Hallo Liste, ich habe ein kleines Problem mit der SuSEFirewall2. Von dem Server in der DMZ kann keine Mail und kein Ping in Internet. Alle freigegebenen Verbindungen in die DMZ funktionieren jedoch. Es wird kein Maquerading betrieben. Woran kann das liegen ? Gruß Alex
Am Don, 2002-10-24 um 17.32 schrieb Alexander Reuther:
ich habe ein kleines Problem mit der SuSEFirewall2. Von dem Server in der DMZ kann keine Mail und kein Ping in Internet. Alle freigegebenen Verbindungen in die DMZ funktionieren jedoch.
Aha.
Es wird kein Maquerading betrieben.
Das muss man ja auch nicht machen, wenn man offizielle Adressen hat.
Woran kann das liegen ?
An einem kaputten Regelwerk, woran wohl sonst? RTFM: http://www.iptables.org/documentation/ man iptables iptables -nL Wolfgang
Hallo Wolfgang
An einem kaputten Regelwerk, woran wohl sonst? RTFM: (vielleicht eine wegefallene route ?)
lt. den Regeln, soll es aber erlaubt sein, jedoch steht im Log halt das gegenteil. Ein 'iptables --line-number -L |less' zeigt aber ein ACCEPT für diese Rule an... Gruß Alex PS: Eine explizite einstellunge für 'SuSEfirewall2.conf' gibts nicht ?
Am Don, 2002-10-24 um 18.03 schrieb Alexander Reuther:
lt. den Regeln, soll es aber erlaubt sein, jedoch steht im Log halt das gegenteil. Ein 'iptables --line-number -L |less' zeigt aber ein ACCEPT für diese Rule an...
Das ist komisch, zeig mir den Output von iptables -nL und netstat -r
Gruß Alex
PS: Eine explizite einstellunge für 'SuSEfirewall2.conf' gibts nicht ?
Was weiss denn ich? Ich verwende das SuSEfirewall Geraffel nicht. Ich habe mir die SuSEfirewall Scripte mal angeguckt und sie dann schnellstens nach /dev/null geschoben. Ich verwende grundsätzlich meine eigenen Scripte zum Festlegen des Regelwerkes, die ich entweder mit einem Editor oder auch schon mal mit fwbuilder http://www.fwbuilder.org/ erstelle. Im Gegensatz zu den SuSEscripten verstehe ich nämlich, was diese Scripten dann tun. fwbuilder brauchte etwas Gefrickel, um unter SuSE zu laufen, unter RedHat ist das stressfreier, ich habe hier u.a. für sowas halt auch schon aml RH laufen. Wolfgang
Am Don, 2002-10-24 um 19.32 schrieb Michael Meyer:
wie jetzt? die SuSEscripten verstehen sich selbst nicht?
Es mag schon sein, dass sich die SuSE FW Scripten selbst nicht verstehen.
na wie sollen sie da auch funktionieren ... :-)
Berechtigte Frage ;-)
ach so, soll ich dir etwas baldrian zukommen lassen?
Nein danke, warum auch? Ich benutze das SuSE FW Zeugs ja nicht und komme ganz prima ohne zurecht, iptables bleibt schließlich iptables, selbst unter SuSE ;-) Wolfgang
Hallo, naja, hilfreich waren die Beiträge nicht, es sei denn das Thema war Baldiran.
Hi,
wie jetzt? die SuSEscripten verstehen sich selbst nicht? na wie sollen sie da auch funktionieren ... :-) ach so, soll ich dir etwas baldrian zukommen lassen?
Auch wenn nicht für mich wäre Baldrian jetzt icht schlecht. Überall ist zu lesen, dass Mailserver in der DMZ plaziert sind und von dort auch arbeiten, aber wie wenn gerade mal ein ICMP raus geht (Option) aber weiter nichts aus der DMZ. Es muss doch (wenn schon Skript) eine Einstellung (aka '!') geben, die dies ermöglicht? Gruß
Am Don, 2002-10-24 um 19.52 schrieb Alexander Reuther:
Überall ist zu lesen, dass Mailserver in der DMZ plaziert sind und von dort auch arbeiten, aber wie wenn gerade mal ein ICMP raus geht (Option) aber weiter nichts aus der DMZ.
Dann hast Du mindestens einen Fehler in Deinem Regelwerk.
Es muss doch (wenn schon Skript) eine Einstellung (aka '!') geben, die dies ermöglicht?
Na sicher. Und jetzt machst Du folgendes: Beschreibe bitte Deine Arcitektur. Verwendest Du einen Paketfilter mit 3 Netzwerkkarten oder 2 mit je 2 NIC's? Machst Du also sowas: Internet | eth0 Paketfilter_eth1------irgendwelche_Server(DMZ) eth2 | internes_Lan oder sowas: Internet | eth0 Paketfilter_1 eth1 | +-------irgendwelche_Server(DMZ) | eth0 Paketfilter_2 eth1 | interes LAN? Welche Rechner stehen in Deiner DMZ, welche IP Adressen haben die Kisten, welche Dienste sollen von wo nach wo erlaubt werden? Und dann liest Du die DuKu von iptables und baust Dir ein Script für genau dieses Regelwerk. Und wenn Du das nicht hinkriegst, dann beauftrage jemanden, der sich mit sowas auskennst. Wolfgang
Am Don, 2002-10-24 um 21.22 schrieb Michael Meyer:
du bist dir sicher mit dem baldrian?
Ja, absolut sicher. Im übrigen bin ich mir auch sicher, dass die Beantwortung meiner Fragen zur Architektur der DMZ etc. durch den OP irgendwie eher zur Lösung seines Problems beitragen, als Deine Nachfragen an mich zum Komplex Baldrian. Wolfgang
Hallo Wolfgang, eine typische Meldung die ich im Moment bekomme ist folgende... Oct 28 15:40:40 pns1fw kernel: SuSE-FW-DROP-DEFAULT IN=eth1 OUT=eth0 SRC=62.26.127.35 DST=195.186.3.80 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=11564 DF PROTO=TCP SPT=1253 DPT=25 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402) diese verhindert, das senden aus der DMZ... Gruß Alex
Alexander Reuther wrote:
wie jetzt? die SuSEscripten verstehen sich selbst nicht? na wie sollen sie da auch funktionieren ... :-) ach so, soll ich dir etwas baldrian zukommen lassen?
Auch wenn nicht für mich wäre Baldrian jetzt icht schlecht.
Überall ist zu lesen, dass Mailserver in der DMZ plaziert sind und von dort auch arbeiten, aber wie wenn gerade mal ein ICMP raus geht (Option) aber weiter nichts aus der DMZ.
ich kenne die SuSEfirewall2 nicht besonders. wie sieht denn deine konfiguration aus? wie testest du? was sagen die logs?
Es muss doch (wenn schon Skript) eine Einstellung (aka '!') geben, die dies ermöglicht?
erstmal stellt sich ja die frage woran es überhaupt scheitert. micha
participants (4)
-
Alexander Reuther
-
Michael Meyer
-
ml-suse-linux
-
Wolfgang Kueter