Hallo! Ich habe einen DSL-Server mit SuSEFirewall2 am laufen. Auf dem Server liegen verschiedene Domains als Apache Virtualhosts, die von den Domainnamen her aufgelöst werden. Mein Problem ist: Ich kann von internen Netz aus raussufen, Leute von draussen können auf die Domains, die auf dem Server gehostet sind zugreifen, aber ich kann von innen nicht auf diese Domains zugreifen!! Ich hab mal das protect-from-internal (oder so ähnlich) ausgeschaltet, aber klappt immer noch nicht. /var/log/messages spuckt jeweils folgendes aus: Feb 17 20:48:39 comserver kernel: SuSE-FW-ACCESS_DENIED_FOR_INTIN=eth0 OUT= MAC=00:30:84:3d:05:bb:00:60:97:9b:5c:aa:08:00 SRC=192.168.0.100 DST=217.80.182.196 LEN=48 TOS=0x08 PREC=0x00 TTL=128 ID=1197 DF PROTO=TCP SPT=1125 DPT=80 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402) (alles eine Zeile) Wenn ich nun per Lynx von der Firewall aus auf die Domains zugreife geht es, aber halt nicht aus dem internen Netz raus! Kann mir jemand helfen? tinne
Wenn ich nun per Lynx von der Firewall aus auf die Domains zugreife geht es, aber halt >>nicht aus dem internen Netz raus!
Hallo, Ist schon länger ein Problem bei mir auch bei 7.2. An einer echten Lösung wäre ich auch interessiert. Zwei Krücken habe ich herausgefunden. 1. SuSEfirewall2 im Testmodus starten (SuSEfirewall2 test) ACHTUNG ein Scheunentor. 2. Im eigenen Webbrowser einen externen Proxy verwenden. (z.B. www-proxy.btx.dtag.de:800) Gruß, Matthias ! P.S. Wenn Du eine saubere Lösung findest gebe mir doch bitte gescheit.
Hi,
Mein Problem ist: Ich kann von internen Netz aus raussufen, Leute von draussen können auf die Domains, die auf dem Server gehostet sind zugreifen, aber ich kann von innen nicht auf diese Domains zugreifen!!
Ich hab mal das protect-from-internal (oder so ähnlich) ausgeschaltet, aber klappt immer noch nicht.
Du brauchst wahrscheinlich noch FW_KERNEL_SECURITY="no" Robert
Hi Robert!
Du brauchst wahrscheinlich noch
FW_KERNEL_SECURITY="no"
Robert
Nein, daran hat es auch nicht gelegen. Vielleicht weiß jemand noch was anderes... Hier mal meine Config ohne die Kommentare: ----------[schnipp] # /etc/rc.config.d/firewall2.rc.config # for use with /sbin/SuSEfirewall2 version 1.7 which is for 2.4 kernels! # ------------------------------------------------------------------------ # FW_DEV_EXT="ppp0" FW_DEV_INT="eth0" FW_DEV_DMZ="" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="192.168.0.0/24" FW_PROTECT_FROM_INTERNAL="no" FW_AUTOPROTECT_SERVICES="yes" FW_SERVICES_EXT_TCP="23 80 domain" FW_SERVICES_EXT_UDP="domain" FW_SERVICES_EXT_IP="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_DMZ_IP="" FW_SERVICES_INT_TCP="22 80 139" FW_SERVICES_INT_UDP="22 80 139" FW_SERVICES_INT_IP="" FW_TRUSTED_NETS="" FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" FW_SERVICE_AUTODETECT="yes" FW_SERVICE_DNS="no" FW_SERVICE_DHCLIENT="no" FW_SERVICE_DHCPD="no" FW_SERVICE_SQUID="no" FW_SERVICE_SAMBA="yes" FW_FORWARD="" FW_FORWARD_MASQ="" FW_REDIRECT="" FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="no" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW" FW_KERNEL_SECURITY="no" FW_STOP_KEEP_ROUTING_STATE="no" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_PING_EXT="no" FW_ALLOW_FW_TRACEROUTE="no" FW_ALLOW_FW_SOURCEQUENCH="yes" FW_ALLOW_FW_BROADCAST="no" FW_IGNORE_FW_BROADCAST="yes" FW_ALLOW_CLASS_ROUTING="no" #FW_CUSTOMRULES="/etc/rc.config.d/firewall2-custom.rc.config" -----------EOF-----[schnapp]
Matthias Tinnemeier wrote:
Hi Robert!
Du brauchst wahrscheinlich noch
FW_KERNEL_SECURITY="no"
Robert
Nein, daran hat es auch nicht gelegen.
Vielleicht weiß jemand noch was anderes... Hier mal meine Config ohne die Kommentare: ----------[schnipp] # /etc/rc.config.d/firewall2.rc.config # for use with /sbin/SuSEfirewall2 version 1.7 which is for 2.4 kernels! # ------------------------------------------------------------------------ #
FW_DEV_EXT="ppp0" FW_DEV_INT="eth0" FW_DEV_DMZ="" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="192.168.0.0/24" FW_PROTECT_FROM_INTERNAL="no" FW_AUTOPROTECT_SERVICES="yes" FW_SERVICES_EXT_TCP="23 80 domain" FW_SERVICES_EXT_UDP="domain" FW_SERVICES_EXT_IP="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_DMZ_IP="" FW_SERVICES_INT_TCP="22 80 139" FW_SERVICES_INT_UDP="22 80 139" FW_SERVICES_INT_IP="" FW_TRUSTED_NETS="" FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" FW_SERVICE_AUTODETECT="yes" FW_SERVICE_DNS="no" FW_SERVICE_DHCLIENT="no" FW_SERVICE_DHCPD="no" FW_SERVICE_SQUID="no" FW_SERVICE_SAMBA="yes" FW_FORWARD="" FW_FORWARD_MASQ="" FW_REDIRECT="" FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="no" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW" FW_KERNEL_SECURITY="no" FW_STOP_KEEP_ROUTING_STATE="no" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_PING_EXT="no" FW_ALLOW_FW_TRACEROUTE="no" FW_ALLOW_FW_SOURCEQUENCH="yes" FW_ALLOW_FW_BROADCAST="no" FW_IGNORE_FW_BROADCAST="yes" FW_ALLOW_CLASS_ROUTING="no" #FW_CUSTOMRULES="/etc/rc.config.d/firewall2-custom.rc.config" -----------EOF-----[schnapp]
--
Hi also die Konfiguration schaut eigentlich gut aus. Hab das grade mit meiner verglichen, bei mir verwende ich nur die Service-Namen aus /etc/services. Da du FW_PROTECT_FROM_INTERNAL="no" gesetzt hast. sollte vom internen Netz aus eigentlich gar keine Zugriffsbegrenzung zur Firewall bestehen. Du kannst mal eins versuchen: setz mal FW_TRUSTED_NETS="192.168.0.0/24" vorausgesetzt deine Rechner haben im internen Netz eine IP aus dem Netz 192.168.0 Halt mom. grade nochwas gefunden: Ändere mal bitte als erstes folgende Zeile entsprechend FW_SERVICES_INT_UDP="22 80 139 domain" ^^^^^^^^ Gruß Andreas -- --------------------------------------------------------------------- Andreas Bock registered Linux User #136542 mailto:Andreas.Bock@amselweg.org ICQ #59734306 http://www.amselweg.org ---------------------------------------------------------------------
Hallo! On Son, Feb 17, 2002 at 10:13:20 +0100, Robert Klein wrote:
Mein Problem ist: Ich kann von internen Netz aus raussufen, Leute von draussen können auf die Domains, die auf dem Server gehostet sind zugreifen, aber ich kann von innen nicht auf diese Domains zugreifen!!
Ich hab mal das protect-from-internal (oder so ähnlich) ausgeschaltet, aber klappt immer noch nicht.
Benutze für den Zugriff einen Proxy oder einen Anonymiser-Dienst, dann sollte es gehen. Woran das liegt weiß ich niht, würde mich selbst interessieren, jedenfalls hat es bei aber so geklappt. Ciao, Schöppi -- Christian Schoepplein | http://www.lily-rockt.de mail@schoeppi.net | http://www.lavish.de
participants (5)
-
Andreas Bock
-
Christian Schoepplein
-
Matthias Knauff
-
Matthias Tinnemeier
-
Robert Klein