Hallo Liste, ich habe mir nun mal eine Firewall aufgesetzt und das funktioniert auch ganz gut. Leider zu gut, denn wenn die Firewall läuft funktionieren bestimmte Dienste weder intern noch extern. Ich kann kein Telnet mehr machen kein FTP und auch ICQ verweigert den Dienst. Ich habe in der firewall.config.rc über services_allow den Zugriff gestatted aber es funktioniert trotzdem nicht. Was mache ich falsch ? Ich nutze Suse 7.0 mit Kernel 2.2.16. Für jede Hilfe bin ich dankbar. Vielleicht mal ein Auszug oder eine fu8nktioniere nicht Standart firewall.config.rc fände ich toll. Danke Peter
Hallo, Am Dienstag, 6. November 2001 20:34 schrieb Peter:
Hallo Liste,
ich habe mir nun mal eine Firewall aufgesetzt und das funktioniert auch ganz gut. Leider zu gut, denn wenn die Firewall läuft funktionieren bestimmte Dienste weder intern noch extern. Ich kann kein Telnet mehr machen kein FTP und auch ICQ verweigert den Dienst. Ich habe in der firewall.config.rc über services_allow den Zugriff gestatted aber es funktioniert trotzdem nicht. Was mache ich falsch ? Ich nutze Suse 7.0 mit Kernel 2.2.16. Für jede Hilfe bin ich dankbar. Vielleicht mal ein Auszug oder eine fu8nktioniere nicht Standart firewall.config.rc fände ich toll.
also telnet und ftp sind vielleicht sowieso keine so gute Idee, wenn Du aus Sicherheitsgründen schon eine Firewall aufsetzt. Ein telnet bzw. ftp von der Firewall aus ins Internet sollte eigentlich möglich sein. Umgekehrt sorgt sie natürlich dafür, daß es gerade nicht geht. Telnet und ftp laufen auf Ports unterhalb von 1024, die ja gerade geschützt werden. Vielleicht solltest Du mal genau beschreiben, was Du haben willst. Dann kann man Dir vielleicht helfen. Mit freundlichen Grüßen Rudi -- Rudolf Elpelt EMail: elpelt@t-online.de
Hallo Rudolf, erst einmal danke für die schnelle Antwort, nun um es einfach zu gestalten ich möchte ICQ eine OnlineGame und Z.B. Napster nutzen und der Linux Router soll eine Firewall haben, oder hat diese ja schon ;-) wo die Ports für diese Sachen frei sind. Ich habe versucht genau diese Ports in der Firewall freizugeben intern wie extern aber es geling mir nicht, die Firewall bleibt dicht zu dicht ;-). Danke Peter
-----Ursprüngliche Nachricht----- Von: Rudolf Elpelt [mailto:Elpelt@t-online.de] Gesendet: Dienstag, 6. November 2001 20:59 An: suse-linux@suse.com Betreff: Re: firewall.config.rc
Hallo,
Am Dienstag, 6. November 2001 20:34 schrieb Peter:
Hallo Liste,
ich habe mir nun mal eine Firewall aufgesetzt und das funktioniert auch ganz gut. Leider zu gut, denn wenn die Firewall läuft funktionieren bestimmte Dienste weder intern noch extern. Ich kann kein Telnet mehr machen kein FTP und auch ICQ verweigert den Dienst. Ich habe in der firewall.config.rc über services_allow den Zugriff gestatted aber es funktioniert trotzdem nicht. Was mache ich falsch ? Ich nutze Suse 7.0 mit Kernel 2.2.16. Für jede Hilfe bin ich dankbar. Vielleicht mal ein Auszug oder eine fu8nktioniere nicht Standart firewall.config.rc fände ich toll.
also telnet und ftp sind vielleicht sowieso keine so gute Idee, wenn Du aus Sicherheitsgründen schon eine Firewall aufsetzt.
Ein telnet bzw. ftp von der Firewall aus ins Internet sollte eigentlich möglich sein. Umgekehrt sorgt sie natürlich dafür, daß es gerade nicht geht. Telnet und ftp laufen auf Ports unterhalb von 1024, die ja gerade geschützt werden.
Vielleicht solltest Du mal genau beschreiben, was Du haben willst. Dann kann man Dir vielleicht helfen.
Mit freundlichen Grüßen
Rudi -- Rudolf Elpelt EMail: elpelt@t-online.de
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Hi, On Dienstag, November 06, 2001 at 20:34:04, Peter wrote:
ich habe mir nun mal eine Firewall aufgesetzt und das funktioniert auch ganz gut. Leider zu gut, denn wenn die Firewall läuft funktionieren bestimmte Dienste weder intern noch extern. Ich kann kein Telnet mehr machen kein FTP und auch ICQ verweigert den Dienst. Ich habe in der firewall.config.rc über services_allow den Zugriff gestatted aber es funktioniert trotzdem nicht. Was mache ich falsch ? Ich nutze Suse 7.0 mit Kernel 2.2.16. Für jede Hilfe bin ich dankbar. Vielleicht mal ein Auszug oder eine fu8nktioniere nicht Standart firewall.config.rc fände ich toll.
Schick doch mal grep -v ^# /etc/rc.config.d/firewall.rc.config | grep -v ^$ Henne -- Hendrik Vogelsang aka Henne mailto: hvogel@hennevogel.de I just don't want to die without a few scars # fightclub sigs made with fortune
Hallo Henne, hier die config FW_DEV_WORLD="ppp0" FW_DEV_DMZ="eth0" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_NETS="192.168.0.0/8" FW_LOCALNETS="192.168.0.0/24" FW_MASQ_DEV="ppp0" #"$FW_DEV_WORLD" # e.g. "ippp0" or "$FW_DEV_WORLD" FW_PROTECT_FROM_INTERNAL="no" FW_AUTOPROTECT_GLOBAL_SERVICES="yes" FW_SERVICES_EXTERNAL_TCP="113 119 5190 8000 telnet ftp" # Common: smtp domain FW_SERVICES_EXTERNAL_UDP="113 119 5190" # Common: domain FW_SERVICES_DMZ_TCP="" # Common: smtp domain FW_SERVICES_DMZ_UDP="" # Common: domain syslog FW_SERVICES_INTERNAL_TCP="113 119 5190 8000 telnet ftp" FW_SERVICES_INTERNAL_UDP="113 119 5190" FW_TRUSTED_NETS="" #"192.168.0.0/8" FW_SERVICES_TRUSTED_TCP="119 5190" # Common: ssh FW_SERVICES_TRUSTED_UDP="119 5190" # Common: syslog time ntp FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" # Common: "ftp-data" (sadly!) FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" FW_SERVICE_DNS="domain" FW_SERVICE_DHCLIENT="no" # if you use dhclient to get an ip address FW_SERVICE_DHCPD="no" # set to "yes" if this server is a DHCP server FW_SERVICE_SAMBA="yes" FW_FORWARD_TCP="" # Beware to use this! FW_FORWARD_UDP="" # Beware to use this! FW_FORWARD_MASQ_TCP="" # Beware to use this! FW_FORWARD_MASQ_UDP="" # Beware to use this! FW_REDIRECT_TCP="" #"192.168.0.0/24,0/0,80,3128" FW_REDIRECT_UDP="" FW_LOG_DENY_CRIT="yes" FW_LOG_DENY_ALL="no" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" FW_KERNEL_SECURITY="no" FW_STOP_KEEP_ROUTING_STATE="yes" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_FW_SOURCEQUENCH="yes" FW_MASQ_MODULES="news autofw cuseeme ftp irc mfw portfw quake raudio user vdolive" Da ist jetz wohl einiges nicht so ganz richtig aber ich hoffe auf Hilfe ;-) Tschau Peter
-----Ursprüngliche Nachricht----- Von: Henne Vogelsang [mailto:hvogel@hennevogel.de] Gesendet: Dienstag, 6. November 2001 22:03 An: suse-linux Betreff: Re: firewall.config.rc
Hi,
On Dienstag, November 06, 2001 at 20:34:04, Peter wrote:
ich habe mir nun mal eine Firewall aufgesetzt und das funktioniert auch ganz gut. Leider zu gut, denn wenn die Firewall läuft funktionieren bestimmte Dienste weder intern noch extern. Ich kann kein Telnet mehr machen kein FTP und auch ICQ verweigert den Dienst. Ich habe in der firewall.config.rc über services_allow den Zugriff gestatted aber es funktioniert trotzdem nicht. Was mache ich falsch ? Ich nutze Suse 7.0 mit Kernel 2.2.16. Für jede Hilfe bin ich dankbar. Vielleicht mal ein Auszug oder eine fu8nktioniere nicht Standart firewall.config.rc fände ich toll.
Schick doch mal
grep -v ^# /etc/rc.config.d/firewall.rc.config | grep -v ^$
Henne
-- Hendrik Vogelsang aka Henne mailto: hvogel@hennevogel.de
I just don't want to die without a few scars
# fightclub sigs made with fortune
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Hi, On Dienstag, November 06, 2001 at 23:50:40, Peter wrote:
FW_DEV_WORLD="ppp0" FW_DEV_DMZ="eth0"
Hm DMZ? Hast du wirklich ne DMZ oder ist das das interne netz?
FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_NETS="192.168.0.0/8"
FW_MASQ_NETS="192.168.0.0/24" http://www.faqs.org/rfcs/rfc790.html
FW_LOCALNETS="192.168.0.0/24" FW_MASQ_DEV="ppp0" FW_PROTECT_FROM_INTERNAL="no" FW_AUTOPROTECT_GLOBAL_SERVICES="yes" FW_SERVICES_EXTERNAL_TCP="113 119 5190 8000 telnet ftp" FW_SERVICES_EXTERNAL_UDP="113 119 5190" # Common: domain
uh oh du bietest alle diese services auf der firewall nach außen hin an? ich denk mal nicht oder? Alles rausnehmen. Du brauchst das _nicht_ um diese dienste zu benutzen!
FW_SERVICES_INTERNAL_TCP="113 119 5190 8000 telnet ftp" FW_SERVICES_INTERNAL_UDP="113 119 5190"
Hat keine wirkung da du FW_PROTECT_FROM_INTERNAL="no" gemacht hast. Kannste alles rausnehmen.
FW_TRUSTED_NETS="" #"192.168.0.0/8" FW_SERVICES_TRUSTED_TCP="119 5190" # Common: ssh FW_SERVICES_TRUSTED_UDP="119 5190" # Common: syslog time ntp
Hier auch. FW_TRUSTED_NETS="" nicht definiert also brauchste auch keine ports eintragen.
FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" # Common: "ftp-data" (sadly!) FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"
Brauchst du wirklich alle highports?
FW_SERVICE_DNS="domain"
hm domain? ich denk hier sind nur no oder yes erlaubt. Und ist auch nur nötig wenn du DNS services nach außen hin anbietest.
FW_SERVICE_DHCLIENT="no" # if you use dhclient to get an ip FW_SERVICE_DHCPD="no" # set to "yes" if this server is a DHCP server FW_SERVICE_SAMBA="yes"
aua samba auf ner firewall?
FW_LOG_DENY_CRIT="yes" FW_LOG_DENY_ALL="no" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" FW_KERNEL_SECURITY="no"
Würde ich anstellen.
FW_STOP_KEEP_ROUTING_STATE="yes"
Würde ich bei ner dialup verbindung ausstellen.
FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_FW_SOURCEQUENCH="yes" FW_MASQ_MODULES="news autofw cuseeme ftp irc mfw portfw quake raudio user vdolive"
Ich denke das größte Problem ist das du zu wenig bits vom 192er netz Maskiert hast. FW_MASQ_NETS Henne -- Hendrik Vogelsang aka Henne mailto: hvogel@hennevogel.de Recycling and speed limits are bullshit, they're like someone who quits smoking on his deathbed. # fightclub sigs made with fortune
Hallo Henne, nochmals dank für die Hilfe, aber leider ohne Erfolg. Sobald ich die Firewall starte sind sogar meine internen Verbindungen weg also telnet Exceed nix geht mehr. Hast Du noch eine andere Idee ?? Tschau Peter
-----Ursprüngliche Nachricht----- Von: Henne Vogelsang [mailto:hvogel@hennevogel.de] Gesendet: Mittwoch, 7. November 2001 00:54 An: suse-linux Betreff: Re: firewall.config.rc
Hi,
On Dienstag, November 06, 2001 at 23:50:40, Peter wrote:
FW_DEV_WORLD="ppp0" FW_DEV_DMZ="eth0"
Hm DMZ? Hast du wirklich ne DMZ oder ist das das interne netz?
FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_NETS="192.168.0.0/8"
FW_MASQ_NETS="192.168.0.0/24"
http://www.faqs.org/rfcs/rfc790.html
FW_LOCALNETS="192.168.0.0/24" FW_MASQ_DEV="ppp0" FW_PROTECT_FROM_INTERNAL="no" FW_AUTOPROTECT_GLOBAL_SERVICES="yes" FW_SERVICES_EXTERNAL_TCP="113 119 5190 8000 telnet ftp" FW_SERVICES_EXTERNAL_UDP="113 119 5190" # Common: domain
uh oh du bietest alle diese services auf der firewall nach außen hin an? ich denk mal nicht oder? Alles rausnehmen. Du brauchst das _nicht_ um diese dienste zu benutzen!
FW_SERVICES_INTERNAL_TCP="113 119 5190 8000 telnet ftp" FW_SERVICES_INTERNAL_UDP="113 119 5190"
Hat keine wirkung da du FW_PROTECT_FROM_INTERNAL="no" gemacht hast. Kannste alles rausnehmen.
FW_TRUSTED_NETS="" #"192.168.0.0/8" FW_SERVICES_TRUSTED_TCP="119 5190" # Common: ssh FW_SERVICES_TRUSTED_UDP="119 5190" # Common: syslog time ntp
Hier auch. FW_TRUSTED_NETS="" nicht definiert also brauchste auch keine ports eintragen.
FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" # Common: "ftp-data" (sadly!) FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"
Brauchst du wirklich alle highports?
FW_SERVICE_DNS="domain"
hm domain? ich denk hier sind nur no oder yes erlaubt. Und ist auch nur nötig wenn du DNS services nach außen hin anbietest.
FW_SERVICE_DHCLIENT="no" # if you use dhclient to get an ip FW_SERVICE_DHCPD="no" # set to "yes" if this server is a DHCP server FW_SERVICE_SAMBA="yes"
aua samba auf ner firewall?
FW_LOG_DENY_CRIT="yes" FW_LOG_DENY_ALL="no" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" FW_KERNEL_SECURITY="no"
Würde ich anstellen.
FW_STOP_KEEP_ROUTING_STATE="yes"
Würde ich bei ner dialup verbindung ausstellen.
FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_FW_SOURCEQUENCH="yes" FW_MASQ_MODULES="news autofw cuseeme ftp irc mfw portfw quake raudio user vdolive"
Ich denke das größte Problem ist das du zu wenig bits vom 192er netz Maskiert hast. FW_MASQ_NETS
Henne
-- Hendrik Vogelsang aka Henne mailto: hvogel@hennevogel.de
Recycling and speed limits are bullshit, they're like someone who quits smoking on his deathbed.
# fightclub sigs made with fortune
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
hossa, hast du die ports 21,22,23 freigeschaltet ? 21 = ftp 22 = ssh (besser als telnet) 23 = telnet Mit freundlichen Grüßen / With best regards Mario Wengler Systemadministrator gamigo AG Butterstr. 13 48431 Rheine / Germany www.gamigo.de -----Ursprüngliche Nachricht----- Von: Peter [mailto:merlin@bytebreaker.de] Gesendet: Dienstag, 6. November 2001 20:34 An: Suse-Linux@Suse. Com Betreff: firewall.config.rc Hallo Liste, ich habe mir nun mal eine Firewall aufgesetzt und das funktioniert auch ganz gut. Leider zu gut, denn wenn die Firewall läuft funktionieren bestimmte Dienste weder intern noch extern. Ich kann kein Telnet mehr machen kein FTP und auch ICQ verweigert den Dienst. Ich habe in der firewall.config.rc über services_allow den Zugriff gestatted aber es funktioniert trotzdem nicht. Was mache ich falsch ? Ich nutze Suse 7.0 mit Kernel 2.2.16. Für jede Hilfe bin ich dankbar. Vielleicht mal ein Auszug oder eine fu8nktioniere nicht Standart firewall.config.rc fände ich toll. Danke Peter -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
participants (4)
-
Elpelt@t-online.de
-
Henne Vogelsang
-
Mario Wengler
-
Peter