SFW2: FWD für DPT=123 öffnen
Hallo! Ich habe einen WLAN-Router WRT54G hinter einem Rechner mit DSL-Gateway, auf dem SFW2 läuft. Nun will obiger Router mit einem Zeitserver Kontakt aufnehmen, was ich aus SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=dsl0 SRC=192.168.168.168 DST=209.81.9.7 LEN=76 TOS=0x00 PREC=0x00 TTL=63 ID=14378 DF PROTO=UDP SPT=2051 DPT=123 LEN=56 vermute. Soll er ja dürfen. Abstellen kann ich das leider nicht. Unter welchem der 30 Punkte in /etc/sysconfig/SuSEfirewall2 würde man einen bestimmten _Ziel_port für "forward" öffnen? Möglichst noch nur für einen bestimmten Absender, 192.168.168.168 im Beispiel oben. Und wo kommt das "FWDint" her? a2:/etc/sysconfig # iptables -L | grep prefix LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-IN-ILL-TARGET ' LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWD-ILL-ROUTING ' LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-OUT-ERROR ' LOG all -- anywhere anywhere PKTTYPE = broadcast limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-DROP-BCASTe ' LOG tcp -- anywhere anywhere tcp dpt:ident state NEW limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-REJECT ' LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT ' Danke Volker
Am Sonntag, 11. September 2005 09:01 schrieb Volker Fervers:
Ich habe einen WLAN-Router WRT54G hinter einem Rechner mit DSL-Gateway, auf dem SFW2 läuft. Nun will obiger Router mit einem Zeitserver Kontakt aufnehmen, was ich aus
SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=dsl0 SRC=192.168.168.168 DST=209.81.9.7 LEN=76 TOS=0x00 PREC=0x00 TTL=63 ID=14378 DF PROTO=UDP SPT=2051 DPT=123 LEN=56
vermute. Soll er ja dürfen.
Funktioniert denn sonst alles? Also der "normale" Zugriff aufs INet von Rechnern am WLAN-Router? Sprich, ist Masquerading überhaupt aktiviert? Woran hängt eigentlich das DSL-Modem? Auch an eth0?
Abstellen kann ich das leider nicht. Unter welchem der 30 Punkte in /etc/sysconfig/SuSEfirewall2 würde man einen bestimmten _Ziel_port für "forward" öffnen? Möglichst noch nur für einen bestimmten Absender, 192.168.168.168 im Beispiel oben.
Aus /etc/sysconfig/SuSEfirewall2: # If this server is a firewall, and should do routing/masquerading between # the untrusted and the trusted network, you have to reconfigure (all other # settings are OK): 2), 3), 5), 6), 9), and maybe 7), 10), 11), 12), 13), # 14), 20)
Und wo kommt das "FWDint" her?
a2:/etc/sysconfig # iptables -L | grep prefix (...).
Es gibt noch andere tables außer filter (der default). iptables -L -t nat | grep prefix iptables -L -t mangle | grep prefix Gruß, Jan -- Xerox never comes up with anything original.
Hallo! Am Sonntag, 11. September 2005 18:22 schrieb Jan Ritzerfeld:
Am Sonntag, 11. September 2005 09:01 schrieb Volker Fervers:
Ich habe einen WLAN-Router WRT54G hinter einem Rechner mit DSL-Gateway, auf dem SFW2 läuft. Nun will obiger Router mit einem Zeitserver Kontakt aufnehmen, was ich aus
SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=dsl0 SRC=192.168.168.168 DST=209.81.9.7 LEN=76 TOS=0x00 PREC=0x00 TTL=63 ID=14378 DF PROTO=UDP SPT=2051 DPT=123 LEN=56
Funktioniert denn sonst alles? Also der "normale" Zugriff aufs INet von Rechnern am WLAN-Router?
Ja.
Sprich, ist Masquerading überhaupt aktiviert?
Ja.
Woran hängt eigentlich das DSL-Modem? Auch an eth0?
Nein, an dsl0/eth1. Also: DSL-Modem | | ext: eth1 (192.168.99.1)/dsl0 SuSE-Router/Firewall int: eth0 (192.168.168.254) | | ext: WAN (192.168.168.168) WRT54G (Router-Modus/SPI-Firewall) int: W/LAN (192.168.2.254) | | | | ..........
Abstellen kann ich das leider nicht. Unter welchem der 30 Punkte in /etc/sysconfig/SuSEfirewall2 würde man einen bestimmten _Ziel_port für "forward" öffnen? Möglichst noch nur für einen bestimmten Absender, 192.168.168.168 im Beispiel oben.
Aus /etc/sysconfig/SuSEfirewall2: # If this server is a firewall, and should do routing/masquerading between # the untrusted and the trusted network, you have to reconfigure (all other # settings are OK): 2), 3), 5), 6), 9), and maybe 7), 10), 11), 12), 13), # 14), 20)
Genau, danke. Unter Punkt 6a) fand ich # Which internal computers/networks are allowed to access the # internet via masquerading (not via proxys on the firewall)? # # Format: space separated list of # <source network>[,<destination network>,<protocol>[,port[:port]] # # If the protocol is icmp then port is interpreted as icmp type # # Examples: - "0/0" unrestricted access to the internet # - "10.0.0.0/8" allows the whole 10.0.0.0 network with # unrestricted access. # - "10.0.1.0/24,0/0,tcp,80 10.0.1.0/24,0/0,tcp,21" allows # the 10.0.1.0 network to use www/ftp to the internet. - # - "10.0.1.0/24,0/0,tcp,1024:65535 10.0.2.0/24" the # 10.0.1.0/24 network is allowed to access unprivileged # ports whereas 10.0.2.0/24 is granted unrestricted # access. # FW_MASQ_NETS="192.168.2.0/24 192.168.3.0/24 192.168.4.0/24 192.168.5.0/24 192.168.168.168/32,0/0,udp,123" Der letzte Eintrag sollte jetzt dem Rechner 192.168.168.168 den Zugriff über udp und Port 123 auf alle Rechner im Internet erlauben.
Und wo kommt das "FWDint" her?
a2:/etc/sysconfig # iptables -L | grep prefix (...).
Es gibt noch andere tables außer filter (der default). iptables -L -t nat | grep prefix iptables -L -t mangle | grep prefix
Ich Trottel. Das war die Firewall auf einem anderen Rechner... Vielen Dank Volker
participants (2)
-
Jan Ritzerfeld -
Volker Fervers