Hallo Liste, ich habe folgendes Problem: Meine SuSEfirewall2 läßt nichts vom internen (maskeriertem) Netz auf das ppp0-Device meines Routers zu. Von der Firewall bekomme bei einem Telnet-Versuch von einem MASQ-Rechner auf die dynamisch zugewiesene IP-Adresse des Routers folgende Meldung: router kernel: SuSE-FW-NO_ACCESS_INT->FWEXT IN=eth0 OUT= MAC=00:02:44:35:3e:66:00:30:84:26:52:1d:08:00 SRC=192.168.0.10 DST=217.228.176.73 LEN=6 0 TOS=0x10 PREC=0x00 TTL=64 ID=43792 DF PROTO=TCP SPT=41785 DPT=23 WINDOW=5808 R ES=0x00 SYN URGP=0 OPT (020405AC0402080A004394F30000000001030300) Hier sende ich euch mal meine INPUT-Chain der IPTABLES: Chain INPUT (policy DROP) num target prot opt source destination 1 ACCEPT all -- anywhere anywhere 2 LOG all -- loopback/8 anywhere LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING ' 3 LOG all -- anywhere loopback/8 LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING ' 4 DROP all -- loopback/8 anywhere 5 DROP all -- anywhere loopback/8 6 LOG all -- router.ivws.org anywhere LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING ' 7 DROP all -- router.ivws.org anywhere 8 LOG all -- "dynamische IP des routers" anywhere LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING ' 9 DROP all -- "dynamische IP des routers" anywhere 10 input_ext all -- anywhere "dynamische IP des routers" 11 input_int all -- anywhere router.ivws.org 12 input_int all -- anywhere 192.168.0.255 13 input_int all -- anywhere 255.255.255.255 14 DROP all -- anywhere 192.168.0.255 15 DROP all -- anywhere 255.255.255.255 16 LOG all -- anywhere "dynamische IP des Routers"LOG level warning tcp-options ip-options prefix `SuSE-FW-NO_ACCESS_INT->FWEXT ' 17 DROP all -- anywhere "dynamische IP des Routers" 18 LOG all -- anywhere anywhere LOG level warning tcp-options ip-options prefix `SuSE-FW-UNALLOWED-TARGET ' 19 DROP all -- anywhere anywhere Laut IPTABLES ist die rule 16 und 17 dafür verantwortlich, jedoch wenn ich die beiden lösche, kommt die nächste Meldung in der Chain (18 und 19). Was muss ich verändern, daß das oben genannte Problem gelöst wird?
Hallo, gib mal deinen ganzen Namen mit an bitte, danke :-) Du solltest lieber SSH verwenden, ist sicherer als Telnet. Du mußt danach dem internen Netz erlauben, daß es Zugriffe via SSH bzw. Telnet machen darf. Da gibts ne Sektion FW_SERVICE_EXT und FW_SERVICE_INT oder so, da kannste das einstellen... Schönen Gruß, Sebastian
Hi On Tuesday 13 August 2002 15:54, areuwho@t-online.de wrote:
Hallo Liste,
ich habe folgendes Problem:
Meine SuSEfirewall2 läßt nichts vom internen (maskeriertem) Netz auf das ppp0-Device meines Routers zu. Von der Firewall bekomme bei einem Telnet-Versuch von einem MASQ-Rechner auf die dynamisch zugewiesene IP-Adresse des Routers folgende Meldung:
router kernel: SuSE-FW-NO_ACCESS_INT->FWEXT IN=eth0 OUT= MAC=00:02:44:35:3e:66:00:30:84:26:52:1d:08:00 SRC=192.168.0.10 DST=217.228.176.73 LEN=6 0 TOS=0x10 PREC=0x00 TTL=64 ID=43792 DF PROTO=TCP SPT=41785 DPT=23 WINDOW=5808 R ES=0x00 SYN URGP=0 OPT (020405AC0402080A004394F30000000001030300)
Das geht absolut in Ordnung. Pakete aus dem privaten Netz habe da auch nichts zu suchen. Das gibt sonst eh irgendwelche log Einträge, weil er Packete mit privater IP im öffentlichen Netzt empfängt. Ich bin mir zwar nicht sicher, ich meine aber, dass die Packete die von eth0 auf ppp0 umgeleitet werden durch die FORWARD-chain laufen. Ich würde da mal einen Blick drauf werfen.
Hier sende ich euch mal meine INPUT-Chain der IPTABLES:
Chain INPUT (policy DROP)
sieht gut aus.
num target prot opt source destination 1 ACCEPT all -- anywhere anywhere
Sieht weniger gut aus. Ab hier passiert eh nichts mehr, weil Regel 1 alle Packte matcht und gleich durchlässt. Da ist noch irgendwas faul am setup. So ist das jedenfalls keine firewall.
2 LOG all -- loopback/8 anywhere LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING ' [.......]
mfg Axel
Axel Heinrici wrote:
On Tuesday 13 August 2002 15:54, areuwho@t-online.de wrote:
Hier sende ich euch mal meine INPUT-Chain der IPTABLES:
Chain INPUT (policy DROP)
sieht gut aus.
num target prot opt source destination 1 ACCEPT all -- anywhere anywhere
Sieht weniger gut aus. Ab hier passiert eh nichts mehr, weil Regel 1 alle Packte matcht und gleich durchlässt. Da ist noch irgendwas faul am setup. So ist das jedenfalls keine firewall.
Nein, ohne -v im "iptables -L" Kommando kann man nichts ueber die Regeln sagen. Es fehlen einfach zu viele Parameter. Peter
Hi On Tuesday 13 August 2002 16:46, Peter Wiersig wrote:
Axel Heinrici wrote:
On Tuesday 13 August 2002 15:54, areuwho@t-online.de wrote:
Hier sende ich euch mal meine INPUT-Chain der IPTABLES:
Chain INPUT (policy DROP)
sieht gut aus.
num target prot opt source destination 1 ACCEPT all -- anywhere anywhere
Sieht weniger gut aus. Ab hier passiert eh nichts mehr, weil Regel 1 alle Packte matcht und gleich durchlässt. Da ist noch irgendwas faul am setup. So ist das jedenfalls keine firewall.
Nein, ohne -v im "iptables -L" Kommando kann man nichts ueber die Regeln sagen. Es fehlen einfach zu viele Parameter.
Ok, hast recht. Ich habe iptables wahrscheinlich noch nie ohne -v ausgeführt:-) Habe das wohl etwas überinterpretiert. mfg Axel
Hallo wieder, hier ist meine INPUT-Chain mit dem -v switch Chain INPUT (policy DROP 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 255 88808 ACCEPT all -- lo any anywhere anywhere 2 0 0 LOG all -- any any loopback/8 anywhere LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING ' 3 0 0 LOG all -- any any anywhere loopback/8 LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING ' 4 0 0 DROP all -- any any loopback/8 anywhere 5 0 0 DROP all -- any any anywhere loopback/8 6 245 31498 LOG all -- any any router.ivws.org anywhere LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING ' 7 245 31498 DROP all -- any any router.ivws.org anywhere 8 0 0 LOG all -- any any pD9E4B049.dip.t-dialin.net anywhere LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING ' 9 0 0 DROP all -- any any pD9E4B049.dip.t-dialin.net anywhere 10 11575 4559K input_ext all -- ppp0 any anywhere pD9E4B049.dip.t-dialin.net 11 31512 3189K input_int all -- eth0 any anywhere router.ivws.org 12 285 40128 input_int all -- eth0 any anywhere 192.168.0.255 13 0 0 input_int all -- eth0 any anywhere 255.255.255.255 14 0 0 DROP all -- eth0 any anywhere 192.168.0.255 15 0 0 DROP all -- eth0 any anywhere 255.255.255.255 16 38 2280 LOG all -- eth0 any anywhere pD9E4B049.dip.t-dialin.netLOG level warning tcp-options ip-options prefix `SuSE-FW-NO_ACCESS_INT->FWEXT ' 17 38 2280 DROP all -- eth0 any anywhere pD9E4B049.dip.t-dialin.net 18 1 124 LOG all -- any any anywhere anywhere LOG level warning tcp-options ip-options prefix `SuSE-FW-UNALLOWED-TARGET ' 19 1 124 DROP all -- any any anywhere anywhere Sorry übrigens wegen der Mailadresse, aber ich war bei der Arbeit und konnte nur Webmail von meinem Provider nutzen, der anscheinend keine Absenderaliases einstellen kann :)
On Tuesday 13 August 2002 17:59, Christian Herrmann wrote:
Hallo wieder,
hier ist meine INPUT-Chain mit dem -v switch
..... Die Regeln Zitiere ich jetzt nicht. Das gibt entweder lange oder unübersichtiliche Zeilen. Wenn du jetzt noch den -n (numerous) switch nimmst, dann werden die Zeilen noch etwas kürzer :-) Ok. Da kommen wir der Sache schon näher. Das Problem ist vermutlich in der input_int chain. Da wird dein Telnet hingeschickt und müsste dort Packet "ACCEPTed" werden. Ich nehme aber mal an, dass die SuSEn solche Packete mit Absicht rausfiltern, da private AbsenderIPs nicht auf ppp0 zu suchen haben ("marsians" oder so ählich erscheinen dann im log) .
Sorry übrigens wegen der Mailadresse, aber ich war bei der Arbeit und konnte nur Webmail von meinem Provider nutzen, der anscheinend keine Absenderaliases einstellen kann :)
Macht nichts, meine ich noch behämmerter. Die ist nach 30-40 Versuchen einen Namen zu finden, der noch nicht vergeben ist, entstanden. mfg Axel
participants (4)
-
areuwho@t-online.de
-
Axel Heinrici
-
Peter Wiersig
-
Sebastian Wolfgarten