FW-Meldungen in /var/log/messages
Hallo Liste, ich habe mittlerweile geschafft einen PocketPC über synce mit meiner SuSE 8.2 zu synchronisieren. Allerdings funktioniert der Transfer nur, wenn die FW2 gestoppt ist. Bei eingeschalteter FW2 bekomme ich am laufenden Band folgende Meldungen in /var/log/messages: Jan 11 20:22:56 linux kernel: SuSE-FW-DROP-ANTI-SPOOF IN=ppp0 OUT= MAC= SRC=192.168.131.201 DST=192.168.131.102 LEN=64 TOS=0x00 PREC=0x00 TTL=128 ID=60971 DF PROTO=TCP SPT=1201 DPT=5679 WINDOW=32768 RES=0x00 SYN URGP=0 OPT (020405B4010303000101080A000000000000000001010402) So wie ich das verstehe, will 192.168.131.102 Verbindung aufnehmen, die verworfen wird. route -n sagt folgendes: Ziel Router Genmask Flags Metric Ref Use Iface 192.168.131.201 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0 192.168.22.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 In der FW habe ich folgende Eintragungen: FW_DEV_EXT="ppp0" FW_DEV_INT="eth1" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="192.168.0.0/16" FW_PROTECT_FROM_INTERNAL="no" FW_AUTOPROTECT_SERVICES="yes" FW_SERVICES_EXT_TCP="13 10001" FW_SERVICES_EXT_UDP="13" FW_SERVICES_INT_TCP="22 80 119 8080 10001 139 5678 5679 990" FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS" Die restlichen Einstellungen sind default. So wie es aussieht, habe ich irgendwo etwas vergessen freizugeben. Aber wo? Auf den Seiten von Synce habe ich gelesen, daß der Handheld Kontakt zu den Ports 5678 und 5679 benötige und der PC Zugriff auf Port 990 auf dem Handheld benötige. Ich habe diese deshalb nachträglich eingetragen. Das hat aber nichts gebracht. Danke für Eure Tipps und schönen Abend Andreas -- ## Content Developer OpenOffice.org: lang/DE ## Freie Office-Suite für Linux, Mac, Windows, Solaris ## http://de.openoffice.org ## Meine Seite http://www.amantke.de
Hallo Andreas, hallo Leute, Am Sonntag, 11. Januar 2004 22:06 schrieb Andreas Mantke:
ich habe mittlerweile geschafft einen PocketPC über synce mit meiner SuSE 8.2 zu synchronisieren. Allerdings funktioniert der Transfer nur, wenn die FW2 gestoppt ist. Bei eingeschalteter FW2 bekomme ich am laufenden Band folgende Meldungen in /var/log/messages:
Jan 11 20:22:56 linux kernel: SuSE-FW-DROP-ANTI-SPOOF IN=ppp0 OUT= MAC= SRC=192.168.131.201 DST=192.168.131.102 LEN=64 TOS=0x00 PREC=0x00 TTL=128 ID=60971 DF PROTO=TCP SPT=1201 DPT=5679 WINDOW=32768 RES=0x00 SYN URGP=0 OPT (020405B4010303000101080A000000000000000001010402)
Das ist ein bekanntes "Feature" der SuSEfirewall. Die Pakete kommen über ein Device oder an eine IP, die die Firewall sie nicht erwartet, und werden deshalb als böse eingestuft und verworfen. Das Problem kann man mit einer Custom-Regel umgehen. Duchsuche mal das Listenarchiv nach "anti-spoof", da sollte sich was passendes finden ;-) In den meisten Fällen geht es übrigens darum, einen Server "von innen" mit seiner externen IP anzusprechen. Gruß Christian Boltz -- Wer braucht z.B. einen 3 GHz - getakteten PC mit 1 GByte DDR-RAM, wenn dann daran nur eine lahme DMA-133-IDE-Festplatte rödelt, aber auch ein geiles Modem für superschnelles Surfvergnügen und eine analoge TV-Karte integriert sind? Das ist wie ein Ferrari auf Holzspeichenrädern und mit 2 x 15 Watt Lenco-Auto-Kassettenradio im Handschuhfach. [Matthias Houdek in suse-linux]
Hallo Christian, hallo Liste, Am Mittwoch, 14. Januar 2004 00:50 schrieb Christian Boltz:
Hallo Andreas, hallo Leute,
Das ist ein bekanntes "Feature" der SuSEfirewall. Die Pakete kommen über ein Device oder an eine IP, die die Firewall sie nicht erwartet, und werden deshalb als böse eingestuft und verworfen.
Das Problem kann man mit einer Custom-Regel umgehen.
Duchsuche mal das Listenarchiv nach "anti-spoof", da sollte sich was passendes finden ;-) In den meisten Fällen geht es übrigens darum, einen Server "von innen" mit seiner externen IP anzusprechen.
danke für den Tip. Werde Morgen Abend 'mal das Archiv durchsuchen. Heute komme ich leider nicht mehr dazu. Kleine Zusatzfrage / Verständnisfrage (irgendwie bin ich verunsichert): Ich weiß im Moment nicht, ob das Script ip-up direkt eine Internetverbindung herstellt. Ich habe nämlich festgestellt, daß dieses nach Aufruf von synce-serial-start aufgerufen wird (Eintrag im log /var/log/messages), obwohl der PocketPC lt. Konfiguration nur auf das interne Netz zugreifen soll. Bisher bin ich immer davon ausgegangen, daß ip-up eine Verbindung über ppp0 aufbaut. Danke für einen kurzen Hinweis Andreas -- ## Content Developer OpenOffice.org: lang/DE ## Freie Office-Suite für Linux, Mac, Windows, Solaris ## http://de.openoffice.org ## Meine Seite http://www.amantke.de
Hallo Christian, Am Mittwoch, 14. Januar 2004 21:58 schrieb Andreas Mantke:
Hallo Christian, hallo Liste,
Am Mittwoch, 14. Januar 2004 00:50 schrieb Christian Boltz:
Hallo Andreas, hallo Leute,
Das ist ein bekanntes "Feature" der SuSEfirewall. Die Pakete kommen über ein Device oder an eine IP, die die Firewall sie nicht erwartet, und werden deshalb als böse eingestuft und verworfen.
Das Problem kann man mit einer Custom-Regel umgehen.
Duchsuche mal das Listenarchiv nach "anti-spoof", da sollte sich was passendes finden ;-) In den meisten Fällen geht es übrigens darum, einen Server "von innen" mit seiner externen IP anzusprechen.
danke für den Tip. Werde Morgen Abend 'mal das Archiv durchsuchen. Heute komme ich leider nicht mehr dazu.
habe 'mal das Archiv durchsucht über marc.theaimsgroup.com. Da habe ich außer unseren Mails in diesem Thema nichts gefunden ;-( Fällt Dir evtl. noch ein anderer Suchbegriff ein? Schönen Abend Andreas -- ## Content Developer OpenOffice.org: lang/DE ## Freie Office-Suite für Linux, Mac, Windows, Solaris ## http://de.openoffice.org ## Meine Seite http://www.amantke.de
Hallo, Andreas Mantke wrote:
Am Mittwoch, 14. Januar 2004 21:58 schrieb Andreas Mantke:
Am Mittwoch, 14. Januar 2004 00:50 schrieb Christian Boltz:
Das Problem kann man mit einer Custom-Regel umgehen.
Duchsuche mal das Listenarchiv nach "anti-spoof", da sollte sich was passendes finden ;-) In den meisten Fällen geht es übrigens darum, einen Server "von innen" mit seiner externen IP anzusprechen.
danke für den Tip. Werde Morgen Abend 'mal das Archiv durchsuchen. Heute komme ich leider nicht mehr dazu.
habe 'mal das Archiv durchsucht über marc.theaimsgroup.com. Da habe ich außer unseren Mails in diesem Thema nichts gefunden ;-( Fällt Dir evtl. noch ein anderer Suchbegriff ein?
Du hast wirklich ausschliesslich "anti-spoof" gesucht? Und Dir kam zu keinem Zeitpunkt der Gedanke, nach "spoof" oder "spoofing" zu suchen? Gruss horst
Hallo Horst, Am Donnerstag, 15. Januar 2004 21:39 schrieb Horst Mueller:
Hallo,
Du hast wirklich ausschliesslich "anti-spoof" gesucht? Und Dir kam zu keinem Zeitpunkt der Gedanke, nach "spoof" oder "spoofing" zu suchen?
ja. Das kommt davon, wenn man einen dicken Kopf hat und sich mit 'ner beginnenden Erkältung 'rumplagt. Dann gehört man wohl eher ins Bett als vor die Box ;-( Aber vielen Dank für Deine Winke mit Zaunpfählen (kann ich heute gebrauchen). Gruß Andreas -- ## Content Developer OpenOffice.org: lang/DE ## Freie Office-Suite für Linux, Mac, Windows, Solaris ## http://de.openoffice.org ## Meine Seite http://www.amantke.de
Hallo Andreas, hallo Leute, Am Mittwoch, 14. Januar 2004 21:58 schrieb Andreas Mantke: [...]
Kleine Zusatzfrage / Verständnisfrage (irgendwie bin ich verunsichert): Ich weiß im Moment nicht, ob das Script ip-up direkt eine Internetverbindung herstellt. Ich habe nämlich festgestellt, daß dieses nach Aufruf von synce-serial-start aufgerufen wird (Eintrag im log /var/log/messages), obwohl der PocketPC lt. Konfiguration nur auf das interne Netz zugreifen soll. Bisher bin ich immer davon ausgegangen, daß ip-up eine Verbindung über ppp0 aufbaut.
ip-up baut keine Verbindung auf. Kannst Du auch gern durch Betrachten der ip-up nachsehen. Es ist genau umgekehrt - wenn eine Verbindung aufgebaut wird, wird ip-up aufgerufen. Ich kann Dir allerdings nicht sagen, warum die ip-ub beim Syncen eines PocketPC ausgeführt wird. Hmm, der PocketPC wird nicht zufällig über den pppd angesprochen, oder? Bei Interesse kannst Du ja mal die Parameter, die ip-up bekommt mitloggen lassen: echo "$@" in die ip-up.local schreiben und dafür sorgen, dass diese ausführbar ist (chmod 755). Das Ergebnis landet dann in /var/log/messages. Gruß Christian Boltz --
Habe auch vor die Festplatte zu tauchen. Aber bevor ich diesen Tauch- prozess durchziehe, will ich auch eine andere Ursache nicht aus- schliessen, dass evtl. auch die Festplatte einen latenten Defekt hat. Hm, und in was taucht ihr die Festplatten? Heißwachs, Leinöl, ..? [> Pieter Wenk und Matthias Houdek in suse-linux]
Hallo Christian, Am Donnerstag, 15. Januar 2004 22:00 schrieb Christian Boltz:
Hallo Andreas, hallo Leute,
Am Mittwoch, 14. Januar 2004 21:58 schrieb Andreas Mantke: [...]
Kleine Zusatzfrage / Verständnisfrage (irgendwie bin ich verunsichert): Ich weiß im Moment nicht, ob das Script ip-up direkt eine Internetverbindung herstellt. Ich habe nämlich festgestellt, daß dieses nach Aufruf von synce-serial-start aufgerufen wird (Eintrag im log /var/log/messages), obwohl der PocketPC lt. Konfiguration nur auf das interne Netz zugreifen soll. Bisher bin ich immer davon ausgegangen, daß ip-up eine Verbindung über ppp0 aufbaut.
ip-up baut keine Verbindung auf. Kannst Du auch gern durch Betrachten der ip-up nachsehen. Es ist genau umgekehrt - wenn eine Verbindung aufgebaut wird, wird ip-up aufgerufen.
aha. Das script habe ich als Nichttechniker nur sehr schlecht verstanden. Aber irgendwie habe ich auch keine vernünftige Erklärung zu dem script (weder in der Doku von SuSE noch in der Datei selbst finden können).
Ich kann Dir allerdings nicht sagen, warum die ip-ub beim Syncen eines PocketPC ausgeführt wird. Hmm, der PocketPC wird nicht zufällig über den pppd angesprochen, oder?
So wie es aussieht (gestern noch einmal geschaut) scheint der pppd angesprochen zu werden.
Bei Interesse kannst Du ja mal die Parameter, die ip-up bekommt mitloggen lassen: echo "$@" in die ip-up.local schreiben und dafür sorgen, dass diese ausführbar ist (chmod 755). Das Ergebnis landet dann in /var/log/messages.
ich werde es versuchen. Das ip-up-local gehört dann in das selbe Verzeichnis wie ip-up, wenn ich nicht irre. Gruß Andreas -- ## Content Developer OpenOffice.org: lang/DE ## Freie Office-Suite für Linux, Mac, Windows, Solaris ## http://de.openoffice.org ## Meine Seite http://www.amantke.de
Hallo, Am Thu, 15 Jan 2004, Andreas Mantke schrieb:
Am Donnerstag, 15. Januar 2004 22:00 schrieb Christian Boltz:
Am Mittwoch, 14. Januar 2004 21:58 schrieb Andreas Mantke: [...]
Kleine Zusatzfrage / Verständnisfrage (irgendwie bin ich verunsichert): Ich weiß im Moment nicht, ob das Script ip-up direkt eine Internetverbindung herstellt. Ich habe nämlich festgestellt, daß dieses nach Aufruf von synce-serial-start aufgerufen wird (Eintrag im log /var/log/messages), obwohl der PocketPC lt. Konfiguration nur auf das interne Netz zugreifen soll. Bisher bin ich immer davon ausgegangen, daß ip-up eine Verbindung über ppp0 aufbaut.
ip-up baut keine Verbindung auf. Kannst Du auch gern durch Betrachten der ip-up nachsehen. Es ist genau umgekehrt - wenn eine Verbindung aufgebaut wird, wird ip-up aufgerufen.
aha. Das script habe ich als Nichttechniker nur sehr schlecht verstanden. Aber irgendwie habe ich auch keine vernünftige Erklärung zu dem script (weder in der Doku von SuSE noch in der Datei selbst finden können).
Das erschliesst sich eigentlich recht einfach aus dem script selbst, wenn man genug "shell-programming" kann ;) Das ist weitgehend trivial. Was man wissen muss ist: * /etc/ppp/ip-up wird vom PPPD aufgerufen, wenn die Verbindung hergestellt wurde (ist dokumentiert). * /etc/ppp/ip-down wird vom PPPD aufgerufen, wenn die Verbindung beendet wurde (ist dokumentiert). ==== man pppd ==== /etc/ppp/ip-up A program or script which is executed when the link is available for sending and receiving IP packets (that is, IPCP has come up). It is executed with the parameters interface-name tty-device speed local-IP-address remote-IP-address ipparam /etc/ppp/ip-down A program or script which is executed when the link is no longer available for sending and receiving IP packets. This script can be used for undoing the effects of the /etc/ppp/ip-up script. It is invoked in the same manner and with the same param eters as the ip-up script. ==== Die .local Versionen erklaeren sich durch die Zeilen (sinngemaess): test -x /etc/ppp/ip-up.local && . /etc/ppp/ip-up.local "$@" test -x /etc/ppp/ip-down.local && . /etc/ppp/ip-down.local "$@"
Ich kann Dir allerdings nicht sagen, warum die ip-ub beim Syncen eines PocketPC ausgeführt wird. Hmm, der PocketPC wird nicht zufällig über den pppd angesprochen, oder?
So wie es aussieht (gestern noch einmal geschaut) scheint der pppd angesprochen zu werden.
Wenn die Verbindung (auch seriell z.B.) PocketPC <-> PC via PPP hergestellt wird, dann ruft der pppd auch ip-up / ip-down auf. Da muss man dann in ip-up / ip-down ueber das Interface differenzieren.
Bei Interesse kannst Du ja mal die Parameter, die ip-up bekommt mitloggen lassen: echo "$@" in die ip-up.local schreiben und dafür sorgen, dass diese ausführbar ist (chmod 755). Das Ergebnis landet dann in /var/log/messages.
ich werde es versuchen. Das ip-up-local gehört dann in das selbe Verzeichnis wie ip-up, wenn ich nicht irre.
Korrekt. -dnh -- Qual Qual oh Qual wo bist Du oh Qual oh Qual -- B. Brodesser in suse-talk
Hallo David, Christian, * danke erst einmal für die Tipps und Hinweise. Ich habe das Problem jetzt gelöst. Am Freitag, 16. Januar 2004 01:26 schrieb David Haller:
Hallo,
Am Thu, 15 Jan 2004, Andreas Mantke schrieb:
Am Donnerstag, 15. Januar 2004 22:00 schrieb Christian Boltz:
Am Mittwoch, 14. Januar 2004 21:58 schrieb Andreas Mantke: [...] (...)
* /etc/ppp/ip-down wird vom PPPD aufgerufen, wenn die Verbindung beendet wurde (ist dokumentiert).
==== man pppd ==== /etc/ppp/ip-up (...)
/etc/ppp/ip-down (...) ====
An dieser Stelle hatte ich nicht nach einem Manual gesucht. Wieder was dazu gelernt ;-)
Die .local Versionen erklaeren sich durch die Zeilen (sinngemaess):
test -x /etc/ppp/ip-up.local && . /etc/ppp/ip-up.local "$@" test -x /etc/ppp/ip-down.local && . /etc/ppp/ip-down.local "$@"
Ich kann Dir allerdings nicht sagen, warum die ip-ub beim Syncen eines PocketPC ausgeführt wird. Hmm, der PocketPC wird nicht zufällig über den pppd angesprochen, oder?
So wie es aussieht (gestern noch einmal geschaut) scheint der pppd angesprochen zu werden.
Wenn die Verbindung (auch seriell z.B.) PocketPC <-> PC via PPP hergestellt wird, dann ruft der pppd auch ip-up / ip-down auf. Da muss man dann in ip-up / ip-down ueber das Interface differenzieren.
Über die Konfigurationsdatei bekommt der PocketPC eine IP-Nr. und einen DNS-Server (per default ein Dummy) verpasst. Lösung für die Firewall war ein Script entsprechend FWSuSEfirewall2-custom in /etc/sysconfig/scripts. Diese Datei muß dann noch mit Pfad in SuSEFirewallscript unter FW_CUSTOMRULES eingetragen werden und schon funktioniert es. Ich schau 'mal, ob ich die Lösung (ohne Kopfschmerzen) Morgen aufgeschrieben kriege. Gruß Andreas -- ## Content Developer OpenOffice.org: lang/DE ## Freie Office-Suite für Linux, Mac, Windows, Solaris ## http://de.openoffice.org ## Meine Seite http://www.amantke.de
Hallo all, ich versuche jetzt einmal, die Synchronisation eines PocketPC Medion MD 2910 (mit PocketWindows2002) von Anfang an zu beschreiben: Ich benutze eine SuSE 8.2, Kernel 2.4.20. Der PocketPC wird über eine USB-Schnittstelle angesprochen. 1.) Zunächst habe ich von der Synce-Homepage http://synce.sourceforge.net/synce/ die RPMs heruntergeladen und installiert: synce-gnomevfs-0.8-1 synce-trayicon-0.8-1 synce-devel-0.8-1 synce-0.8-1 synce-kde-0.6.1-1 2.) Der PocketPC hat sich mit einer: Vendor Id: 3340 und Product Id: 3326 in USBView gemeldet. Ich habe deshalb als su das ipaq-Modul mit folgeden Parametern aufgerufen: insmod ipaq vendor=0x3340 product=0x3326 (könnte auch in den Kernel als Modul eingebaut werden). 3.) Die Konfiguration von Synce bzw. des PocketPC geschieht mit dem Aufruf des Scripts /usr/bin/synce-serial-config. Diesem Script gibt man als Parameter das Device mit, an dem der PocketPC angebunden ist. Bei dem MD 2910 war dies ttyUSB0 (USB-Port). Weiterhin kann man dem Script noch die IP-Nr. des PocketPC und den Nameserver übergeben. Macht man hier keine Angaben, so werden Default-Werte gesetzt und dies in die Datei /etc/ppp/peers/synce-device geschrieben. Dort kann man notfalls auch die Daten nachschlagen (oder editieren und ändern). 3.) Da die SuSEFirewall2 wegen ihrer Antispoofing-Funktion eine Verbindung mit dem PocketPC verhinderte (Konnte ich anfangs bei ausgeschalteter Firewall testen; später konnte ich sie nicht mehr dauerhaft stoppen.), mußte ich eine Custom-Regel in das Konfigurationsscript der Firewall einbauen. Ich habe dazu eine neue Datei angelegt entsprechend dem Beispiel in FWSuSEfirewall2-custom im Verzeichnis /etc/sysconfig/scripts. In diese Datei habe ich eine neue Regel hineingeschrieben: iptables -A INPUT -j ACCEPT -d 192.168.X.0/24 Das X steht dabei für den IP-Addressraum, dem der PocketPC zugeordnet wird. Diese Daten wurden - wie zuvor geschrieben mit Aufruf des Scripts /usr/bin/synce-serial-config gesetzt. Den Weg zu der Datei, in die ich die Cutom-Regel geschrieben habe, mußte ich noch in die Variable FW_CUSTOMRULES des Firewall2scripts schreiben und die Firewall neu starten. 4) Danach als Benutzer, der auf den PocketPC zugreifen soll, dccm aufrufen. 5) synce-serial-start als su aufrufen. Damit ist der PocketPC eingebunden (Kann man in /var/log/messages nachvollziehen.) und kann vom User benutzt werden. Ich hoffe, diese Beschreibung ist ausführlich genug und hilft anderen weiter, ihre Win-Geräte auch unter Linux zu benutzen ;-) Mir wird es jedenfalls helfen, ohne Umwege schnell 'mal eben eine Datei, die ich mit OpenOffice.org als PocketWord-Datei oder PocketExcel-Datei gespeichert habe, auf den PocketPC zu laden und zu testen. :-)) Gruß Andreas -- ## Content Developer OpenOffice.org: lang/DE ## Freie Office-Suite für Linux, Mac, Windows, Solaris ## http://de.openoffice.org ## Meine Seite http://www.amantke.de
participants (4)
-
Andreas Mantke -
Christian Boltz -
David Haller -
Horst Mueller