Hallo Leute Ich weiss nicht wie ich es der Firewall beibringen kann. Ich kann meinen WebServer von innen nur über den lokalen Namen erreichen aber nicht über den DNS Namen (www. .de.vu), von aussen ist der Server aber erreichbar. ---> kernel: SuSE-FW-ACCESS_DENIED_INT IN=eth1 OUT= MAC=xxx SRC=192.168.1.10 DST=217.186.0.62 LEN=48 TOS=0x08 PREC=0x00 TTL=128 ID=2623 DF PROTO=TCP SPT=1551 DPT=80 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402) <--- Hat da jemand ne Idee??? SuSEfirewall2 config schicke ich erst mal nicht mit da das sonst zu viel zum lesen wird. Gruss Andy
On Tue, Dec 02, 2003 at 08:15:34PM +0100, Andreas Bogan wrote:
Ich kann meinen WebServer von innen nur über den lokalen Namen erreichen aber nicht über den DNS Namen (www. .de.vu),
Hat da jemand ne Idee???
Das ist bei der SFW2 von Design her so gedacht. Wenn du das gar nicht magst, musst du dir eigene Regeln hinzufuegen. Dazu schau dir alle Dateien an, die das Paket installiert. -- Have fun, Peter
Hallo Andreas, hallo Leute, Am Dienstag, 02. Dezember 2003 20:15 schrieb Andreas Bogan:
Ich weiss nicht wie ich es der Firewall beibringen kann. Ich kann meinen WebServer von innen nur über den lokalen Namen erreichen aber nicht über den DNS Namen (www. .de.vu), von aussen ist der Server aber erreichbar.
kernel: SuSE-FW-ACCESS_DENIED_INT IN=eth1 OUT= [...]
Das ist ein Feature der SuSEfirewall2, weil solche Verbindungen (interne Server über die externe IP / Name ansprechen) wohl eher ungewöhnlich sind und deshalb als Sicherheitsrisiko (möglicherweise gefälschte Pakete) betrachtet werden (frag mich bitte nicht genauer ;-) Jedenfalls: mit einer passenden Regel im benutzerdefinierten Teil kann man die Sperre "aufheben". Wie das geht, wurde vor längerer Zeit schonmal erklärt (IIRC war u. a. Ratti an dem Thread beteiligt) - such mal ein wenig im Listenarchiv. Einen Anhaltspunkt, warum diese Pakete geblockt werden, findest Du in /sbin/SuSEfirewall2 - dort nach "ACCESS_DENIED_INT" suchen. Du solltest dieses Script aber nicht ändern (stattdessen "custom"-Regeln in der Config einbinden), das wird nämlich bei einem Update/Bugfix gnadenlos überschrieben.
SuSEfirewall2 config schicke ich erst mal nicht mit da das sonst zu viel zum lesen wird.
So schlimm ist das nicht, wenn man es richtig macht: grep "^[^#]" /etc/sysconfig/SuSEfirewall2 Die Kommentare haben wir alle schon ;-) Gruß Christian Boltz -- Das Problem ist vermutlich auf schlechte Erdung zurueckzufuehren. Schlagt einfach zwei Stahlnaegel in die Turnschuhe eures MCSEs. So koennen die Ueberspannungen aus dem Kopf abfliessen, und Euer Mann achtet auch mehr auf seine Sicherheit in der Naehe von Computern. [M. Liss in dasr]
Christian Boltz schrieb:
Hallo Andreas, hallo Leute,
Am Dienstag, 02. Dezember 2003 20:15 schrieb Andreas Bogan:
Ich weiss nicht wie ich es der Firewall beibringen kann. Ich kann meinen WebServer von innen nur über den lokalen Namen erreichen aber nicht über den DNS Namen (www. .de.vu), von aussen ist der Server aber erreichbar.
kernel: SuSE-FW-ACCESS_DENIED_INT IN=eth1 OUT= [...]
Das ist ein Feature der SuSEfirewall2, weil solche Verbindungen (interne Server über die externe IP / Name ansprechen) wohl eher ungewöhnlich sind und deshalb als Sicherheitsrisiko (möglicherweise gefälschte Pakete) betrachtet werden (frag mich bitte nicht genauer ;-)
Jedenfalls: mit einer passenden Regel im benutzerdefinierten Teil kann man die Sperre "aufheben". Wie das geht, wurde vor längerer Zeit schonmal erklärt (IIRC war u. a. Ratti an dem Thread beteiligt) - such mal ein wenig im Listenarchiv.
Einen Anhaltspunkt, warum diese Pakete geblockt werden, findest Du in /sbin/SuSEfirewall2 - dort nach "ACCESS_DENIED_INT" suchen. Du solltest dieses Script aber nicht ändern (stattdessen "custom"-Regeln in der Config einbinden), das wird nämlich bei einem Update/Bugfix gnadenlos überschrieben.
SuSEfirewall2 config schicke ich erst mal nicht mit da das sonst zu viel zum lesen wird.
So schlimm ist das nicht, wenn man es richtig macht: grep "^[^#]" /etc/sysconfig/SuSEfirewall2 Die Kommentare haben wir alle schon ;-)
Gruß
Christian Boltz
Vielen Dank erstmal für eure Hilfe. Habe mir eigene Regeln in der SuSEfirewall2-custom erstellt und es funktioniert. Gruss Andy
participants (3)
-
Andreas Bogan -
Christian Boltz -
Peter Wiersig