Hi, Umgebung: - Kiste mit SuSE 9.1 prof, (192.168.5.2) nur ein eth-Interface: eth0 - Kiste mit Win98SE, (192.168.5.21) verbunden über einen Switch. smbd, nmbs läuft SuSEfirewall2 läuft Problem: Wenn SuSEfirewall2 läuft kein Zugriff von der Win-Kiste auf den Sambaservice. Stoppe ich den Paketfilter findet sofort eine Election statt und ich kann auf die Shares zugreifen. Die Logdatei zeigt schön wie alle broadcasts von der Win-Kiste gefiltert (dropped) werden... Klingt einfach - ganz offensichtlich ist das Paketfilter das Problem. Frage: Wo ist der Fehler in der Konfiguration der SuSEfirewall2? Ich kenne mich mit iptables zu wenig aus um das direkt zu machen und nutze daher die /etc/sysconfig/SuSEfirewall2 Konfiguration. Nach jeder Änderung dort einmal SuSEfirewall stop / start habe ich auch gemacht. Ich gehe mal davon aus das es nicht an der Samba-conf liegt, denn sobald der Paketfilter weg ist, gehts ja einwandfrei, deswegen poste ich die nicht. Hier die SuSEfirewall2 conf (ohne die Kommentare, nur erster Teil). Danke für alle Tips. Ekki P.S.: Oder Faslcher Reflektor? # 1.) FW_QUICKMODE="no" # 2.) #FW_DEV_EXT="eth-id-00:04:61:48:30:37" FW_DEV_EXT="eth0" # beides probiert, ohne Unterschied. # 3.) FW_DEV_INT="" # gibts nicht, nur ext. if # 4.) FW_DEV_DMZ="" # dito, gibt's nich # 5.) FW_ROUTE="no" # nix zu routen # 6.) FW_MASQUERADE="no" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="" # nix zu masquerade # 7.) FW_PROTECT_FROM_INTERNAL="no" # 8.) FW_AUTOPROTECT_SERVICES="yes" # 9.) FW_SERVICES_EXT_TCP="137 138 139 445 http ssh" FW_SERVICES_EXT_UDP="137 138 139 445 syslog" # Das sollte reichen, denke ich. Auf dem ext. # Interface alle für Samba relevanten Ports # freigeschaltet. # http, ssh geht übrigens von ausserhalb... FW_SERVICES_EXT_IP="" FW_SERVICES_EXT_RPC="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_DMZ_IP="" FW_SERVICES_DMZ_RPC="" FW_SERVICES_INT_TCP="" FW_SERVICES_INT_UDP="" FW_SERVICES_INT_IP="" FW_SERVICES_INT_RPC="" # 9a.) FW_SERVICES_QUICK_TCP="" FW_SERVICES_QUICK_UDP="" FW_SERVICES_QUICK_IP="" # 10.) FW_TRUSTED_NETS="192.168.5.21 192.168.5.22" # 192.168.5.0/24 bringt ebenfalls nichts # 11.) FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS" # 12.) FW_SERVICE_AUTODETECT="no" FW_SERVICE_DNS="no" FW_SERVICE_DHCLIENT="no" FW_SERVICE_DHCPD="no" FW_SERVICE_SQUID="no" FW_SERVICE_SAMBA="yes" # 13.) FW_FORWARD="" # 14.) FW_FORWARD_MASQ="" # 15.) FW_REDIRECT="" # 16.) FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="yes" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="yes" # nur zum gucken, was abgeht... # 17.) FW_KERNEL_SECURITY="yes" # 17a.) FW_ANTISPOOF="no" # 18.) FW_STOP_KEEP_ROUTING_STATE="no" # 19.) FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_PING_EXT="no"
Guten Tag Ekki, Am Donnerstag, 3. Juni 2004 um 16:43 schrieb Ekki:
Hi, Umgebung: - Kiste mit SuSE 9.1 prof, (192.168.5.2) nur ein eth-Interface: eth0 - Kiste mit Win98SE, (192.168.5.21) verbunden über einen Switch.
was ist denn dann dein externes Device (also das, das den Internetzugang bereitstellt (wenn nicht DSL, dann ISDN oder Modem?) kurze Frage: Wie sieht deine Netztopographie aus? a) Win98 --- Internet --- Router --- Samba-Kiste oder b) Samba Kiste / / Internet --- Router --- Win98 falls b), trag doch mal dein eth0 als internes Device ein und aktualisier die Einträge, falls a) nimm putty und erstelle eine Portumleitung auf den Rechner.
# 7.) FW_PROTECT_FROM_INTERNAL="no" unwichtig, da die Firewall dein eigentlich internes Device als externes ansieht.
# 8.) FW_AUTOPROTECT_SERVICES="yes"
# 9.) FW_SERVICES_EXT_TCP="137 138 139 445 http ssh" FW_SERVICES_EXT_UDP="137 138 139 445 syslog" # Das sollte reichen, denke ich. Auf dem ext. # Interface alle für Samba relevanten Ports # freigeschaltet. probier mal FW_SERVICES_EXT_TCP="http ssh 137:139 445"
# 10.) FW_TRUSTED_NETS="192.168.5.21 192.168.5.22" # 192.168.5.0/24 bringt ebenfalls nichts
Warum hast du eigentlich eine Firewall installiert? Stefan -- Mit freundlichen Grüssen Stefan Schilling mailto:mail.suse@gmx.de
On Thursday 03 June 2004 17:04, Stefan Schilling wrote:
was ist denn dann dein externes Device (also das, das den Internetzugang bereitstellt (wenn nicht DSL, dann ISDN oder Modem?)
Der "Switch" ist natürlich Teil eines DSL_Routers, sorry.
kurze Frage: Wie sieht deine Netztopographie aus? a) [...] b)
b)
Samba Kiste / / Internet --- Router --- Win98
falls b), trag doch mal dein eth0 als internes Device ein und aktualisier die Einträge,
[...] Das und [...]
probier mal FW_SERVICES_EXT_TCP="http ssh 137:139 445"
hat's gebracht, danke. Jetzt funktioniert es. [...]
Warum hast du eigentlich eine Firewall installiert?
Öhm, ja, die Frage habe ich befürchtet. Einen echten Grund dafür gibt es nicht. Der Router macht zwar nur NAT (hat kein Paketfilter), das sollte aber wohl reichen. Nun, die SuSEfw2 läuft weil sie da ist (default=an) und weil ich noch relativer Linux-Neuling bin, ich will sowas auch mal in Aktion sehen und mit rumspielen. Also nur als Lerngründen. Wirklich nötig ist das Teil wohl nicht, da hast du recht. Danke! Ekki
hallo ihr zwei,
-----Ursprüngliche Nachricht----- Von: Ekki [mailto:ep@plicht.de] Gesendet: Donnerstag, 3. Juni 2004 17:20 An: suse-linux@suse.com Betreff: Re: SuSEfirewall2, Filterproblem
[...]
Das und
[...]
probier mal FW_SERVICES_EXT_TCP="http ssh 137:139 445"
hat's gebracht, danke. Jetzt funktioniert es. [...]
supi, und so ist dem sasser tür und tor geöffnet (445); nur gut, daß dort nur win98 werkelt....
Warum hast du eigentlich eine Firewall installiert?
Öhm, ja, die Frage habe ich befürchtet. Einen echten Grund dafür gibt es nicht. Der Router macht zwar nur NAT (hat kein Paketfilter), das sollte aber wohl reichen. Nun, die SuSEfw2 läuft weil sie da ist (default=an) und weil ich noch relativer Linux-Neuling bin, ich will sowas auch mal in Aktion sehen und mit rumspielen. Also nur als Lerngründen. Wirklich nötig ist das Teil wohl nicht, da hast du recht.
Firewall möchte ich sowas in dem Fall nicht nennen! -Peter
On Friday 04 June 2004 08:00, peter grotz wrote:
Firewall möchte ich sowas in dem Fall nicht nennen!
Deswegen schrieb ich in den meisten Fällen von einem "Paketfilter", nicht von einer FW. Mir ist der Unterschied sehr wohl klar. Port 445 ist "nur" im internen Netz offen, schlimm genug, "nach draussen" hängt noch ein Router davor der nur Port 80 an die Linuxbüchse forwarded. Gruß, Ekki
On Friday 04 June 2004 08:00, peter grotz wrote:
[...]
Das und
[...]
probier mal FW_SERVICES_EXT_TCP="http ssh 137:139 445"
hat's gebracht, danke. Jetzt funktioniert es. [...]
supi, und so ist dem sasser tür und tor geöffnet (445); nur gut, daß dort nur win98 werkelt....
Hast Du seine Netztopologie noch im Kopf? AFAIR hat er doch 'nen DSL-Router mit 4 Ports, an dem _beide_ Rechner hängen. Wenn auf seinem Router keine Ports geblockt werden, dann kommt der Sasser _immer_ auf den Win-Rechner, egal was auf der Linux Kiste rennt. Die FW2 hat ihm doch nur den Zugriff _intern_ von Win auf Samba/Linux verwehrt. IMO sollte er _dringend_ den Router so konfigurieren, das alle Verbidungsanfragen von aussen geblockt werden. Das kann nach meinem Wissen eigentlich jeder halbwegs brauchbare DSL-Router. (Nachdem ich das gemacht hatte (DLINK-Router), ist meine Firewall auf dem Linux-Rechner so gut wie arbeitslos geworden, da fast alles bereits am Router scheitert).
Warum hast du eigentlich eine Firewall installiert?
Öhm, ja, die Frage habe ich befürchtet. Einen echten Grund dafür gibt es nicht. Der Router macht zwar nur NAT (hat kein Paketfilter), das sollte aber wohl reichen.
Das macht den Angriff auf das interne LAN zumindest schwerer. Aber kann der Router denn nicht dieses "Verbindungen von aussen blocken"?
Nun, die SuSEfw2 läuft weil sie da ist (default=an) und weil ich noch relativer Linux-Neuling bin, ich will sowas auch mal in Aktion sehen und mit rumspielen. Also nur als Lerngründen. Wirklich nötig ist das Teil wohl nicht, da hast du recht.
Firewall möchte ich sowas in dem Fall nicht nennen!
Da hast Du unabhängig von allem anderen natürlich Recht. Andreas
probier mal FW_SERVICES_EXT_TCP="http ssh 137:139 445"
hat's gebracht, danke. Jetzt funktioniert es. [...]
supi, und so ist dem sasser tür und tor geöffnet (445); nur gut, daß dort nur win98 werkelt....
Hast Du seine Netztopologie noch im Kopf? AFAIR hat er doch 'nen DSL-Router mit 4 Ports, an dem _beide_ Rechner hängen. Wenn auf seinem Router keine Ports geblockt werden, dann kommt der Sasser _immer_ auf den Win-Rechner, egal was auf der Linux Kiste rennt.
Die FW2 hat ihm doch nur den Zugriff _intern_ von Win auf Samba/Linux verwehrt.
Ähhm , stimmt, hast du recht. Sorry. Das hab ich übersehen,da ich hier davon ausgegangen bin, daß er den linux-router zwischen den dsl-router und den win-rechner reingehängt hat. nur so wäre ein portfilter ja sinnvoll....
IMO sollte er _dringend_ den Router so konfigurieren, das alle Verbidungsanfragen von aussen geblockt werden. Das kann nach meinem Wissen eigentlich jeder halbwegs brauchbare DSL-Router. (Nachdem ich das gemacht hatte (DLINK-Router), ist meine Firewall auf dem Linux-Rechner so gut wie arbeitslos geworden, da fast alles bereits am Router scheitert).
das unterschreib ich so nicht! -Peter
On Friday 04 June 2004 09:09, peter grotz wrote: a) ich lese die Liste, daher ist es nicht nötig, die Mails auch PM zu schicken. Da du das aber gemacht hast, schreibe ich dich mal direkt an. [...]
IMO sollte er _dringend_ den Router so konfigurieren, das alle Verbidungsanfragen von aussen geblockt werden. Das kann nach meinem Wissen eigentlich jeder halbwegs brauchbare DSL-Router. (Nachdem ich das gemacht hatte (DLINK-Router), ist meine Firewall auf dem Linux-Rechner so gut wie arbeitslos geworden, da fast alles bereits am Router scheitert).
das unterschreib ich so nicht!
Was denn nicht? Ich sage ja nicht, das das Netz damit sicher ist, nur weil der Router was blockt. Aber: Während meine FW vorher (als der Linux-Rechner direkt am DSL Modem hing) permanent in sein Log geschrieben hat das wieder Pakete verworfen wurden, ist das Log jetzt sogar mittlerweile seit Tagen nicht mehr angefasst worden (Ich setze allerdings nicht die SuSE FW2 ein). Also ist meine FW z.Zt. fast arbeitslos (in dem Sinne, das er keine zu verwerfenden Pakete findet). Der Rechner ist 24x7 an und (bedingt durch den named, fetchmail und xntpd so ca. alle 15-30 Minuten für mindestens 5 Minuten im Netz. Dann schlägt der HUP-Timeout im Router zu. Für die meisten Zugriffsversuche der einfachen Skript-Kiddies ist bereits ein "genattetes" Netz eine grosse Hürde. Wenn dann der Router bereits eingehende TCP/IP Pakete mit "Syn"-Flag ablockt, kommen auch alle die Filesharer (edonkey und Konsorten) nicht mehr durch. Den Rest hat bisher meine FW geblockt. Aber wie gesagt: Da kommt fast nix mehr. Was davon unterschreibst du nicht? Andreas
On Friday 04 June 2004 10:17, Andreas Kyek wrote:
On Friday 04 June 2004 09:09, peter grotz wrote:
a) ich lese die Liste, daher ist es nicht nötig, die Mails auch PM zu schicken. Da du das aber gemacht hast, schreibe ich dich mal direkt an.
Huch?! Ist wohl nicht mein Tag heute. Das sollte eigentlich nicht in die Liste. Egal. passiert. sorry Andreas (Zeit fürs Wochenende!)
On Friday 04 June 2004 08:36, Andreas Kyek wrote: [...]
IMO sollte er _dringend_ den Router so konfigurieren, das alle Verbidungsanfragen von aussen geblockt werden.
Das tut der Router, danke. Ausser "Port 80 -> Linuxbüchse" ist im Moment nichts geforwarded, sodaß die Win98 Kiste einigermassen Ruhe haben sollte. Gruß, Ekki
participants (5)
-
Andreas Kyek
-
Ekki
-
Ekki Plicht
-
peter grotz
-
Stefan Schilling