Hallo Bernd,
FW_MASQ_NETS="192.168.1.0/24"
damit das interne LAN auf der externen Schnittstelle "maskiert" wird.
Habe ich gemacht...
FW_SERVICES_EXT_TCP="http https microsoft-ds netbios-dgm netbios-ns netbios-ssn 80 137:139 443 " FW_SERVICES_EXT_UDP="80 137:139 443 "
Willst Du diese Dienste wirklich auch extern anbieten?
Nein, nicht wirklich, ich habe nur am Anfang erst mal alles aufgerissen was ging und will bei Erfolg extern sukzessive wieder schließen.
FW_SERVICES_INT_TCP="80 137:139 443 445"
öffnet intern HTTP/HTTPS und SMB
Habe ich gemacht..
Viel Erfolg,
Bernd
Jetzt geht immerhin der wechselseitige Ping, aber Samba & Internet gehen leider noch nicht. - Viel kann wohl nicht mehr fehlen...?? Viele Dank für den Wink zum ersten Teilerfolg, Daniel ---------------------- Aktuelle siga.txt: (...) 4.13 SuSEfirewall2 - /etc/sysconfig/SuSEfirewall2 FW_DEV_EXT="ippp0" FW_DEV_INT="eth0" FW_DEV_DMZ="" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="192.168.1.0/24" FW_PROTECT_FROM_INTERNAL="no" FW_AUTOPROTECT_SERVICES="yes" FW_SERVICES_EXT_TCP="http https microsoft-ds netbios-dgm netbios-ns netbios-ssn 80 137:139 443 " FW_SERVICES_EXT_UDP="80 137:139 443 " FW_SERVICES_EXT_IP="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_DMZ_IP="" FW_SERVICES_INT_TCP="80 137:139 443 445" FW_SERVICES_INT_UDP="80 137:139 443 445" FW_SERVICES_INT_IP="" FW_TRUSTED_NETS="" FW_ALLOW_INCOMING_HIGHPORTS_TCP="no" FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS" FW_SERVICE_AUTODETECT="yes" FW_SERVICE_DNS="no" FW_SERVICE_DHCLIENT="no" FW_SERVICE_DHCPD="no" FW_SERVICE_SQUID="no" FW_SERVICE_SAMBA="yes" FW_FORWARD="" FW_FORWARD_MASQ="" FW_REDIRECT="" FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="no" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" FW_KERNEL_SECURITY="yes" FW_STOP_KEEP_ROUTING_STATE="no" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_PING_EXT="no" FW_ALLOW_FW_TRACEROUTE="yes" FW_ALLOW_FW_SOURCEQUENCH="yes" FW_ALLOW_FW_BROADCAST="no" FW_IGNORE_FW_BROADCAST="yes" FW_ALLOW_CLASS_ROUTING="no" FW_QUICKMODE="no" FW_SERVICES_EXT_RPC="mountd nfs nfs_acl nlockmgr status" FW_SERVICES_DMZ_RPC="" FW_SERVICES_INT_RPC="" FW_SERVICES_DROP_EXT="" FW_SERVICES_REJECT_EXT="0/0,tcp,113" FW_SERVICES_QUICK_TCP="" FW_SERVICES_QUICK_UDP="" FW_SERVICES_QUICK_IP="" FW_LOG_LIMIT="" FW_LOG="" FW_ANTISPOOF="no" FW_CUSTOMRULES="" FW_REJECT="no" FW_HTB_TUNE_DEV="" FW_IPv6="" FW_IPv6_REJECT_OUTGOING="yes" FW_IPSEC_TRUST="no" (...)
Hallo Daniel,
Willst Du diese Dienste wirklich auch extern anbieten?
Nein, nicht wirklich, ich habe nur am Anfang erst mal alles aufgerissen was ging und will bei Erfolg extern sukzessive wieder schließen.
Besser so :-)
Jetzt geht immerhin der wechselseitige Ping, aber Samba & Internet gehen leider noch nicht. - Viel kann wohl nicht mehr fehlen...??
Kannst Du aus dem LAN auch nach extern pingen? Wie sieht die DNS-Konfiguration aus? Hast Du einen bind konfiguriert oder lösen die Win-Clients und die Linuxkiste nach extern auf? Mach mal im LAN einen nslookup auf www.suse.de, geht das? Änder bitte mal folgendes: FW_AUTOPROTECT_SERVICES="yes" auf NO FW_SERVICES_INT_TCP="53 80 137 138 139 443 445" FW_SERVICES_INT_UDP="53 137"
Viele Dank für den Wink zum ersten Teilerfolg,
Immer gerne. Den Rest kriegen wir auch noch hin.
Daniel
Viele Grüße, Bernd
---------------------- Aktuelle siga.txt:
(...) 4.13 SuSEfirewall2 - /etc/sysconfig/SuSEfirewall2
FW_DEV_EXT="ippp0" FW_DEV_INT="eth0" FW_DEV_DMZ="" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="192.168.1.0/24" FW_PROTECT_FROM_INTERNAL="no" FW_AUTOPROTECT_SERVICES="yes" FW_SERVICES_EXT_TCP="http https microsoft-ds netbios-dgm netbios-ns netbios-ssn 80 137:139 443 " FW_SERVICES_EXT_UDP="80 137:139 443 " FW_SERVICES_EXT_IP="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_DMZ_IP="" FW_SERVICES_INT_TCP="80 137:139 443 445" FW_SERVICES_INT_UDP="80 137:139 443 445" FW_SERVICES_INT_IP="" FW_TRUSTED_NETS="" FW_ALLOW_INCOMING_HIGHPORTS_TCP="no" FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS" FW_SERVICE_AUTODETECT="yes" FW_SERVICE_DNS="no" FW_SERVICE_DHCLIENT="no" FW_SERVICE_DHCPD="no" FW_SERVICE_SQUID="no" FW_SERVICE_SAMBA="yes" FW_FORWARD="" FW_FORWARD_MASQ="" FW_REDIRECT="" FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="no" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" FW_KERNEL_SECURITY="yes" FW_STOP_KEEP_ROUTING_STATE="no" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_PING_EXT="no" FW_ALLOW_FW_TRACEROUTE="yes" FW_ALLOW_FW_SOURCEQUENCH="yes" FW_ALLOW_FW_BROADCAST="no" FW_IGNORE_FW_BROADCAST="yes" FW_ALLOW_CLASS_ROUTING="no" FW_QUICKMODE="no" FW_SERVICES_EXT_RPC="mountd nfs nfs_acl nlockmgr status" FW_SERVICES_DMZ_RPC="" FW_SERVICES_INT_RPC="" FW_SERVICES_DROP_EXT="" FW_SERVICES_REJECT_EXT="0/0,tcp,113" FW_SERVICES_QUICK_TCP="" FW_SERVICES_QUICK_UDP="" FW_SERVICES_QUICK_IP="" FW_LOG_LIMIT="" FW_LOG="" FW_ANTISPOOF="no" FW_CUSTOMRULES="" FW_REJECT="no" FW_HTB_TUNE_DEV="" FW_IPv6="" FW_IPv6_REJECT_OUTGOING="yes" FW_IPSEC_TRUST="no"
(...)
(...)
Kannst Du aus dem LAN auch nach extern pingen?
Wie sieht die DNS-Konfiguration aus? Hast Du einen bind konfiguriert oder lösen die Win-Clients und die Linuxkiste nach extern auf?
Mach mal im LAN einen nslookup auf www.suse.de, geht das?
Treffer! Funktiernierte alles; dass I-Net nicht ging, war ein Fault-Pas von mir, da ich auf dem Win-Client den Linux Gateway als Proxy angegeben hatte. Nachdem ich dies durch "Direkte Verbindung ins Internet" ersetzt hatte, ging Internet.
Änder bitte mal folgendes:
FW_AUTOPROTECT_SERVICES="yes" auf NO
War schon.
FW_SERVICES_INT_TCP="53 80 137 138 139 443 445" FW_SERVICES_INT_UDP="53 137"
Hab ich nicht versucht, da ich die DNS-Server des Providers nutze und dies jetzt auch alles funktioeniert. Nun fehlt mir leider immer noch Samba. Frage: FW_DEV_DMZ FW_SERVICES_DMZ_TCP FW_SERVICES_DMZ_UDP FW_SERVICES_DMZ_IP FW_ALLOW_PING_DMZ FW_SERVICES_DMZ_RPC ...sind alle auf "no" gesetzt. De Facto steht ja der SAMBA/File-Server, wenn auch nicht wirklich im Sinne wasserdichten Sicherheitskonzeptes mit Application Gateways, in der DMZ (gleicher physischer Rechner wie das Paketfilter). Gibt es hier Erfahrungen? Wirken sich die Variablen gleichberechtigt für den Zugriff von draußen und Drinnen auf die DMZ aus? Gruß Daniel
Mathias Weigt schrieb:
Da kann ich nur sagen: Willkommen im Club. Die Firewall2 (von 9.2) lässt die Broadcasts nicht durch. Eine Lösung konnte mir hier keiner geben. Dem nachzugehen lohnt sich nicht wirklich. Schneller hat man ein eigenes Skript am laufen. ...na, wenn ich denn die dazu notwendige Ahnung hätte....
Daniel Küsgen schrieb:
(...)
Nun fehlt mir leider immer noch Samba. Frage:
FW_DEV_DMZ FW_SERVICES_DMZ_TCP FW_SERVICES_DMZ_UDP FW_SERVICES_DMZ_IP FW_ALLOW_PING_DMZ FW_SERVICES_DMZ_RPC
...sind alle auf "no" gesetzt. De Facto steht ja der SAMBA/File-Server, wenn auch nicht wirklich im Sinne wasserdichten Sicherheitskonzeptes mit Application Gateways, in der DMZ (gleicher physischer Rechner wie das Paketfilter).
Gibt es hier Erfahrungen? Wirken sich die Variablen gleichberechtigt für den Zugriff von draußen und Drinnen auf die DMZ aus?
Nun schließe ich der Pessimismuswelle hinsichtlich SAMBA allmählich an. Ich habe in die DMZ-haltigen Paraemter ebenfalls die für SAMBA wichtigen Ports 137:139 und 445 eingefügt, war aber nichts zu machen. Bemerkenswert ist auch, dass ein manuelles Stoppen der FW mit "SuSEfirewall stop" rein gar nichts bewirkte, auch noch nicht "FW stoppen und aus dem Bootprozess nehmen" - da musste erst ein Systemneustart her, bevor ich von dem Client wieder auf den Fileserver kam. Fazit: Offen gut, alles gut, mein Gateway ist wieder ein Scheunentor und die FW2 bleibt außen vor, bis sich ein Patch findet... Gruß, Daniel
participants (3)
-
Bernd Walda -
daniel küsgen -
Daniel Küsgen