SuSE-Firewall, verwechselt Schnittstellen and more, Bug?
Hallo, auf diversen Seminaren lernt man ja im Umgang mit Mitarbeitern vor einer Kritik immer (wenn m?glich) etwas positives zu stellen, so will ich es auch mal halten. Die neue SuSE-Firewall gef?llt mir vom Ansatz sehr gut da man sie, wenn dann alles funktioniert, viel flexiebler konfigurieren kann. Allerdings scheint es ein Problem zu geben wenn das System nur eine Schnittstelle hat. Hintergrund ist der das ich auch auf den lokalen Server die Firewall benutze und nur die Ports ?ffne die der Server anbieten soll. Also wie gesagt. Rechner mit eineer Netzwerkkarte. Schaut man in das Firewall-Modul unter "Schnittstelle" ist diese Schnittstelle als externe Zone definiert. Konfiguriert man nun einen Serverdienst mit Yast (z.B. DHCP-Server) und aktiviert im dortigen Dialog "Firewallport ?ffnen" wird dieser in der SuSE-Firewall unter den erlaubten Diensten ebenfalls unter der externen Zone aufgef?hrt. Ok, dachte ich habe ich unter: SuSE-Firewall -> Schnittstellen die Netzwerkkarte als intern definiert und anschlie?end unter den erlaubten Diensten, in der externen Zone alle Dienste entfern. Danach habe ich die Funktion "Firewall vor interner Zone sch?tzen" (was f?r eine ?bersetzung) aktiviert und unter den erlaubten Diensten (interne Zone) alle Dienste freigegeben auf die ich zugreifen m?chte (z.B. dhcp). Das scheint die Firewall jedoch nicht zu interessieren. Der DHCP-Server ist nicht mehr erreichbar. Viele Grue?e Sven
On Thu, Apr 28, 2005 at 02:51:54PM +0200, Sven Gehr wrote:
Das scheint die Firewall jedoch nicht zu interessieren. Der DHCP-Server ist nicht mehr erreichbar.
Wenn du einen Server Schuetzen willst, dann konfigurierst du eine einzige Netzwerkkarte als "Internet"-Netzwerkverbindung. Eine interne Netzwerkkarte brauchst du nicht anzugeben. Ausserdem ist DHCP schwierig in Verbindung mit Firewalls, da ja die ersten Pakete ohne IP-Adresse und nachfolgende Pakete an die Broadcast-Adresse 255.255.255.255 verschickt werden. -- Peter
Am Do 28.04.2005 15:39 schrieb Peter Wiersig
On Thu, Apr 28, 2005 at 02:51:54PM +0200, Sven Gehr wrote:
Hallo zusammen,
Das scheint die Firewall jedoch nicht zu interessieren. Der DHCP-Server ist nicht mehr erreichbar. ? Wenn du einen Server Schuetzen willst, dann konfigurierst du eine einzige Netzwerkkarte als "Internet"-Netzwerkverbindung. Eine interne Netzwerkkarte brauchst du nicht anzugeben.
Das ist doch genau das Problem. Wenn ich die einzigste Schnittstelle die im System vorhanden ist als "intern" definiere kann ich auf keinen Dienst mehr zugreifen obwohl diese explizit freigegeben sind. ?
Ausserdem ist DHCP schwierig in Verbindung mit Firewalls, da ja die ersten Pakete ohne IP-Adresse und nachfolgende Pakete an die Broadcast-Adresse 255.255.255.255 verschickt werden.
Jeb, schon klar. Ist aber von der SuSE-Firewall her kein Problem da sie lediglich erlaubte Ports und nicht um die Source-IP k?mmert (ich wei? in Sysconfig m?glich). Viele Grue?e Sven
On Thu, Apr 28, 2005 at 03:52:42PM +0200, Sven Gehr wrote:
Das ist doch genau das Problem. Wenn ich die einzigste Schnittstelle die im System vorhanden ist als "intern" definiere kann ich auf keinen Dienst mehr zugreifen obwohl diese explizit freigegeben sind.
Wundert mich nicht, da du ja "protect from internal" auch aktiviert hast. In FW_DEV_INT gehoeren die Interfaces, die zu den guten Jungs fuehren, in FW_DEV_EXT der Rest der Welt. Hast du nur ein Interface ( ausser dem loopback ), so gehoert dieses Interface in _EXT. -- Peter
Am Donnerstag, 28. April 2005 23:30 schrieb Peter Wiersig:
On Thu, Apr 28, 2005 at 03:52:42PM +0200, Sven Gehr wrote:
Hallo,
Das ist doch genau das Problem. Wenn ich die einzigste Schnittstelle die im System vorhanden ist als "intern" definiere kann ich auf keinen Dienst mehr zugreifen obwohl diese explizit freigegeben sind.
Wundert mich nicht, da du ja "protect from internal" auch aktiviert hast.
In FW_DEV_INT gehoeren die Interfaces, die zu den guten Jungs fuehren, in FW_DEV_EXT der Rest der Welt. Hast du nur ein Interface ( ausser dem loopback ), so gehoert dieses Interface in _EXT.
ist aber trotzdem wohl kaum richtig. Was ist nun wenn ich, wie ich es auch wirklich beabsichtige, nach fertigstellung des Rechners eine weitere Karte einbau und diese ans DSL-Modem hänge? Ich bezweifke mal stark das Yast dann, alles was ich auf _EXT erlaubt habe nach _INT überträgt. Außerdem ist und bleibt "intern" halt immer das interne Netz. Ich sehe das schon so das Yast hier einen ziemlich groben Fehler hat. -- Viele Grüße Sven Gehr
participants (2)
-
Peter Wiersig -
Sven Gehr