Hallo Liste, Nach dem Update auf SuSE-9.2 (von 9.1) funktioniert SuSE-Firewall2 bei gleicher Konfiguration nicht mehr wie gewohnt. Folgende /etc/sysconfig/SuSEfirewall2 wird verwendet ( nicht benötigte Einträge gekürzt) FW_QUICKMODE="yes" FW_DEV_EXT="wlan0" FW_DEV_INT="eth0" FW_MASQUERADE="yes" FW_SERVICES_QUICK_TCP="" FW_SERVICES_QUICK_UDP="" FW_SERVICES_QUICK_IP="" Damit ergibt sich folgende Konfiguration von iptables in SuSE-9.1 Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT udp -- anywhere 255.255.255.255 udp spt:bootps dpt:bootpc ACCEPT icmp -- anywhere anywhere icmp echo-request ACCEPT udp -- www-proxy.L1.srv.t-online.de anywhere state NEW udp spt:domain dpts:1024:65535 ACCEPT udp -- www-proxy.M1.srv.t-online.de anywhere state NEW udp spt:domain dpts:1024:65535 ACCEPT udp -- anywhere anywhere state ESTABLISHED udp dpts:61000:65095 input_ext all -- anywhere anywhere ACCEPT all -- anywhere anywhere Chain FORWARD (policy DROP) target prot opt source destination TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED reject_func all -- anywhere anywhere ACCEPT all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED Chain input_ext (1 references) target prot opt source destination reject_func tcp -- anywhere anywhere tcp dpt:ident flags:SYN,RST,ACK/SYN LOG tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-NEW-CONNECT ' reject_func all -- anywhere anywhere Chain reject_func (3 references) target prot opt source destination REJECT tcp -- anywhere anywhere reject-with tcp-reset REJECT udp -- anywhere anywhere reject-with icmp-port-unreachable REJECT all -- anywhere anywhere reject-with icmp-proto-unreachable In SuSE-9.2 ergibt sich aber folgende Konfiguration : Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT udp -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT icmp -- anywhere anywhere icmp echo-request input_ext all -- anywhere anywhere Chain FORWARD (policy DROP) target prot opt source destination TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED reject_func all -- anywhere anywhere ACCEPT all -- anywhere anywhere Chain OUTPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED Chain input_ext (1 references) target prot opt source destination reject_func tcp -- anywhere anywhere tcp dpt:ident state NEW LOG tcp -- anywhere anywhere state NEW limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-NEW-CONNECT ' reject_func all -- anywhere anywhere Chain reject_func (3 references) target prot opt source destination REJECT tcp -- anywhere anywhere reject-with tcp-reset REJECT udp -- anywhere anywhere reject-with icmp-port-unreachable REJECT all -- anywhere anywhere reject-with icmp-proto-unreachable In der Folge kann nicht mehr per ssh vom PC an eth0 auf den Firewall Rechner zugegriffen werden. Und es ist auch keine Verbindung mehr auf den Internetrouter, der über wlan0 angebunden ist, möglich. Wo liegt der Fehler bei der Konfiguration in SuSE-9.2 ?
Guten Tag Markus Kossmann, Am Sonntag, 14. November 2004 um 17:50 schrieb Markus Kossmann:
Hallo Liste, Nach dem Update auf SuSE-9.2 (von 9.1) funktioniert SuSE-Firewall2 bei gleicher Konfiguration nicht mehr wie gewohnt. Folgende /etc/sysconfig/SuSEfirewall2 wird verwendet ( nicht benötigte Einträge gekürzt)
FW_QUICKMODE="yes" FW_DEV_EXT="wlan0" FW_DEV_INT="eth0" FW_MASQUERADE="yes" FW_SERVICES_QUICK_TCP="" FW_SERVICES_QUICK_UDP="" FW_SERVICES_QUICK_IP=""
hier müsstest du ihm schon sagen, was er denn freischalten soll. also entweder: FW_SERVICES_QUICK_TCP="22" # für ssh oder: FW_SERVICES_EXT_TCP="22"
Damit ergibt sich folgende Konfiguration von iptables in SuSE-9.1 [...]
In der Folge kann nicht mehr per ssh vom PC an eth0 auf den Firewall Rechner zugegriffen werden.
s.o.
Und es ist auch keine Verbindung mehr auf den Internetrouter, der über wlan0 angebunden ist, möglich. Wo liegt der Fehler bei der Konfiguration in SuSE-9.2 ?
was willst du denn machen? Fernwarten? Normalerweise solltest du da schon drauf kommen... Nacht. Stefan
Am Sonntag, 14. November 2004 22:50 schrieb Stefan Schilling:
Guten Tag Markus Kossmann,
Am Sonntag, 14. November 2004 um 17:50 schrieb Markus Kossmann:
Hallo Liste, Nach dem Update auf SuSE-9.2 (von 9.1) funktioniert SuSE-Firewall2 bei gleicher Konfiguration nicht mehr wie gewohnt. Folgende /etc/sysconfig/SuSEfirewall2 wird verwendet ( nicht benötigte Einträge gekürzt)
FW_QUICKMODE="yes" FW_DEV_EXT="wlan0" FW_DEV_INT="eth0" FW_MASQUERADE="yes" FW_SERVICES_QUICK_TCP="" FW_SERVICES_QUICK_UDP="" FW_SERVICES_QUICK_IP=""
hier müsstest du ihm schon sagen, was er denn freischalten soll. also entweder:
FW_SERVICES_QUICK_TCP="22" # für ssh
oder:
FW_SERVICES_EXT_TCP="22"
Damit ergibt sich folgende Konfiguration von iptables in SuSE-9.1
[...]
In der Folge kann nicht mehr per ssh vom PC an eth0 auf den Firewall Rechner zugegriffen werden.
s.o.
Und es ist auch keine Verbindung mehr auf den Internetrouter, der über wlan0 angebunden ist, möglich. Wo liegt der Fehler bei der Konfiguration in SuSE-9.2 ?
was willst du denn machen? Fernwarten?
Ja, aber vom internen Netz her, was bei der 9.1 bei gleicher Konfiguration ja ohne Probleme möglich war. Ich will ja nicht vom externen Interface (Internet) auf die Firewall zugreifen sondern vom internen. FW_SERVICES_QUICK_TCP braucht man doch nur wenn man vom externen Interface auf Dienste zugreifen will. Oder habe ich das falsch verstanden und bei der 9.1 war das Verhalten von SuSEfirewall2 fehlerhaft ?
participants (2)
-
Markus Kossmann
-
Stefan Schilling