029 bis 1041 (diese Ports habe ich bei ein paar Versuchen gesehen, ist aber wohl kaum der gesamte mögliche Bereich), und das wird normalerweise von der Firewall des X-Terminals geblockt.
Versuch mal ein FW_SERVICES_ACCEPT_EXT="1.1.1.1,udp,,xdmcp" auf dem X server (lokalen, Terminal) Rechner.
Danke, das löst das Problem (ohne hoffentlich ein allzu großes Loch in die Firewall zu reißen).
Ich habe die Zeile noch etwas erweitert, um auch die TCP Ports ab 6000 nicht generell zu öffnen wie unter FW_SERVICES_EXT_TCP
FW_SERVICES_ACCEPT_EXT="1.1.1.1,udp,,xdmcp 1.1.1.1,tcp,6000:6005"
Vielleicht ist es garnicht die FW, sondern IPv6. Schreib mal
LISTEN 0.0.0.0
in /etc/X11/xdm/Xaccess
Doch, war die Firewall auf dem X-Terminal.
Gruß
Gerhard
Volker
-- Volker Kuhlmann is list0570 with the domain in header http://volker.dnsalias.net/ Please do not CC list postings to me.
On Sun 02 Mar 2008, Gerhard Stengel wrote:
Ich denke doch, dass das Problem in der Firewall des X-Terminals, d.h. meines lokalen Rechners liegt. Die entfernte Maschine antwortet auf den xdmcp-Broadcast mit einem Xwilling-Paket an einen UDP Port zwischen 1029 bis 1041 (diese Ports habe ich bei ein paar Versuchen gesehen, ist aber wohl kaum der gesamte mögliche Bereich), und das wird normalerweise von der Firewall des X-Terminals geblockt. Dass das Xwilling vom entfernten Rechner kommt zeigt, dass der Broadcast dort angekommen sein muss.
Vielleicht ist es garnicht die FW, sondern IPv6. Schreib mal
LISTEN 0.0.0.0
in /etc/X11/xdm/Xaccess
Torsten
Gerhard Stengel schrieb:
Hallo,
ich möchte in meinem lokalen Netzwerk auf einen zweiten Linux-Rechner per XDMCP zugreifen können, möchte aber die Firewalls nicht abschalten.
Leider reicht es noch nicht, "Fernzugriff auf Displaymanager" und TCP 6000 (bei mir komischerweise 6001) in der Firewall zu öffnen. Der Chooser der "Anmeldung auf Fremdrechner" bleibt leer.
Ein Blick mit Wireshark hat gezeigt, dass der entfernte Rechner auf einem UDP-Port um 1030 auf den XDMCP Broadcast antwortet. Wenn ich diesen Port freischalte, funktioniert alles prima. Leider scheinen es nach jedem Booten andere Ports in diesem Bereich zu sein.
Weiß jemand, welcher Portbereich dafür benutzt werden kann oder ob man den Antwort-Port festlegen kann, damit man nicht so viele Ports öffnen muss?
Wofür brauchst du XDMCP? Für einen sicheren und enfach zu konfigurierenden grafischen Zugriff per ssh ist nomachine.org eine Option.
Gruß
-
Gerhard Stengel -
ralf.prengel@rprengel.de -
Torsten Foertsch -
Volker Kuhlmann