Hallo Liste! Irgendeine meiner Firewall-Einstellung ist falsch, aber ich weis jetzt nicht welche. :-( Ich habe nur die SuSEfirewall2 von der Suse 7.3 DVD installiert und ich verwende auch den Original Suse Kernel 2.4.10 von DVD. Die Internet-Einwahl erfolgt über ISDN und drei verschiedenen byCall Anbietern. Folgende Einstellungen habe ich in der firewall2.rc.config: FW_DEV_EXT="ippp0 ippp1 ippp2" FW_DEV_INT="eth0" FW_DEV_DMZ="" FW_ROUTE="no" FW_MASQUERADE="no" FW_MASQ_DEV="" FW_MASQ_NETS="" FW_PROTECT_FROM_INTERNAL="yes" FW_AUTOPROTECT_SERVICES="yes" FW_SERVICES_EXT_TCP="" FW_SERVICES_EXT_UDP="" FW_SERVICES_EXT_IP="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_DMZ_IP="" FW_SERVICES_INT_TCP="" FW_SERVICES_INT_UDP="" FW_SERVICES_INT_IP="" FW_TRUSTED_NETS="" FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" FW_SERVICE_AUTODETECT="yes" FW_SERVICE_DNS="no" FW_SERVICE_DHCLIENT="no" FW_SERVICE_DHCPD="no" FW_SERVICE_SQUID="no" FW_SERVICE_SAMBA="no" FW_FORWARD="no" FW_FORWARD_MASQ="" FW_REDIRECT="" FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="no" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="yes" FW_KERNEL_SECURITY="yes" FW_STOP_KEEP_ROUTING_STATE="no" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_PING_EXT="no" FW_ALLOW_FW_TRACEROUTE="no" FW_ALLOW_FW_SOURCEQUENCH="yes" FW_IGNORE_FW_BROADCAST="yes" FW_ALLOW_CLASS_ROUTING="no" Das Einstellen habe ich direkt in der config-Datei probiert und auch mit yast2. Beides ohne Erfolg. Hat jemand eine Idee, was in meiner config falsch ist? Gruss, Jürgen
hi, On Sun, Feb 03, 2002 at 08:27:05AM +0100, Jürgen Fahnenschreiber wrote:
Ich habe nur die SuSEfirewall2 von der Suse 7.3 DVD installiert und mit der SuSEfirewall2 hab ich zwar noch nichts zu tun gehabt, aber vielleicht helfen meine fragen zur konfig unten ja auch weiter ;) [...] Folgende Einstellungen habe ich in der firewall2.rc.config:
FW_DEV_EXT="ippp0 ippp1 ippp2" da sollte doch ippp0 ausreichend sein oder hast du 3 isdnkarten? FW_DEV_INT="eth0" FW_DEV_DMZ="" FW_ROUTE="no" FW_MASQUERADE="no" FW_MASQ_DEV="" FW_MASQ_NETS="" ist das der einzige rechner? du hast ein internes device angegeben, aber maskierst die netze nicht.
ciao sascha -- Sascha Andres linux@programmers-world.com http://www.programmers-world.com
Am Sonntag, 3. Februar 2002 09:55 schrieb Sascha Andres:
hi,
On Sun, Feb 03, 2002 at 08:27:05AM +0100, Jürgen Fahnenschreiber wrote:
Ich habe nur die SuSEfirewall2 von der Suse 7.3 DVD installiert und
mit der SuSEfirewall2 hab ich zwar noch nichts zu tun gehabt, aber vielleicht helfen meine fragen zur konfig unten ja auch weiter ;)
Hmm.. zur Zeit benutzte ich die SuSEfirewall2 auch noch, aber in Zukunft möchte ich eigentlich meinen eigenen Packetfilter benutzen den man unter http://sourceforge.net/projects/sg-packetfilter herunterladen kann. Welche Version der SuSEfirewall2 benutzt du denn? Ich glaube aktuell ist 2.1 oder so, die man unter http://www.suse.de/~marc/suse.html bekommt.
[...] Folgende Einstellungen habe ich in der firewall2.rc.config:
FW_DEV_EXT="ippp0 ippp1 ippp2"
da sollte doch ippp0 ausreichend sein oder hast du 3 isdnkarten?
Das hat nichts mit ISDN Karten zu tun sondern sind nur 3 verschiedene Interfaces, wofür jedes eigne Daten, also Einwahlnummer, Password, Benutzernamen etc. hat.
FW_DEV_INT="eth0" FW_DEV_DMZ="" FW_ROUTE="no" FW_MASQUERADE="no" FW_MASQ_DEV="" FW_MASQ_NETS=""
ist das der einzige rechner? du hast ein internes device angegeben, aber maskierst die netze nicht.
Ist doch auch richtig so. Warum sollte er kein internes Netzwerk haben dürfen auf das er zugreifen will? Deswegen muss er ja nicht umbedingt routen. Sieht eigentlich alles relativ richtig aus. Was geht denn eigentlich nicht? HTTP? SMTP? POP? SSH? Ein bisschen genauer sollte die Problembeschreibung schon sein. Gruß Marius
Jürgen Fahnenschreiber schrieb am Sun, Feb 03, 2002 at 08:27:05AM +0100:
Irgendeine meiner Firewall-Einstellung ist falsch, aber ich weis jetzt nicht welche. :-(
Schreibt Deine Firewall irgendwelche Meldungen in /var/log/messages? Ich habe am Wochenende einen Router neu mit Suse 7.3 installiert und dort das Problem gehabt, daß die Antworten des Nameservers nicht durchgelassen wurden (laut /var/log/messages). Temporäre Abhilfe konnte ich erst Durch einen Aufruf von /sbin/rcSuSEfirewall in /etc/ppp/ip-up erreichen.
Das Einstellen habe ich direkt in der config-Datei probiert und auch mit yast2. Beides ohne Erfolg.
Naja... Man sollte ja eigentlich davon ausgehen, daß yast die gleichen Sachen an den gleichen Stellen einträgt...
Hat jemand eine Idee, was in meiner config falsch ist?
Solange Du uns Log-Melsungen vorenthältst nicht. Hilfreich wäre auch zu wissen, ob die Eiinwahl überhaupt gelingt... Gruß, Christian -- Christian Schmidt | Germany | christian@siebenbergen.de No HTML Mails, please!!
Am Montag, 4. Februar 2002 20:54 schrieb Christian Schmidt:
Jürgen Fahnenschreiber schrieb am Sun, Feb 03, 2002 at 08:27:05AM +0100:
Irgendeine meiner Firewall-Einstellung ist falsch, aber ich weis jetzt nicht welche. :-(
Schreibt Deine Firewall irgendwelche Meldungen in /var/log/messages?
Ich habe am Wochenende einen Router neu mit Suse 7.3 installiert und dort das Problem gehabt, daß die Antworten des Nameservers nicht durchgelassen wurden (laut /var/log/messages). Temporäre Abhilfe konnte ich erst Durch einen Aufruf von /sbin/rcSuSEfirewall in /etc/ppp/ip-up erreichen.
Das Einstellen habe ich direkt in der config-Datei probiert und auch mit yast2. Beides ohne Erfolg.
Naja... Man sollte ja eigentlich davon ausgehen, daß yast die gleichen Sachen an den gleichen Stellen einträgt...
Hat jemand eine Idee, was in meiner config falsch ist?
Solange Du uns Log-Melsungen vorenthältst nicht. Hilfreich wäre auch zu wissen, ob die Eiinwahl überhaupt gelingt... Also, die Einwahl funktioniert zumindest soweit, das mir mein Provider eine IP-Adresse zuweist, laut kinternet. Aber das wars auch schon. In der /var/log/messages krieg ich folgende Meldungen:
Feb 5 07:14:24 linux SuSEfirewall2: Firewall rules successfully set from /etc/rc.config.d/firewall2.rc.config Feb 5 07:14:26 linux kernel: ippp1: dialing 1 0192071... Feb 5 07:14:26 linux isdnlog: Feb 05 07:14:26 * tei 120 calling 0192071 with +49 911/618907, Nürnberg RING (Data) Feb 5 07:14:28 linux isdnlog: Feb 05 07:14:28 tei 120 calling 0192071 with +49 911/618907, Nürnberg Time:Tue Feb 5 07:13:00 2002 Feb 5 07:14:28 linux isdnlog: Feb 05 07:14:28 tei 120 calling 0192071 with +49 911/618907, Nürnberg CONNECT (Data) Feb 5 07:14:28 linux isdnlog: Feb 05 07:14:28 tei 120 calling 0192071 with +49 911/618907, Nürnberg INTERFACE ippp1 calling 0192071 Feb 5 07:14:28 linux isdnlog: Feb 05 07:14:28 tei 120 calling 0192071 with +49 911/618907, Nürnberg No area info for provider 33_0 (98), destination 0192071 Feb 5 07:14:28 linux kernel: isdn_net: ippp0: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Feb 5 07:14:28 linux ipppd[2571]: Local number: 618907, Remote number: 0192071, Type: outgoing Feb 5 07:14:28 linux ipppd[2571]: PHASE_WAIT -> PHASE_ESTABLISHED, ifunit: 1, linkunit: 0, fd: 7 Feb 5 07:14:28 linux kernel: isdn_net: ippp1 connected Feb 5 07:14:29 linux kernel: isdn_net: ippp0: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Feb 5 07:14:34 linux last message repeated 6 times Feb 5 07:14:34 linux ipppd[2571]: MPPP negotiation, He: No We: No Feb 5 07:14:34 linux ipppd[2571]: local IP address 212.144.169.77 Feb 5 07:14:34 linux ipppd[2571]: remote IP address 145.253.1.217 Feb 5 07:14:34 linux modify_resolvconf: Service ipppd modified /etc/resolv.conf. See info block in this file Feb 5 07:14:35 linux kernel: isdn_net: ippp0: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Feb 5 07:14:44 linux last message repeated 2 times Feb 5 07:14:49 linux kernel: SuSE-FW-UNALLOWED-TARGET IN=ippp1 OUT= MAC= SRC=145.253.2.75 DST=212.144.169.77 LEN=246 TOS=0x00 PREC=0x00 TTL=244 ID=58515 DF PROTO=UDP SPT=53 DPT=3353 LEN=226 Feb 5 07:14:54 linux kernel: isdn_net: ippp0: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Feb 5 07:14:59 linux kernel: SuSE-FW-UNALLOWED-TARGET IN=ippp1 OUT= MAC= SRC=145.253.2.75 DST=212.144.169.77 LEN=246 TOS=0x00 PREC=0x00 TTL=244 ID=58516 DF PROTO=UDP SPT=53 DPT=3353 LEN=226 Feb 5 07:15:04 linux kernel: isdn_net: ippp0: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Feb 5 07:15:09 linux kernel: SuSE-FW-UNALLOWED-TARGET IN=ippp1 OUT= MAC= SRC=145.253.2.75 DST=212.144.169.77 LEN=138 TOS=0x00 PREC=0x00 TTL=244 ID=58517 DF PROTO=UDP SPT=53 DPT=3354 LEN=118 Feb 5 07:15:14 linux kernel: isdn_net: ippp0: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Feb 5 07:15:17 linux ipppd[2571]: Modem hangup Feb 5 07:15:17 linux ipppd[2571]: Connection terminated. Feb 5 07:15:17 linux ipppd[2571]: taking down PHASE_DEAD link 0, linkunit: 0 Feb 5 07:15:17 linux ipppd[2571]: closing fd 7 from unit 0 Feb 5 07:15:17 linux ipppd[2571]: link 0 closed , linkunit: 0 Feb 5 07:15:17 linux ipppd[2571]: reinit_unit: 0 Feb 5 07:15:17 linux ipppd[2571]: Connect[0]: /dev/ippp1, fd: 7 Feb 5 07:15:17 linux kernel: isdn_net: local hangup ippp1 Feb 5 07:15:17 linux kernel: ippp1: Chargesum is 0 Feb 5 07:15:17 linux kernel: ippp, open, slot: 2, minor: 1, state: 0000 Feb 5 07:15:17 linux kernel: ippp_ccp: allocated reset data structure d3432800 Feb 5 07:15:17 linux kernel: ippp_ccp: freeing reset data structure ccfd0000 Feb 5 07:15:17 linux isdnlog: Feb 05 07:15:17 tei 120 calling 0192071 with +49 911/618907, Nürnberg Normal call clearing (User) Feb 5 07:15:17 linux isdnlog: Feb 05 07:15:17 tei 120 calling 0192071 with +49 911/618907, Nürnberg HANGUP ( 0:00:49 I=825.0 b O=475.0 b) Feb 5 07:15:17 linux modify_resolvconf: restored /etc/resolv.conf.saved.by.ipppd.ippp1 to /etc/resolv.conf Feb 5 07:15:17 linux ip-down: Setting up routing for ippp1 (using /etc/route.conf)..done Feb 5 07:15:19 linux kernel: isdn_net: ippp0: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Feb 5 07:15:20 linux SuSEfirewall2: Firewall rules unloaded. Feb 5 07:15:24 linux kernel: isdn_net: ippp1: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Die Firewall habe ich manuell hochgefahren und danach die Internetverbindung aufgebaut. Gruss, Jürgen
Gruß, Christian
Jürgen Fahnenschreiber schrieb am Tue, Feb 05, 2002 at 07:16:51AM +0100:
Also, die Einwahl funktioniert zumindest soweit, das mir mein Provider eine IP-Adresse zuweist, laut kinternet. Aber das wars auch schon. In der /var/log/messages krieg ich folgende Meldungen:
Feb 5 07:14:49 linux kernel: SuSE-FW-UNALLOWED-TARGET IN=ippp1 OUT= MAC= SRC=145.253.2.75 DST=212.144.169.77 LEN=246 TOS=0x00 PREC=0x00 TTL=244 ID=58515 DF PROTO=UDP SPT=53 DPT=3353 LEN=226
Da steht es doch: Deine Kiste läßt keine Pakete vom DNS Deines Providers durch. Sieht man übrigens am Source Port (SPT)... IMHO müßtest Du eintreffende UDP-Pakete auf Highports erlauben. Gruß, Christian -- Christian Schmidt | Germany | christian@siebenbergen.de No HTML Mails, please!!
Am Mittwoch, 6. Februar 2002 12:20 schrieb Christian Schmidt:
Jürgen Fahnenschreiber schrieb am Tue, Feb 05, 2002 at 07:16:51AM +0100:
Also, die Einwahl funktioniert zumindest soweit, das mir mein Provider eine IP-Adresse zuweist, laut kinternet. Aber das wars auch schon. In der /var/log/messages krieg ich folgende Meldungen:
Feb 5 07:14:49 linux kernel: SuSE-FW-UNALLOWED-TARGET IN=ippp1 OUT= MAC= SRC=145.253.2.75 DST=212.144.169.77 LEN=246 TOS=0x00 PREC=0x00 TTL=244 ID=58515 DF PROTO=UDP SPT=53 DPT=3353 LEN=226
Da steht es doch: Deine Kiste läßt keine Pakete vom DNS Deines Providers durch. Sieht man übrigens am Source Port (SPT)...
IMHO müßtest Du eintreffende UDP-Pakete auf Highports erlauben. Diese habe ich erlaubt:
FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" # Common: "DNS" or "domain ntp", better is "yes" to be sure ... FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" Aber denoch funzt das ganze net. :-((( Gruss, Jürgen
Gruß, Christian
-- Original Nachricht --
Am Mittwoch, 6. Februar 2002 12:20 schrieb Christian Schmidt:
Jürgen Fahnenschreiber schrieb am Tue, Feb 05, 2002 at 07:16:51AM +0100:
Also, die Einwahl funktioniert zumindest soweit, das mir mein Provider eine IP-Adresse zuweist, laut kinternet. Aber das wars auch schon. In der /var/log/messages krieg ich folgende Meldungen:
Feb 5 07:14:49 linux kernel: SuSE-FW-UNALLOWED-TARGET IN=ippp1 OUT= MAC= SRC=145.253.2.75 DST=212.144.169.77 LEN=246 TOS=0x00 PREC=0x00 TTL=244 ID=58515 DF PROTO=UDP SPT=53 DPT=3353 LEN=226
Ist es nicht so, dass normalerweise DU die Abfragen an Deinen Provider machst, und nicht Dein Provider an DICH?!!! Das sagt nämlich das Log aus, die normale DNS-Abfrage startet auf einem High-Port, und wird an dem Port 53 angenommen.
Da steht es doch: Deine Kiste läßt keine Pakete vom DNS Deines Providers durch. Sieht man übrigens am Source Port (SPT)...
IMHO müßtest Du eintreffende UDP-Pakete auf Highports erlauben. Diese habe ich erlaubt:
FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" # Common: "DNS" or "domain ntp", better is "yes" to be sure ... FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"
Muss Du Dir nicht einfach nur eine Regel schreiben, die es erlaubt, dass aufgebaute Verbindungen durchgelassen werden? Gruss Dominik
Aber denoch funzt das ganze net. :-(((
Gruss,
Jürgen
Gruß, Christian
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
________________________________________ Zeitschriftenabos online bestellen - jetzt neu im Infoboten! http://www.epost.de
Dominik.Brosch@epost.de schrieb am Thu, Feb 07, 2002 at 08:52:15AM +0100:
Am Mittwoch, 6. Februar 2002 12:20 schrieb Christian Schmidt:
Jürgen Fahnenschreiber schrieb am Tue, Feb 05, 2002 at 07:16:51AM +0100:
Also, die Einwahl funktioniert zumindest soweit, das mir mein Provider eine IP-Adresse zuweist, laut kinternet. Aber das wars auch schon. In der /var/log/messages krieg ich folgende Meldungen:
Feb 5 07:14:49 linux kernel: SuSE-FW-UNALLOWED-TARGET IN=ippp1 OUT= MAC= SRC=145.253.2.75 DST=212.144.169.77 LEN=246 TOS=0x00 PREC=0x00 TTL=244 ID=58515 DF PROTO=UDP SPT=53 DPT=3353 LEN=226
Ist es nicht so, dass normalerweise DU die Abfragen an Deinen Provider machst, und nicht Dein Provider an DICH?!!! Das sagt nämlich das Log aus, die normale DNS-Abfrage startet auf einem High-Port, und wird an dem Port 53 angenommen.
Das kommt drauf an: Obige Logmeldung sagt folgendes aus: Es wurde ein Paket abgefangen, welches, - von Rechner DST=212.144.169.77, Port SPT=53 kam, - an den Rechner DST=212.144.169.77, Port DPT=3353 adressiert war und PROTO=UDP war. Habe gerade mal nachgesehen: 145.253.2.75 ist ein Nameserver von Arcor, und die andere IP stammt aus einem Dialin-Pool. => Du hast also völlig recht, Dominik! @Jürgen: Wie sehen Deine Einträge bezüglich des ausgehenden Netzwerkverkehrs aus? Gruß, Christian PS: Bitte kein Cc: an mich! Ich lese auf der Liste mit. -- Christian Schmidt | Germany | christian@siebenbergen.de No HTML Mails, please!!
Am Donnerstag, 7. Februar 2002 22:35 schrieben Sie:
Dominik.Brosch@epost.de schrieb am Thu, Feb 07, 2002 at 08:52:15AM +0100:
Am Mittwoch, 6. Februar 2002 12:20 schrieb Christian Schmidt:
Jürgen Fahnenschreiber schrieb am Tue, Feb 05, 2002 at 07:16:51AM
+0100:
Also, die Einwahl funktioniert zumindest soweit, das mir mein Provider eine IP-Adresse zuweist, laut kinternet. Aber das wars auch schon. In der /var/log/messages krieg ich folgende Meldungen:
Feb 5 07:14:49 linux kernel: SuSE-FW-UNALLOWED-TARGET IN=ippp1 OUT= MAC= SRC=145.253.2.75 DST=212.144.169.77 LEN=246 TOS=0x00 PREC=0x00 TTL=244 ID=58515 DF PROTO=UDP SPT=53 DPT=3353 LEN=226
Ist es nicht so, dass normalerweise DU die Abfragen an Deinen Provider machst, und nicht Dein Provider an DICH?!!! Das sagt nämlich das Log aus, die normale DNS-Abfrage startet auf einem High-Port, und wird an dem Port 53 angenommen.
Das kommt drauf an: Obige Logmeldung sagt folgendes aus: Es wurde ein Paket abgefangen, welches, - von Rechner DST=212.144.169.77, Port SPT=53 kam, - an den Rechner DST=212.144.169.77, Port DPT=3353 adressiert war und PROTO=UDP war. Habe gerade mal nachgesehen: 145.253.2.75 ist ein Nameserver von Arcor, und die andere IP stammt aus einem Dialin-Pool.
=> Du hast also völlig recht, Dominik!
@Jürgen: Wie sehen Deine Einträge bezüglich des ausgehenden Netzwerkverkehrs aus? Also meine Einstellungen sehen folgendermasen aus:
FW_DEV_EXT="ippp0 ippp1 ippp2" FW_DEV_INT="eth0" FW_DEV_DMZ="eth0" FW_ROUTE="no" FW_MASQUERADE="no" FW_MASQ_DEV="" FW_MASQ_NETS="" FW_PROTECT_FROM_INTERNAL="yes" FW_AUTOPROTECT_SERVICES="yes" FW_SERVICES_EXT_TCP="1:2000 4000:4100 5000:5300" FW_SERVICES_EXT_UDP="1:4000" FW_SERVICES_EXT_IP="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_DMZ_IP="" FW_SERVICES_INT_TCP="" FW_SERVICES_INT_UDP="" FW_SERVICES_INT_IP="" FW_TRUSTED_NETS="" FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" FW_SERVICE_AUTODETECT="yes" FW_SERVICE_DNS="yes" Ich habe zwar keinen DNS auf dem Rechner laufen, aber das "yes" hat keinen Einfluss auf die Fehlermeldung! FW_SERVICE_DHCLIENT="no" FW_SERVICE_DHCPD="no" FW_SERVICE_SQUID="no" FW_SERVICE_SAMBA="no" FW_FORWARD="no" FW_FORWARD_MASQ="" FW_REDIRECT="" FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="yes" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="yes" FW_KERNEL_SECURITY="yes" FW_STOP_KEEP_ROUTING_STATE="no" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="yes" FW_ALLOW_PING_EXT="yes" FW_ALLOW_FW_TRACEROUTE="yes" FW_ALLOW_FW_SOURCEQUENCH="yes" FW_ALLOW_FW_BROADCAST="no" FW_IGNORE_FW_BROADCAST="no" FW_ALLOW_CLASS_ROUTING="no" Gruss, Jürgen
Gruß, Christian
PS: Bitte kein Cc: an mich! Ich lese auf der Liste mit.
On Wed, 6 Feb 2002, Christian Schmidt wrote:
Jürgen Fahnenschreiber schrieb am Tue, Feb 05, 2002 at 07:16:51AM +0100:
Also, die Einwahl funktioniert zumindest soweit, das mir mein Provider eine IP-Adresse zuweist, laut kinternet. Aber das wars auch schon. In der /var/log/messages krieg ich folgende Meldungen:
Feb 5 07:14:49 linux kernel: SuSE-FW-UNALLOWED-TARGET IN=ippp1 OUT= MAC= SRC=145.253.2.75 DST=212.144.169.77 LEN=246 TOS=0x00 PREC=0x00 TTL=244 ID=58515 DF PROTO=UDP SPT=53 DPT=3353 LEN=226
Da steht es doch: Deine Kiste läßt keine Pakete vom DNS Deines Providers durch. Sieht man übrigens am Source Port (SPT)...
IMHO müßtest Du eintreffende UDP-Pakete auf Highports erlauben.
Besser: Eintreffende UDP-Pakete auf Highports, die als Quellport 53 haben. Also sinngemaess: iptables -A INPUT -p UDP --sport 53 --dport 1024:65535 -j ACCEPT Gruss Peter Blancke -- Nachtwaechter ist der Wahnsinn, weil er wacht...
Am Donnerstag, 7. Februar 2002 13:37 schrieb Peter Blancke:
On Wed, 6 Feb 2002, Christian Schmidt wrote:
Jürgen Fahnenschreiber schrieb am Tue, Feb 05, 2002 at 07:16:51AM +0100:
Also, die Einwahl funktioniert zumindest soweit, das mir mein Provider eine IP-Adresse zuweist, laut kinternet. Aber das wars auch schon. In der /var/log/messages krieg ich folgende Meldungen:
Feb 5 07:14:49 linux kernel: SuSE-FW-UNALLOWED-TARGET IN=ippp1 OUT= MAC= SRC=145.253.2.75 DST=212.144.169.77 LEN=246 TOS=0x00 PREC=0x00 TTL=244 ID=58515 DF PROTO=UDP SPT=53 DPT=3353 LEN=226
Da steht es doch: Deine Kiste läßt keine Pakete vom DNS Deines Providers durch. Sieht man übrigens am Source Port (SPT)...
IMHO müßtest Du eintreffende UDP-Pakete auf Highports erlauben.
Besser: Eintreffende UDP-Pakete auf Highports, die als Quellport 53 haben.
Also sinngemaess:
iptables -A INPUT -p UDP --sport 53 --dport 1024:65535 -j ACCEPT
Also, ich habe mal die o.a. Regel dazugeschrieben. Ergebnis: Ich bekomme immer noch die gleiche Fehlermeldung(en). :-(( Gruss, Jürgen
Gruss
Peter Blancke
On Thu, 7 Feb 2002, Jürgen Fahnenschreiber wrote: Juergen, bitte keine Kopie als PM an mich. Ich lese hier doch mit.
Am Donnerstag, 7. Februar 2002 13:37 schrieb Peter Blancke:
On Wed, 6 Feb 2002, Christian Schmidt wrote:
JFahnenschreiber schrieb am Tue, Feb 05, 2002 at 07:16:51AM +0100:
Feb 5 07:14:49 linux kernel: SuSE-FW-UNALLOWED-TARGET IN=ippp1 OUT= MAC= SRC=145.253.2.75 DST=212.144.169.77 LEN=246 TOS=0x00 PREC=0x00 TTL=244 ID=58515 DF PROTO=UDP SPT=53 DPT=3353 LEN=226
Da steht es doch: Deine Kiste läßt keine Pakete vom DNS Deines Providers durch. Sieht man übrigens am Source Port (SPT)...
IMHO müßtest Du eintreffende UDP-Pakete auf Highports erlauben.
Besser: Eintreffende UDP-Pakete auf Highports, die als Quellport 53 haben.
Also sinngemaess:
iptables -A INPUT -p UDP --sport 53 --dport 1024:65535 -j ACCEPT
Also, ich habe mal die o.a. Regel dazugeschrieben. Ergebnis: Ich bekomme immer noch die gleiche Fehlermeldung(en). :-((
Dann steht die Regel an falscher Stelle. Die kann nicht "dazugeschrieben" werden. Jetzt sehe ich auch: Du setzt die Suse-Firewall ein. Ich moechte ja dem Produkt, welches ich nicht kenne, nicht zu nahe treten. Aber wer eigene Firewallregeln einem bestehenden Konstrukt hinzufuegt, ist IMHO schlecht bedient. Juergen, ich rate Dir dringend: Befasse Dich ausfuehrlich mit iptables und schreibe Dir dann Deine eigene Firewall. Wenn Du die Fehlermeldungen immer noch kriegst, steht die Regel an einer Stelle, wo DNS-Anfragen laengst geblockt und geloggt wurden. Mehr gibt jetzt meine Faehigkeit zur partiellen Hellseherei auch nicht her. Gruss Peter Blancke -- Nachtwaechter ist der Wahnsinn, weil er wacht...
On Tuesday 05 February 2002 07:16, Jürgen Fahnenschreiber wrote:
Am Montag, 4. Februar 2002 20:54 schrieb Christian Schmidt:
Jürgen Fahnenschreiber schrieb am Sun, Feb 03, 2002 at 08:27:05AM
+0100:
Irgendeine meiner Firewall-Einstellung ist falsch, aber ich weis jetzt nicht welche. :-(
[....]
Die Firewall habe ich manuell hochgefahren und danach die Internetverbindung aufgebaut.
Schau Dir mal das File /etc/pp/ip-up an und passe es an die SuSEfirewall2 an! Die Rules werden bei jedem Verbindungsaufbau neu gesetzt, ansonsten funktioniert das Teil nämlich nicht sauber. Bye Martin --
Am Montag, 4. Februar 2002 20:54 schrieb Christian Schmidt:
Jürgen Fahnenschreiber schrieb am Sun, Feb 03, 2002 at 08:27:05AM +0100:
Irgendeine meiner Firewall-Einstellung ist falsch, aber ich weis jetzt nicht welche. :-(
Schreibt Deine Firewall irgendwelche Meldungen in /var/log/messages?
Ich habe am Wochenende einen Router neu mit Suse 7.3 installiert und dort das Problem gehabt, daß die Antworten des Nameservers nicht durchgelassen wurden (laut /var/log/messages). Temporäre Abhilfe konnte ich erst Durch einen Aufruf von /sbin/rcSuSEfirewall in /etc/ppp/ip-up erreichen.
Das Einstellen habe ich direkt in der config-Datei probiert und auch mit yast2. Beides ohne Erfolg.
Naja... Man sollte ja eigentlich davon ausgehen, daß yast die gleichen Sachen an den gleichen Stellen einträgt...
Hat jemand eine Idee, was in meiner config falsch ist?
Solange Du uns Log-Melsungen vorenthältst nicht. Hilfreich wäre auch zu wissen, ob die Eiinwahl überhaupt gelingt...
Achja, in der /var/log/firewall krieg ich im gleichen Zeitraum folgende Meldungen: Feb 5 07:14:26 linux kernel: ippp1: dialing 1 0192071... Feb 5 07:14:28 linux kernel: isdn_net: ippp0: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Feb 5 07:14:28 linux kernel: isdn_net: ippp1 connected Feb 5 07:14:29 linux kernel: isdn_net: ippp0: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Feb 5 07:14:44 linux last message repeated 9 times Feb 5 07:14:49 linux kernel: SuSE-FW-UNALLOWED-TARGET IN=ippp1 OUT= MAC= SRC=145.253.2.75 DST=212.144.169.77 LEN=246 TOS=0x00 PREC=0x00 TTL=244 ID=58515 DF PROTO=UDP SPT=53 DPT=3353 LEN=226 Feb 5 07:14:54 linux kernel: isdn_net: ippp0: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Feb 5 07:14:59 linux kernel: SuSE-FW-UNALLOWED-TARGET IN=ippp1 OUT= MAC= SRC=145.253.2.75 DST=212.144.169.77 LEN=246 TOS=0x00 PREC=0x00 TTL=244 ID=58516 DF PROTO=UDP SPT=53 DPT=3353 LEN=226 Feb 5 07:15:04 linux kernel: isdn_net: ippp0: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Feb 5 07:15:09 linux kernel: SuSE-FW-UNALLOWED-TARGET IN=ippp1 OUT= MAC= SRC=145.253.2.75 DST=212.144.169.77 LEN=138 TOS=0x00 PREC=0x00 TTL=244 ID=58517 DF PROTO=UDP SPT=53 DPT=3354 LEN=118 Feb 5 07:15:14 linux kernel: isdn_net: ippp0: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Feb 5 07:15:17 linux kernel: isdn_net: local hangup ippp1 Feb 5 07:15:17 linux kernel: ippp1: Chargesum is 0 Feb 5 07:15:17 linux kernel: ippp, open, slot: 2, minor: 1, state: 0000 Feb 5 07:15:17 linux kernel: ippp_ccp: allocated reset data structure d3432800 Feb 5 07:15:17 linux kernel: ippp_ccp: freeing reset data structure ccfd0000 Feb 5 07:15:19 linux kernel: isdn_net: ippp0: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Feb 5 07:15:24 linux kernel: isdn_net: ippp1: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Feb 5 07:15:29 linux kernel: isdn_net: ippp0: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Feb 5 07:15:34 linux kernel: isdn_net: ippp1: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Feb 5 07:15:39 linux kernel: isdn_net: ippp0: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Feb 5 07:15:44 linux kernel: isdn_net: ippp1: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Feb 5 07:15:49 linux kernel: isdn_net: ippp0: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Feb 5 07:15:54 linux kernel: isdn_net: ippp1: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Feb 5 07:15:59 linux kernel: isdn_net: ippp0: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Feb 5 07:16:04 linux kernel: isdn_net: ippp1: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Feb 5 07:16:09 linux kernel: isdn_net: ippp0: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Feb 5 07:16:14 linux kernel: isdn_net: ippp1: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Feb 5 07:16:19 linux kernel: isdn_net: ippp0: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Feb 5 07:16:24 linux kernel: isdn_net: ippp1: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Feb 5 07:16:29 linux kernel: isdn_net: ippp0: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Feb 5 07:16:34 linux kernel: isdn_net: ippp1: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Feb 5 07:16:45 linux kernel: ippp1: dialing 1 0192071... Feb 5 07:16:47 linux kernel: isdn_net: ippp1 connected Feb 5 07:16:47 linux kernel: isdn_net: ippp0: dial rejected: interface not in dialmode `auto', signalling dst_link_failure Gruss, Jürgen
Gruß, Christian
participants (7)
-
Christian Schmidt -
Dominik.Brosch@epost.de -
Jürgen Fahnenschreiber -
Marius Brehler -
Martin Marschand -
Peter Blancke -
Sascha Andres