Hi! Zu der Option der SuSEfirewall2 FW_MASQ_NETS steht in der Datei folgender Kommentar: # Choice: leave empty or any number of hosts/networks seperated by a space. # Every host/network may get a list of allowed services, otherwise everything # is allowed. A target network, protocol and service is appended by a comma to # the host/network. e.g. "10.0.0.0/8" allows the whole 10.0.0.0 network with # unrestricted access. "10.0.1.0/24,0/0,tcp,80 10.0.1.0/24,0/0tcp,21" allows # the 10.0.1.0 network to use www/ftp to the internet. # "10.0.1.0/24,tcp,1024:65535 10.0.2.0/24" is OK too. # Set this variable to "0/0" to allow unrestricted access to the internet. Ich möchte hier nur das Netz 192.168.0.0 bis 192.168.0.255 maskieren lassen und das ganze auf die Ports 80 und 21 beschränken. Laut Beschreibung kann ich einmal 192.168.0.0/24,tcp,80 oder 192.168.0.0/24,0/0tcp,80 eintragen. Was von den beiden Möglichkeiten ist denn richtig. Ausprobiert habe ich beide und bekomme die Meldung: Error: The protocol with FW_MASQ_NETS must be tcp, udp or empty-> 192.168.0.0/24,tcp,80 oder Error: The protocol with FW_MASQ_NETS must be tcp, udp or empty-> 192.168.0.0/24,0/0tcp,80 Ich habe in diesem Beispiel nur Port 80 und nicht wie gewünscht auch Port 21 eingetragen um das ganze zu vereinfachen. Also an welcher Stelle bestehen nun die Kommunikationsschwierigkeiten zwischen mir und der SuSEfirewall? MfG Marco
Hallo, Marco Röben wrote:
Zu der Option der SuSEfirewall2 FW_MASQ_NETS steht in der Datei folgender Kommentar:
# Choice: leave empty or any number of hosts/networks seperated by a space. # Every host/network may get a list of allowed services, otherwise everything # is allowed. A target network, protocol and service is appended by a comma to # the host/network. e.g. "10.0.0.0/8" allows the whole 10.0.0.0 network with # unrestricted access. "10.0.1.0/24,0/0,tcp,80 10.0.1.0/24,0/0tcp,21" allows # the 10.0.1.0 network to use www/ftp to the internet. # "10.0.1.0/24,tcp,1024:65535 10.0.2.0/24" is OK too. # Set this variable to "0/0" to allow unrestricted access to the internet.
Ich möchte hier nur das Netz 192.168.0.0 bis 192.168.0.255 maskieren lassen und das ganze auf die Ports 80 und 21 beschränken.
Laut Beschreibung kann ich einmal 192.168.0.0/24,tcp,80 oder 192.168.0.0/24,0/0tcp,80 eintragen. Was von den beiden Möglichkeiten ist denn richtig.
"192.168.0.0/24,0/0,tcp,80" sollte funktionieren. In den Beispielen wurde offensichtlich ein Komma vergessen. Und Du hast dummerweise das falsche Beispiel benutzt...
Also an welcher Stelle bestehen nun die Kommunikationsschwierigkeiten zwischen mir und der SuSEfirewall?
Tippfehler? Gruss horst
On Thursday 29 July 2004 20:31, Horst Mueller wrote:
"192.168.0.0/24,0/0,tcp,80" sollte funktionieren. In den Beispielen wurde offensichtlich ein Komma vergessen. Und Du hast dummerweise das falsche Beispiel benutzt...
Danke! Mit der Syntax lässt sich die Firewall ohne Fehlermeldung starten. Allerdings hab ich nicht den erwünschten Effekt. Ich dachte wenn ich "192.168.0.0/24,0/0,tcp,80" angeben können alle Clients im lokalen Netz ohne Probleme surfen und alle anderen Programme die auf einem anderen Port laufen, z.B. Filesharing verweigern ihren ordnungsgemäßen Dienst. Leider kann ich, gebe ich oben genanntes an, mit den Clients nicht mehr ins Netz. Es ist so, als wäre kein Masquerading aktiviert. Auch ein Ping o.ä. geht nicht durch. Nehme ich jedoch ",0/0,tcp,80" wieder weg, dann klappt alles wieder. Ich habe mir mal die Connections unter iptraf angeschaut die es gibt, wenn man bei funktionierendem Masquerading aus dem internen Netz eine Webseite aufruft. Auf dem Zielserver wird eine Verbindund auf Port 80 aufgemacht. Auf meinem Gateway wird jedoch ein Port um 35000 benutzt. Daraufhin habe ich in der SuSEfirewall allow incoming highports für tcp auf yes gesetzt. Kein Erfolg. Mache ich einen generellen Denkfehler und ich kann mein Ziel über diesen Weg gar nicht erreichen oder ist am Router irgendwas faul? MfG Marco
Also an welcher Stelle bestehen nun die Kommunikationsschwierigkeiten zwischen mir und der SuSEfirewall?
Tippfehler?
Gruss horst
Hallo, Marco Röben wrote:
On Thursday 29 July 2004 20:31, Horst Mueller wrote:
"192.168.0.0/24,0/0,tcp,80" sollte funktionieren.
Danke! Mit der Syntax lässt sich die Firewall ohne Fehlermeldung starten.
Allerdings hab ich nicht den erwünschten Effekt. Ich dachte wenn ich "192.168.0.0/24,0/0,tcp,80" angeben können alle Clients im lokalen Netz ohne Probleme surfen und alle anderen Programme die auf einem anderen Port laufen, z.B. Filesharing verweigern ihren ordnungsgemäßen Dienst.
So sollte es sein.
Leider kann ich, gebe ich oben genanntes an, mit den Clients nicht mehr ins Netz. Es ist so, als wäre kein Masquerading aktiviert. Auch ein Ping o.ä. geht nicht durch. Nehme ich jedoch ",0/0,tcp,80" wieder weg, dann klappt alles wieder.
Ein Ping _darf_ auch nicht mehr durch. Du hast kein ICMP erlaubt... Wahrscheinlich fehlt DNS. Was sagt "tail -f /var/log/messages", wenn Du vom Client einen Verbindungsaufbau versuchst? Versuch "192.168.0.0/24,0/0,tcp,80 192.168.0.0/24,0/0,udp,53"
Mache ich einen generellen Denkfehler und ich kann mein Ziel über diesen Weg
Sobald Du für die zu maskierenden Netze/Hosts Beschränkungen hinsichtlich Service/Ports vornimmst, solltest Du _alle_ notwendigen berücksichtigen. Gruss horst
On Friday 30 July 2004 01:57, Horst Mueller wrote:
Ein Ping _darf_ auch nicht mehr durch. Du hast kein ICMP erlaubt...
Hab ichs mir doch gedacht.
Wahrscheinlich fehlt DNS. Was sagt "tail -f /var/log/messages", wenn Du vom Client einen Verbindungsaufbau versuchst? Versuch "192.168.0.0/24,0/0,tcp,80 192.168.0.0/24,0/0,udp,53"
Danke! Das wars. Irgendwie logisch.
Sobald Du für die zu maskierenden Netze/Hosts Beschränkungen hinsichtlich Service/Ports vornimmst, solltest Du _alle_ notwendigen berücksichtigen.
Ok. Daraufhin habe ich ein wenig weiter an den Einstellungen gespielt. Ziel: smtp, pop3, nntp und ftp sollen für die Nutze um Netz uneingeschränkt zur Verfügung stehen. Ein wenig gegoogelt, gelesene und über /etc/services die entsprechenden Ports rausgesucht. smtp, pop3 und nntp waren überhaupt kein Problem. Bei ftp konnte ich mich zu einem Server verbinden und das wars dann auch. Daten wurden keine mehr übertragen. Bis ich herausgefunden habe, daß es eine sogenannte "große- bzw. kleine Freischaltung" von ftp-Servern gibt (http://cert.uni-stuttgart.de/filter/ftp-server.php). Daraufhin habe ich die Ports 1024:65535 freigegeben. Nun funktioniert es wunderbar. Ich frage mich jetzt: Warum versuche ich möglich viele Ports ins Nirvana zu schicken, wenn ich die meisten für so ein alltägliches Protokoll wie ftp doch durchlassen muss? Wie kann ich dann die Nutzung der ganzen Filesharing-Tools einschränken und doch den Nutzen ftp zugänglich machen? Hast Du vielleicht einen guten Link zur Hand, der solch eine Problematik beschäftigt? Bei meiner Odysee durch das www hab ich bis jetzt noch nichts brauchbares gefunden. MfG Marco
Hallo, Marco Röben wrote: [....]
(http://cert.uni-stuttgart.de/filter/ftp-server.php). Daraufhin habe ich die Ports 1024:65535 freigegeben. Nun funktioniert es wunderbar.
Ich frage mich jetzt: Warum versuche ich möglich viele Ports ins Nirvana zu schicken, wenn ich die meisten für so ein alltägliches Protokoll wie ftp doch durchlassen muss? Wie kann ich dann die Nutzung der ganzen Filesharing-Tools einschränken und doch den Nutzen ftp zugänglich machen?
Die Antwort auf Deine Fragen lautet: PROXY (z.B. Squid). Ein sicherheitsbewusster Admin wird seinen Usern wohl nur in Ausnahmefällen direkten Zugang zum Internet gestatten. HTTP/FTP Zugriffe sollte ausschliesslich über einen Proxy erfolgen. Dann sind nur wenige Ports zu öffnen, und Filesharing ist garantiert ausgeschlossen... Auch der direkte Zugriff auf SMTP und POP muss nicht sein. Ein lokaler Server ist die bessere Alternative.
Hast Du vielleicht einen guten Link zur Hand, der solch eine Problematik beschäftigt? Bei meiner Odysee durch das www hab ich bis jetzt noch nichts brauchbares gefunden.
Hmm... Zum Proxy Squid lohnt sich ein Blick ins Handbuch. Zur SuSEfirewall2 gibts nen Link;-) http://susefaq.sourceforge.net/guides/fw_manual.html Gruss horst
On Friday 30 July 2004 14:42, Horst Mueller wrote:
Die Antwort auf Deine Fragen lautet: PROXY (z.B. Squid).
Irgendwie hab ichs geahnt. :-)
Ein sicherheitsbewusster Admin wird seinen Usern wohl nur in Ausnahmefällen direkten Zugang zum Internet gestatten. HTTP/FTP Zugriffe sollte ausschliesslich über einen Proxy erfolgen. Dann sind nur wenige Ports zu öffnen, und Filesharing ist garantiert ausgeschlossen...
Dann wird das so gemacht werden. Ansonsten habe ich noch eine Konfiguration von iptables gefunden die das ftp Problem über stateful filtering löst (http://www.sns.ias.edu/~jns/security/iptables/rules.html). Das wäre ja auch eine Möglichkeit mehr Sicherheit ohne zwischengeschalteten Proxy zu bekommen. Der Nachteil(?) ist natürlich, daß ich sie SuSEfirewall nicht mehr brauche, sondern mich direkt mit den Feinheiten von iptables herumschlage.
Auch der direkte Zugriff auf SMTP und POP muss nicht sein. Ein lokaler Server ist die bessere Alternative.
Die Konfiguration wollte ich mir erstmal ersparen. Hab da nämlich (noch) überhaupt keine Ahnung davon. Und solange werden die Ports einfach freigegeben. Schließlich wohne ich hier nicht in Fort Knox.
Hmm... Zum Proxy Squid lohnt sich ein Blick ins Handbuch. Zur SuSEfirewall2 gibts nen Link;-) http://susefaq.sourceforge.net/guides/fw_manual.html
Wow! Das Dokument ist ja wirklich umfangreich. Mal schauen wieviele neue Anregungen ich darausholen kann. Alles in allem habe ich jetzt wieder genug Material, damit mir in meiner Freizeit nicht langweilig wird. :-) MfG Marco
participants (2)
-
Horst Mueller -
Marco Röben