SuSE Firewall 2. Rechner anhand MAC sperren
Hallo zusammen, bei einem bekannten habe ich einen kleinen Server eingerichtet der auch das LAN mit Internet versorgt also NAT macht. Ich habe die SuSE-Firewall2 eingerichtet. Nun sollen die beiden Windows-Rechner komplett für Internet gesperrt werden. Ich habe selbiges bei uns in der Firma (Debian Firewall) mit: iptables -A FORWARD -m mac --mac-source 00:02:2d:2f:1e:c0 -j DROP Kann ich sowas auch mit der SuSE Firewall2 machen? Natürlich per Yast einrichten. Das ich es als Skript ausführen kann ist mir schon klar. Viele Grüße Sven
Hallo Sven, Am Sonntag 6 Juni 2004 13:26 schrieb Sven Gehr:
iptables -A FORWARD -m mac --mac-source 00:02:2d:2f:1e:c0 -j DROP
Kann ich sowas auch mit der SuSE Firewall2 machen? Natürlich per Yast einrichten. Das ich es als Skript ausführen kann ist mir schon klar.
Hmmm... guck mal nach der Variablen FW_CUSTOMRULES: [...] # #FW_CUSTOMRULES="/etc/sysconfig/SuSEfirewall2-custom" FW_CUSTOMRULES="" ## Type: yesno ## Default: no # [...] Ich denke, das ist hier so gemeint, daß Deine eigenen Regeln dann eingebunden werden. Das SuSE eigene Skript kann ja mal durch ein Update überschrieben werden (oder einfach durch SuSEconfig, weil es meint, es stimme was nicht). Gibt es hier jemanden, der das macht? Ich frage mich nämlich, ob man mit einem so angehängten Firewal-Skript viel Unsinn machen kann oder ob das relativ gefahrlos in Betrieb zu nehmen geht. Muß das demnächst nämlich auch machen. Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
Hallo zusammen, Am Sonntag, 6. Juni 2004 14:12 schrieb Helga Fischer:
schrieb Sven Gehr:
iptables -A FORWARD -m mac --mac-source 00:02:2d:2f:1e:c0 -j DROP Kann ich sowas auch mit der SuSE Firewall2 machen? Natürlich per Yast einrichten. Das ich es als Skript ausführen kann ist mir schon klar.
Hmmm... guck mal nach der Variablen FW_CUSTOMRULES: #FW_CUSTOMRULES="/etc/sysconfig/SuSEfirewall2-custom" FW_CUSTOMRULES="" ## Type: yesno ## Default: no
Ich habe mir das gerade mal angesehen. Allerdings finde ich da nichts von:
## Type: yesno
Sondern "Beliebiger Wert". Ich benutze 9.1. Was mir absolut nicht klar ist. Wo sucht SuSE das Skript bzw. wie sage ich der Firewall2 wo mein Zusatzskript liegt.
Ich denke, das ist hier so gemeint, daß Deine eigenen Regeln dann eingebunden werden. Das SuSE eigene Skript kann ja mal durch ein Update überschrieben werden (oder einfach durch SuSEconfig, weil es meint, es stimme was nicht).
ok, das würde logisch klingen die Möglichkeit Rechner an der Firewall zu sperren ist doch etwas das jede Firewall braucht, oder? Das wäre doch ein guter VV an SuSE ;-)
Gibt es hier jemanden, der das macht? Ich frage mich nämlich, ob man mit einem so angehängten Firewal-Skript viel Unsinn machen kann oder ob das relativ gefahrlos in Betrieb zu nehmen geht.
Muß das demnächst nämlich auch machen.
Ein Skript macht imme nur soviel Unsinn wie der der es schreibt. *grins* Viele Grüße Sven
Hallo Sven, Am Sonntag 6 Juni 2004 21:22 schrieb Sven Gehr:
Am Sonntag, 6. Juni 2004 14:12 schrieb Helga Fischer:
schrieb Sven Gehr:
iptables -A FORWARD -m mac --mac-source 00:02:2d:2f:1e:c0 -j DROP
Hmmm... guck mal nach der Variablen FW_CUSTOMRULES:
Ich habe mir das gerade mal angesehen. Allerdings finde ich da nichts von:
## Type: yesno
Sondern "Beliebiger Wert". Ich benutze 9.1.
Ich noch eine 8.2 und eine 9.0, auf der ich jetzt aber nicht nachgeguckt habe.
Was mir absolut nicht klar ist. Wo sucht SuSE das Skript bzw. wie sage ich der Firewall2 wo mein Zusatzskript liegt.
Ich hätte das jetzt so verstanden, daß Du Dein Skript ablegen kannst, wo Du lustig bist. Sollte vielleicht ein eher logischer Ort sein. Den absoluten Pfad, würde ich meinen, schiebst Du dann in die vorbereitete Variable. Ansonsten hat mir die SuSEfirewall schon einiges an Kopfzerbrechen bereitet. Leider ist das Puzzle immer noch nicht ganz zusammengesetzt. /etc/sysconfig/scripts/SuSEfirewall2-custom /etc/sysconfig/SuSEfirewall2 /sbin/SuSEfirewall2 Sind jedenfalls mal die Hauptbestandteile. (Die init-Skripten habe ich unterschlagen). Ich habe schon gesehen, daß man sein Firewalling auch etwas einfacher gestalten kann.
die Möglichkeit Rechner an der Firewall zu sperren ist doch etwas das jede Firewall braucht, oder? Das wäre doch ein guter VV an SuSE ;-)
Hmmm... ja, könnte sein. Sonst kannst Du SuSEs Firewall ja auch ganz deaktivieren und Dein eigenes Skript verwenden. Ich glaube, das machen hier so einige. [...]
Ein Skript macht imme nur soviel Unsinn wie der der es schreibt. *grins*
*g* Anfänger zündeln halt - gezwungenermaßen. Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
Hallo, Am Sonntag, 6. Juni 2004 21:37 schrieb Helga Fischer: (...)
Ich noch eine 8.2 und eine 9.0, auf der ich jetzt aber nicht nachgeguckt habe.
ich habe jetzt mal schnell bei meiner SuSE 8.2 nachgeschaut. Ich benötigte diesen Ausgang zur Firewall wegen der speziell gesetzten IP-Nr. für den Pocket-PC mit Synce.
Was mir absolut nicht klar ist. Wo sucht SuSE das Skript bzw. wie sage ich der Firewall2 wo mein Zusatzskript liegt.
Ich hätte das jetzt so verstanden, daß Du Dein Skript ablegen kannst, wo Du lustig bist. Sollte vielleicht ein eher logischer Ort sein. Den absoluten Pfad, würde ich meinen, schiebst Du dann in die vorbereitete Variable.
Dem Grunde nach ist es wohl sinnvoll, die Muster im Verzeichnis scripts liegen zu lassen und dort sein eigenes Script (unter Zuhilfenahme der Musterscripte von SuSE) zu basteln und dort unter eigenem Namen abzulegen.
Ansonsten hat mir die SuSEfirewall schon einiges an Kopfzerbrechen bereitet. Leider ist das Puzzle immer noch nicht ganz zusammengesetzt.
/etc/sysconfig/scripts/SuSEfirewall2-custom
In dieses Verzeichnis gehört (logisch) das eigene Script. Aufgerufen wird es / bzw. zugelassen von der SuSE_FW2 durch Eintrag des Pfades in die vorbereitete Variable FW_CUSTOMRULES. Aber wie so schön im Kommentar zu der Variable beschrieben, gibt's dafür keine Hilfe (und Garantie ;-) ) von SuSE. Evtl. ist es sinnvoll, die konkreten Regeln auf der SuSE-Security-Liste anzusprechen. Gruß Andreas -- ## Content Developer OpenOffice.org: lang/DE ## Freie Office-Suite für Linux, Mac, Windows, Solaris ## http://de.openoffice.org ## Meine Seite http://www.amantke.de
Hallo Andreas, Am Sonntag 6 Juni 2004 22:27 schrieb Andreas Mantke:
Aber wie so schön im Kommentar zu der Variable beschrieben, gibt's dafür keine Hilfe (und Garantie ;-) ) von SuSE.
*urghs* Du meinst, ich muß zähneknirschend das Gateway aus seiner Ecke zerren, wo es friedlich vor sich hin lärmt, Tastatur und Bildschirm dran hängen und selbst gucken, warum bei mir Internet nicht mehr duud? Das ist aber unfreundlich und kein lieber Rat für den Sonntagabend ;)) Internette Grüße, Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
Am Sonntag 6 Juni 2004 22:47 schrieb Helga Fischer: an die Liste, obwohl Andreas gemeint war. Sorry, das sollte eine PM werden. Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
Am Sonntag 6 Juni 2004 22:49 schrieb Helga Fischer:
Am Sonntag 6 Juni 2004 22:47 schrieb Helga Fischer:
an die Liste, obwohl Andreas gemeint war. Sorry, das sollte eine PM werden.
KMail war's. KMail war's. Ein 'r' macht keine private Antwort mehr, sondern erzeugt auch eine Antwort an die Liste - trotz vorhandener Einrichtung eines 'l'. [shift + a] ist jetzt eine PM an den Autor. *argl* Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
Hallo Helga, hallo Leute, Am Montag, 7. Juni 2004 14:18 schrieb Helga Fischer:
Am Sonntag 6 Juni 2004 22:49 schrieb Helga Fischer:
an die Liste, obwohl Andreas gemeint war. Sorry, das sollte eine PM werden.
KMail war's. KMail war's.
Stimmt. Willkommen bei KDE 3.2.x ;-) Da hat sich eine Tastenbelegung geändert (bzw. es wurde ein neues "Feature" auf die "r"-Taste gelegt) Außerdem hast Du hast nicht sonderlich gut aufgepasst ;-)
Ein 'r' macht keine private Antwort mehr, sondern erzeugt auch eine Antwort an die Liste - trotz vorhandener Einrichtung eines 'l'.
[shift + a] ist jetzt eine PM an den Autor.
*argl*
Sag aber nicht, Du wärst nicht vorgewarnt gewesen - ich habe das schon vor einiger Zeit auf sl-etikette angesprochen. Hier nochmal für alle: ===================================================================== Dann hast Du mit KMail aus KDE 3.2 wohl mehr "Spaß" - es scheint bei Verwendung der "Antworten"-Funktion (liegt üblicherweise auf dem Tastenkürzel "r") an die Liste zu antworten, so es eine solche im Header zu erkennen glaubt. Diese Änderung hat dann auch mal dazu geführt, dass eine als PM gedachte Mail von mir auf suse-linux gelandet ist... Dummerweise wird dieses neue "Feature" (kann man so oder so sehen) nicht im Startbild [1] erwähnt. Um das alte Verhalten wiederherzustellen, habe ich mir übrigens das Tastenkürzel "r" umbelegt auf "Antwort an Verfasser". Damit geht die Antwort wirklich wieder an den, der im From (oder Reply-To) steht. Es wundert mich übrigens, dass nicht noch mehr PMs in suse-linux aufgetaucht sind. [...] Naja, warten wir ab, bis mehr Leute KDE 3.2 im Einsatz haben ;-) [1] Die Infoseite, wenn man in der Ordnerliste ganz oben auf "Lokale Ordner" klickt ===================================================================== Soweit der technische Teil. Unnötig zu erwähnen, was Du darauf geantwortet hast (stark gekürzt): | Danke für die Warnung. Ich werde nach dem Umstieg aufmerksamer als | sonst sein. *SCNR* Gruß Christian Boltz PS: Ich bin vor einiger Zeit auch schon auf dieses neue "Feature" reingefallen, also mach Dir nix draus ;-) --
Warum versucht Ihr, die Leute zu völlig unnötiger Arbeit zu zwingen? Eine geheime Verschwoerung mit Bestattungsunternehmern zur Herzinfarktverbreitung. [> Gordon Cichon und Michael Matz in suse-programming]
Hallo, Am Montag, 7. Juni 2004 23:45 schrieb Christian Boltz:
Hallo Helga, hallo Leute,
Am Montag, 7. Juni 2004 14:18 schrieb Helga Fischer:
Am Sonntag 6 Juni 2004 22:49 schrieb Helga Fischer:
an die Liste, obwohl Andreas gemeint war. Sorry, das sollte eine PM werden.
KMail war's. KMail war's.
Stimmt. Willkommen bei KDE 3.2.x ;-)
da gibt es noch andere neue Features. Regelmäßig klaut mir KMail die Performance meines P III und nimmt sich die Zeit, die Ordner (alle Maildir) durchzusehen und wahrscheinlich die Verzeichnisse zu aktualisieren. Gibt es da einen Knopf, um KMail das abzugewöhnen (oder zumindest benutzerfreundlich einzustellen): Irgendwie ein bißchen albern immer auf die eigenen Aktionen (Mausklicks etc.) lange warten zu müssen ;-( Unter Einstellungen habe ich nichts finden können. Gruß Andreas -- ## Content Developer OpenOffice.org: lang/DE ## Freie Office-Suite für Linux, Mac, Windows, Solaris ## http://de.openoffice.org ## Meine Seite http://www.amantke.de
participants (4)
-
Andreas Mantke -
Christian Boltz -
Helga Fischer -
Sven Gehr