Hallo Liste, ich versuche nunmehr seit einigen Tagen bereits die Grundkonfiguration einer SuSEfirewall hinzukriegen. Immerhin habe ich sie scheinbar zum Starten bekommen. Allerdings glaube ich, nachdem ich die bisherigen Postings auf der Liste gelesen habe, daß die Regeln, die insbesondere in der INPUT-chain gesetzt sind, nicht restriktiv genug sind. Allerdings muß ich sagen, daß ich in Bezug auf Firewall ein NEWBIE bin. Ich hoffe meine Aufstellung unten gerät nicht zu lang. Zunächst einmal Informationen zu meinem System: Ich habe zwei vernetzte Rechner. Der neue Rechner ist mit zwei Netzwerkkarten ausgestattet und über DSL (eth0) an das Internet angebunden (Suse 7.3). Der zweite Rechner hat keinen direkten Zugang zum Internet (Suse 7.2). Er soll später aber über den anderen Rechner geroutet in das Internet gehen können. Die Ausgabe von route -n auf dem Rechner mit zwei Karten (nicht nur als router benutzt) ergibt bei Einwahl in das Internet folgendes: Ziel Router Genmask Flags Metric Ref Use Iface 217.5.98.70 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0 192.168.22.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 0.0.0.0 217.5.98.70 0.0.0.0 UG 0 0 0 ppp0 In /etc/rc.config.d/firewall2.rc.config habe ich folgende Eintragungen (Auszug / nur Änderungen): ------------------------------------------------ FW_DEV_EXT="ppp0" FW_DEV_INT="eth1" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="192.168.0.0/99" FW_PROTECT_FROM_INTERNAL="yes" FW_AUTOPROTECT_SERVICES="no" FW_SERVICES_INT_TCP="25 53 80 110 3128 smtp ssh" FW_SERVICES_INT_UDP="53" FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" FW_SERVICE_AUTODETECT="yes" FW_SERVICE_DHCLIENT="no" FW_SERVICE_DHCPD="no" FW_SERVICE_SQUID="no" FW_SERVICE_SAMBA="no" FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="no" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" FW_KERNEL_SECURITY="yes" FW_STOP_KEEP_ROUTING_STATE="yes" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_PING_EXT="yes --------------------------------------------------- Ein SuSEfirewall2 start ergibt hiernach Folgendes: iptables v1.2.2: invalid mask `99' specified 1) Hier habe ich mein erstes Verständnisproblem. M.E. habe ich mit der Eintragung oben: FW_MASQ_NETS="192.168.0.0/99" den Netzbereich von 192.168.0.0 bis 192.168.0.99 vorgeben (Netmask ist 255.255.255.0) 2) Zweitens habe ich weder in der Datei /var/log/messages noch in var/log/firewall bisher kritische Eintragungen zu verworfenen Paketen gefunden. Sollte ich hier eventuell erst einmal alle verworfenen Pakete protokollieren lassen. 3) Wo werden die Regeln der SuSEfirewall2 tatsächlich abgelegt. Gibt es eine Datei, die man editieren und eventuell um weitere Regeln ergänzen könnte. Falls noch weitere Informationen benötigt werden (z.B. Ausgabe von SuSEfirewall2 status), kann ich diese noch nachliefern. Ich wollte hier jetzt einfach erstmal nicht zu lang werden. Gruß Andreas
Moin, Andreas Mantke:
1) Hier habe ich mein erstes Verständnisproblem. M.E. habe ich mit der Eintragung oben: FW_MASQ_NETS="192.168.0.0/99" den Netzbereich von 192.168.0.0 bis 192.168.0.99 vorgeben (Netmask ist 255.255.255.0)
Du hast was falsch verstanden. Ein "/99" kann es nicht geben. Dort kann maximal eine 32 stehen. Die Zahl hinter dem "/" _ist_ die Netmask. Also kann da nicht gleichzeitig irgendwas anderes stehen, während die Netmask 255.255.255.0 sein soll. Die Zahl steht für die Anzahl von Einsen in der Netmask, wenn du sie Binär schreibst. Beispiel "/24" bedeutet: 24 Einsen, der Rest Nullen: 11111111111111111111111100000000 Wenn man das Byteweise zusammenfasst, ergibt sich: 11111111.11111111.11111111.00000000 Wenn man das nach dezimal umrechnet, kommt was vertrautes raus: 255.255.255.0 Daher auch oben die Ansage, es könne maximal eine 31 vorkommen. Deswegen ist dein Grenzwert von "99" oben auch unschlau. Das ist Binär gesehen nichts rundes. Wenn schon, dann bis 127. Das wäre dann die Maske: 11111111.11111111.11111111.10000000 ...also /25. Die Maske wird ja verwandt, um durch eine UND-Verknüpfung festzustellen, ob zwei Kisten im gleichen Netz sind. DA, wo in der Maske Nullen stehen, kommt bei einer UND-Verknüpfung auch eine Null raus. Beispiel: Kiste 1 hat die Adresse 192.168.168.1 Kiste 2 hat die Adresse 192.168.168.16 Die Netzmaske ist 255.255.255.0 Das ganze in Binär. Kiste 1: 11000000.10101000.10101000.00000001 Kiste 2: 11000000.10101000.10101000.00010000 Maske: 11111111.11111111.11111111.00000000 Wenn jetzt herausgefunden werden soll, ob die beiden Nachbarn sind, dann mit der Maske UND-Verknüpfen: Kiste 1: 11000000.10101000.10101000.00000001 && 11111111.11111111.11111111.00000000 ergibt: 11000000.10101000.10101000.00000000 Kiste 2: 11000000.10101000.10101000.00010000 && 11111111.11111111.11111111.00000000 ergibt: 11000000.10101000.10101000.00000000 Beide male das gleiche Ergebnis: Kisten sind Nachbarn. Ggf. diese NAchricht mit einem monospaced Font angucken. Gruß, Ratti
Hallo Ratti, hallo Liste, Am Dienstag, 27. August 2002 23:28 schrieb Joerg Rossdeutscher:
Du hast was falsch verstanden. Ein "/99" kann es nicht geben. Dort kann maximal eine 32 stehen.
Die Zahl hinter dem "/" _ist_ die Netmask. Also kann da nicht gleichzeitig irgendwas anderes stehen, während die Netmask 255.255.255.0 sein soll.
Die Zahl steht für die Anzahl von Einsen in der Netmask, wenn du sie Binär schreibst.
Beispiel "/24" bedeutet: 24 Einsen, der Rest Nullen:
11111111111111111111111100000000
(Rest gekürzt)
Gruß, Ratti
Vielen Dank. Erste Frage geklärt. Bevor ich das nachrechnen kann, muß ich glaube ich mein Schulwissen noch einmal auffrischen (bischen lange her). Mit der Änderung mault die SuSEfirewall2 nicht mehr. Gruß Andreas
participants (2)
-
Andreas Mantke
-
Joerg Rossdeutscher