Firewall, Masq, Routing mit Suse 7.2, Kernel 2.4 (Groschen fällt nicht)
Hallo zusammen Seit einiger Zeit lese ich viel über Firewall, Routing etc. Im Moment lese ich grad ein Buch, um einfach mal grundlegende Dinge über Feuerwände zu verstehen. Mit geht es noch gar nicht allzufest um Reglen, sondern vielmehr mal um das Verständnis, was das ganze überhaupt genau ist. Also zu schnallen, dass es nix bringt eine _Top-Sicherheits_ Wand aufzustellen und dann da Samba laufen zu lassen (Ich weiss, dass es keine Top-Sicherheitswand gibt und dass man Samba auch relativ sicher darauf betreiben könnte) Ok, was ich allerdings noch nicht verstanden habe ist Suse. Ich möchte mit den Regeln klein anfangen und dachte mir, dass die Suse-Firewall (Suse 7.2, Kernel 2.4) richtig für mich sei. Im Handbuch haben sie da ja auch eine Schritt für Schrittanleitung. Alle Feinheiten könnte ich dann mittels meiner Bücher später ergänzen. Soweit so gut. Aber hier fällt der Groschen nicht. Habe ich das richtig verstanden: Mit Kernel 2.4 sollte man Iptables verwenden ? Suse beschreibt aber in dem neuen Handbuch die einfache Konfiguration auf der Basis von ipchains obwohl sie standardmässig Kernel 2.4 installieren. Beim Booten erhalte ich nämlich einen Hinweis, dass ich für Kernel 2.4 die SuseFirewall2 verwenden soll. Ich finde weder auf den CD's noch sonst irgendwo so ein Packet. (Ok, vielleicht sollte ich mal eine Kaffeepause einlegen ;-)) Oder habe ich das wirklich noch nicht ganz geschnallt und sollte mich noch schlauer machen. Vielleicht hat jeamand grad ein Buchtipp bereit für Iptables, Masq, Routing für Kernel 2.4 ? Danke und Gruss Fabian
Hallo Fabian! Fabian Huesser schrieb am Sonntag, den 17. Juni 2001:
Suse beschreibt aber in dem neuen Handbuch die einfache Konfiguration auf der Basis von ipchains obwohl sie standardmässig Kernel 2.4 installieren. Beim Booten erhalte ich nämlich einen Hinweis, dass ich für Kernel 2.4 die SuseFirewall2 verwenden soll. Ich finde weder auf den CD's noch sonst irgendwo so ein Packet. (Ok, vielleicht sollte ich mal eine Kaffeepause einlegen ;-))
Kaffeepause schadet nie, danach solltest Du auf www.suse.de/~marc gehen, dort gibt's die SuSEfirewall2. Das nimmt dann auch iptables. Nichtmal in der sdb taucht das Wort 'SuSEfirewall2' auf - wie man herausfindet wo es die gibt wuerde mich auch interressieren ... wahrscheinlich nur durch Mund-zu-Mund Ueberlieferung. -- MfG Thomas Mueller - http://www.tmueller.com for pgp key (95702B3B) Please sign the Linux Driver Petition http://www.libranet.com/petition.html
Am Sonntag, 17. Juni 2001 14:21 schrieb Thomas Mueller:
Hallo Fabian!
Fabian Huesser schrieb am Sonntag, den 17. Juni 2001:
Suse beschreibt aber in dem neuen Handbuch die einfache Konfiguration auf der Basis von ipchains obwohl sie standardmässig Kernel 2.4 installieren. Beim Booten erhalte ich nämlich einen Hinweis, dass ich für Kernel 2.4 die SuseFirewall2 verwenden soll. Ich finde weder auf den CD's noch sonst irgendwo so ein Packet. (Ok, vielleicht sollte ich mal eine Kaffeepause einlegen ;-))
Kaffeepause schadet nie, danach solltest Du auf www.suse.de/~marc gehen, dort gibt's die SuSEfirewall2. Das nimmt dann auch iptables.
Nichtmal in der sdb taucht das Wort 'SuSEfirewall2' auf - wie man herausfindet wo es die gibt wuerde mich auch interressieren ... wahrscheinlich nur durch Mund-zu-Mund Ueberlieferung.
Da findet man sie doch. Unter http://www.suse.de/~marc/SuSEfirewall2-1.0.tar.gz kann man die SuSEfirewall2 auch downloaden. Das man nichts über die SuSEfirewall2 findet könnte daran liegen, das die HP www.suse.de/~marc/ keine offizielle SuSE Seite ist, dazu ein Auszug aus der HP: Please note that this is my private homepage and not an official website of SuSE! Cu Marius
Hallo Marius
Da findet man sie doch. Unter http://www.suse.de/~marc/SuSEfirewall2-1.0.tar.gz kann man die SuSEfirewall2 auch downloaden. Das man nichts über die SuSEfirewall2 findet könnte daran liegen, das die HP www.suse.de/~marc/ keine offizielle SuSE Seite ist, dazu ein Auszug aus der HP:
Wunderbar. Da kann ich ja weiterbasteln. Merkwürdig (und bisschen ärgerlich) ist halt, dass bei Suse 7.2 eine Fehlermeldung besagt, dass man SuSEfirewall2 nehmen soll. Aber nirgends darauf hingewiesen wird, wo sie zu finden ist. Mir scheints, dass Suse da ein Update gemacht hat, unbedingt die ersten sein wollen, die standardmässig Kernel 2.4 installieren. Aber ihre _Umgebung_ dafür noch nicht fertig angepasst haben. Auch im Handbuch wird nix darüber erwähnt. Scheint, also ob sie das vergessen haben oder im letzten Moment entschieden haben Kernel 2.4 zu installieren. Ich glaub ich werde das den Jungs mal durchtippen. Dass sie das vielleicht mal in die sdb aufnehmen.... so und jetzt weiterwerkeln.... Gruss Fabian
Am Sonntag, 17. Juni 2001 18:52 schrieb Fabian Huesser:
Hallo Marius
Da findet man sie doch. Unter http://www.suse.de/~marc/SuSEfirewall2-1.0.tar.gz kann man die SuSEfirewall2 auch downloaden. Das man nichts über die SuSEfirewall2 findet könnte daran liegen, das die HP www.suse.de/~marc/ keine offizielle SuSE Seite ist, dazu ein Auszug aus der HP:
Wunderbar. Da kann ich ja weiterbasteln.
Merkwürdig (und bisschen ärgerlich) ist halt, dass bei Suse 7.2 eine Fehlermeldung besagt, dass man SuSEfirewall2 nehmen soll. Aber nirgends darauf hingewiesen wird, wo sie zu finden ist. Mir scheints, dass Suse da ein Update gemacht hat, unbedingt die ersten sein wollen, die standardmässig Kernel 2.4 installieren. Aber ihre _Umgebung_ dafür noch nicht fertig angepasst haben.
Auch im Handbuch wird nix darüber erwähnt. Scheint, also ob sie das vergessen haben oder im letzten Moment entschieden haben Kernel 2.4 zu installieren.
Ich glaub ich werde das den Jungs mal durchtippen. Dass sie das vielleicht mal in die sdb aufnehmen....
so und jetzt weiterwerkeln.... Gruss Fabian
Hmm, also bei mir läuft die SuSEfirewall unter SuSE 7.2 ohne Probleme. Ja ist schon bisschen merkwürdig. Das Update von SuSE ist sicherlich nicht ganz perfekt, aber das wirds wohl nie sein ;) Sind aber auch einige nette Sachen hinzugekommen, z.B. kann man (sollte man zumiendest) auch von reiserfs Partionien booten können. Vielleicht haben sie die SuSEfirewall2 auch nur nicht mitgeliefert, da sie sich noch in der Alpha Phase befindet. Bin gespannt was SuSE dazu meint (Info vielleicht per PM?), da es sich ja um keine offizieille SuSE Homepage handelt. Unter www.suse.de/~marc/ ist übrigens auch die SuSEfirewall in der Version 4.7 erhältlich, wobei SuSE 7.2 mit Version 4.6 ausgeliefert wird. Cu Marius
Hmm, also bei mir läuft die SuSEfirewall unter SuSE 7.2 ohne Probleme.
Tja, bei mir nicht. Aber wenn ich deine 2 Mails lese, liegt das wohl eher an mir ;-)
Ja ist schon bisschen merkwürdig. Das Update von SuSE ist sicherlich nicht ganz perfekt, aber das wirds wohl nie sein ;) Sind aber auch einige nette Sachen hinzugekommen, z.B. kann man (sollte man zumiendest) auch von reiserfs Partionien booten können. Vielleicht haben sie die SuSEfirewall2 auch nur nicht mitgeliefert, da sie sich noch in der Alpha Phase befindet.
Ja schon, perfekte Updetes gibts ned. Aber ein paar Worte sollten sie darüber verlieren. Zumindest in der SDB...
Bin gespannt was SuSE dazu meint (Info vielleicht per PM?)
Ich hab's mal ans Feedback von Suse geschickt. Vielleicht höre ich dann was von denen. Werde dir dann gerne weiterreichen. Wenn du mir dafür meine Wand zum laufen bringst ;-) Scherz am Rande... .... werde wohl noch bisschen weiter lesen müssen... Gruss Fabian
Hallo Marius! Marius Brehler schrieb am Sonntag, den 17. Juni 2001: [.. SuSEfirewall2 ..]
Nichtmal in der sdb taucht das Wort 'SuSEfirewall2' auf - wie man herausfindet wo es die gibt wuerde mich auch interressieren ... wahrscheinlich nur durch Mund-zu-Mund Ueberlieferung.
Da findet man sie doch. Unter http://www.suse.de/~marc/SuSEfirewall2-1.0.tar.gz kann man die
Das ist schon klar, woher weiss man aber dass die auf http://www.suse.de/~marc liegt?
SuSEfirewall2 auch downloaden. Das man nichts über die SuSEfirewall2 findet könnte daran liegen, das die HP www.suse.de/~marc/ keine offizielle SuSE Seite ist, dazu ein Auszug aus der HP:
Please note that this is my private homepage and not an official website of SuSE!
Okay, aber warum gibt die SuSEfirewall dann aus dass man die SuSEfirewall2 nehmen sollte? -- MfG Thomas Mueller - http://www.tmueller.com for pgp key (95702B3B) Please sign the Linux Driver Petition http://www.libranet.com/petition.html
Am Montag, 18. Juni 2001 00:30 schrieb Thomas Mueller:
Hallo Marius!
Marius Brehler schrieb am Sonntag, den 17. Juni 2001:
[.. SuSEfirewall2 ..]
Nichtmal in der sdb taucht das Wort 'SuSEfirewall2' auf - wie man herausfindet wo es die gibt wuerde mich auch interressieren ... wahrscheinlich nur durch Mund-zu-Mund Ueberlieferung.
Da findet man sie doch. Unter http://www.suse.de/~marc/SuSEfirewall2-1.0.tar.gz kann man die
Das ist schon klar, woher weiss man aber dass die auf http://www.suse.de/~marc liegt?
SuSEfirewall2 auch downloaden. Das man nichts über die SuSEfirewall2 findet könnte daran liegen, das die HP www.suse.de/~marc/ keine offizielle SuSE Seite ist, dazu ein Auszug aus der HP:
Please note that this is my private homepage and not an official website of SuSE!
Okay, aber warum gibt die SuSEfirewall dann aus dass man die SuSEfirewall2 nehmen sollte?
Man weiß nicht das sie unter http://www.suse.de/~marc/ zu finden ist. Schade eigentlich. Offiziel ist sie ja anscheinden auch noch nicht erschienen und sie befindet sich ja auch noch im alpha Stadium. Das man keinen Link zu der Seite findet ist wirklich traurig, auch wenn sie privat ist. Immerhin schreibt Marc Heuse doch immer die SuSEfirewall. Die SuSEfirewall weiß halt schon zuviel ;) Kurz bevor SuSE 7.2 erschien ging in der Liste doch schon um, das es wohl nicht mehr lange dauern würde, da bei einigen Updates im Quellcode stehe, das es sich um SuSE 7.2 Packete handele. Ich denke so siehst hier auch aus. Cu Marius
Kaffeepause schadet nie, danach solltest Du auf www.suse.de/~marc gehen, dort gibt's die SuSEfirewall2. Das nimmt dann auch iptables.
Nichtmal in der sdb taucht das Wort 'SuSEfirewall2' auf - wie man herausfindet wo es die gibt wuerde mich auch interressieren ... wahrscheinlich nur durch Mund-zu-Mund Ueberlieferung.
Danke für den Tipp, das ist ja schon mal was. Kaffeepause hat gut getan ;-) Nur möchte ich zu gerne wissen, ob ich da recht liege, dass ich für Kernel 2.4 NICHT _ipchains_ nehmen darf ? Gruss Fabian
Am Sonntag, 17. Juni 2001 18:43 schrieb fabian huesser:
Kaffeepause schadet nie, danach solltest Du auf www.suse.de/~marc gehen, dort gibt's die SuSEfirewall2. Das nimmt dann auch iptables.
Nichtmal in der sdb taucht das Wort 'SuSEfirewall2' auf - wie man herausfindet wo es die gibt wuerde mich auch interressieren ... wahrscheinlich nur durch Mund-zu-Mund Ueberlieferung.
Danke für den Tipp, das ist ja schon mal was.
Kaffeepause hat gut getan ;-)
Nur möchte ich zu gerne wissen, ob ich da recht liege, dass ich für Kernel 2.4 NICHT _ipchains_ nehmen darf ?
Gruss Fabian
Doch natürlich darf man ipchains mit zusammen mit dem Kernel 2.4.x verwenden. Funktioniert ohne Probleme. Die SuSEfirewall läd dann automatisch das ipchains Modul des Kernles. Cu Marius
Hallo fabian! fabian huesser schrieb am Sonntag, den 17. Juni 2001:
Kaffeepause schadet nie, danach solltest Du auf www.suse.de/~marc gehen, dort gibt's die SuSEfirewall2. Das nimmt dann auch iptables.
Nichtmal in der sdb taucht das Wort 'SuSEfirewall2' auf - wie man herausfindet wo es die gibt wuerde mich auch interressieren ... wahrscheinlich nur durch Mund-zu-Mund Ueberlieferung.
Danke für den Tipp, das ist ja schon mal was.
Kaffeepause hat gut getan ;-)
Nur möchte ich zu gerne wissen, ob ich da recht liege, dass ich für Kernel 2.4 NICHT _ipchains_ nehmen darf ?
Darf man schon, empfiehlt sich aber nicht. Der 2.4er Kernel hat ein Modul fuer die abwaerts Kompatibilitaet fuer ipchains, sodass man diese noch weiter verwenden kann. Das ist aber sicherlich keine Dauerloesung. Wenn Du da eh schon Zeit und Arbeit investiert wuerde ich gleich auf iptables losgehen. Zudem ist iptables maechtiger. -- MfG Thomas Mueller - http://www.tmueller.com for pgp key (95702B3B) Please sign the Linux Driver Petition http://www.libranet.com/petition.html
Am Montag, 18. Juni 2001 00:34 schrieb Thomas Mueller:
[...]
Nur möchte ich zu gerne wissen, ob ich da recht liege, dass ich für Kernel 2.4 NICHT _ipchains_ nehmen darf ?
Darf man schon, empfiehlt sich aber nicht.
Der 2.4er Kernel hat ein Modul fuer die abwaerts Kompatibilitaet fuer ipchains, sodass man diese noch weiter verwenden kann. Das ist aber sicherlich keine Dauerloesung. Wenn Du da eh schon Zeit und Arbeit investiert wuerde ich gleich auf iptables losgehen.
Zudem ist iptables maechtiger.
Denke das man wohl bald komplett auf iptables umsteigen wird. Iptables ist um einiges mächtiger (dynamische Packfilterung) und "Das Firewall Buch" von SuSE Press widmet sich auch ausschließlich den iptables. Anderes seits habe ich in der Buchkritik im Linux Magazin gelesen, dass das doch eigentlich traurig sein, da es wohl noch ein bisschen dauere bis sich der Kernel 2.4 überall durch gesetzt habe. Sehe ich zwar nicht so (und SuSE macht ja auch Schritte in die Richtung), aber noch ist es anscheinend so. Cu Marius
On Sun, 17 Jun 2001, Fabian Huesser wrote:
Hallo zusammen
-snip-
Ok, was ich allerdings noch nicht verstanden habe ist Suse. Ich möchte mit den Regeln klein anfangen und dachte mir, dass die Suse-Firewall (Suse 7.2, Kernel 2.4) richtig für mich sei. Im Handbuch haben sie da ja auch eine Schritt für Schrittanleitung. Alle Feinheiten könnte ich dann mittels meiner Bücher später ergänzen.
Soweit so gut. Aber hier fällt der Groschen nicht. Habe ich das richtig verstanden:
Mit Kernel 2.4 sollte man Iptables verwenden ?
Suse beschreibt aber in dem neuen Handbuch die einfache Konfiguration auf der Basis von ipchains obwohl sie standardmässig Kernel 2.4 installieren. Beim Booten erhalte ich nämlich einen Hinweis, dass ich für Kernel 2.4 die SuseFirewall2 verwenden soll. Ich finde weder auf den CD's noch sonst irgendwo so ein Packet. (Ok, vielleicht sollte ich mal eine Kaffeepause einlegen ;-)) -snip-
Hi ! Ja, gönn dir nen Kaffee, ich tipp schon mal.... Der Kernel 2.4 kann schon iptables, was aber nicht heißt, daß man es verwenden muß. Man kann auch ipchains weiterhin verwenden. Möchtest du das neue iptables verwenden, funktioniert aber die Suse-Standard-Firewall damit nicht. Dafür hat Suse am ftp-Server ein neues Script bereitgestellt: SuSe-Firewall2 Wenn du das benutzt kannst du iptables verwenden. Nimmst du das "normale" Script, dann nimm auch ipchains. Ich persönlich mag die Suse-Firewall überhauptnicht. Grund nach der Konfiguration waren so viele Regeln aktiv, daß es für mich unmöglich war einen Überblick zu bekommen, was da alles offen und gesperrt ist. Dies ist sehr unangenehm bei Fehlersuche. Darum werde ich mir eine eigene machen, wo dann nur eine Hand voll Regeln aktiv sein werden. Grüße, Christian
participants (5)
-
Christian Stuermer -
fabian huesser -
Fabian Huesser
-
Marius Brehler -
Thomas Mueller