SuSE Firewall Script und NTP 123
Hallo Leute. Ich habe vor vier Tagen eine SuSE 6.4 installiert und das beiliegende SuSE Firewallscript über yast konfiguriert. Soweit funktioniert die Firewall auch schon, das heißt, daß Masquerading und Blocken von https://grc.com/ Onlinecheck funktioniert. Nur habe ich noch ein Problem mit meinem NTP Server, der keinen Anfragen an die Timeserver stellen kann. --8<------------------------schnipp------------------------->8--- Jun 13 12:25:38 server kernel: Packet log: input DENY ippp2 PROTO=17 128.105.37.11:123 149.225.41.182:123 L=76 S=0x00 I=60980 F=0x4000 T=231 (#294) --8<------------------------schnapp------------------------->8--- Kann mir jemand mal eine Tip geben was ich in der yast Konfiguration wo eingeben muß, damit die NTP Server Abfragen funktionieren. Ich bin momentan noch nicht soweit ein eigenes Firewallscript zu schreiben, wollte aber doch schon mal das SuSE Firewallscript benutzen. Mit der SuSE Anleitung auf: http://sdb.suse.de/sdb/de/html/sm_masq2.html komm ich schon klar, weiß aber leider nicht was ich für NTP wo eintragen soll. Danke schon mal für Tips. Bis denne Michael -- Erste Anlaufstellen für Linux-Infos de.comp.os.unix.linux.infos http://www.deja.com/ Howtos unter /usr/doc --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Michael Burkhard schrieb am 15.06.2000 zum Thema "SuSE Firewall Script und NTP 123":
Ich habe vor vier Tagen eine SuSE 6.4 installiert und das beiliegende SuSE Firewallscript über yast konfiguriert. [...] --8<------------------------schnipp------------------------->8--- Jun 13 12:25:38 server kernel: Packet log: input DENY ippp2 PROTO=17 128.105.37.11:123 149.225.41.182:123 L=76 S=0x00 I=60980 F=0x4000 T=231 (#294) --8<------------------------schnapp------------------------->8---
Kann mir jemand mal eine Tip geben was ich in der yast Konfiguration wo eingeben muß, damit die NTP Server Abfragen funktionieren.
Dem Log-Auszug entnehme ich., daß die NTP-Geschichten auf Port 123 ablaufen. Du mußt nur diesen Port freischalten. Bei mir (Suse 6.2) gibt es dafür in der /etc/rc.config die Zeile FW_TCP_LOCKED_PORTS, in der man die gesperrten Ports eintragen kann (desgleichen für UDP). Ich vermute, daß bei Dir Port 123 auch gesperrt ist. hth, Chrstian -- Made with a Macintosh... ChriSchmi@t-online.de http://home.t-online.de/home/chrischmi/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Michael Burkhard
Nur habe ich noch ein Problem mit meinem NTP Server, der keinen Anfragen an die Timeserver stellen kann.
--8<------------------------schnipp------------------------->8--- Jun 13 12:25:38 server kernel: Packet log: input DENY ippp2 PROTO=17 128.105.37.11:123 149.225.41.182:123 L=76 S=0x00 I=60980 F=0x4000 T=231 (#294) --8<------------------------schnapp------------------------->8---
Kann mir jemand mal eine Tip geben was ich in der yast Konfiguration wo eingeben muß, damit die NTP Server Abfragen funktionieren.
Zur näheren Ausführung habe ich hier noch einen Auszug aus meiner /etc/rc.config.d/firewall.rc.config : $: /usr/local/bin/cfcat /etc/rc.config.d/firewall.rc.config FW_DEV_WORLD="ippp0 ippp1 ippp2" FW_DEV_INT="eth0" FW_DEV_DMZ="" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_NETS="192.168.99.6 192.168.0.0/24" FW_MASQ_DEV="$FW_DEV_WORLD" FW_PROTECT_FROM_INTERNAL="no" FW_AUTOPROTECT_GLOBAL_SERVICES="yes" FW_SERVICES_EXTERNAL_TCP="" FW_SERVICES_EXTERNAL_UDP="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_INTERNAL_TCP="" FW_SERVICES_INTERNAL_UDP="" FW_TRUSTED_NETS="192.168.99.6 192.168.0.0/24" FW_SERVICES_TRUSTED_TCP="" FW_SERVICES_TRUSTED_UDP="" FW_ALLOW_INCOMING_HIGHPORTS_TCP="ftp-data" FW_ALLOW_INCOMING_HIGHPORTS_UDP="53 123" FW_SERVICE_DNS="no" FW_SERVICE_DHCLIENT="no" FW_SERVICE_DHCPD="no" FW_FORWARD_TCP="" FW_FORWARD_UDP="" FW_REDIRECT_TCP="" FW_REDIRECT_UDP="" FW_LOG_DENY_CRIT="yes" FW_LOG_DENY_ALL="no" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" FW_KERNEL_SECURITY="yes" FW_STOP_KEEP_ROUTING_STATE="no" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_FW_TRACEROUTE="no" FW_ALLOW_FW_SOURCEQUENCH="yes" Mit dieser Konfiguration wird meine Zeitserverabfrage blockiert. Mein Netzwerk besteht aus einem Server, auf dem der Firewall, Masquerading, News- Mail- und Popserver, sowie die Interneteinwahl laufen, sowie ein Client. Bis denne Michael -- Erste Anlaufstellen für Linux-Infos de.comp.os.unix.linux.infos http://www.deja.com/ Howtos unter /usr/doc --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Michael Burkhard
Ich habe vor vier Tagen eine SuSE 6.4 installiert und das beiliegende SuSE Firewallscript über yast konfiguriert.
Habe irgendwo gelesen, daß das firewall-Script fehlerhaft wäre. Auf www.suse.de gibt's wohl ein Update...
Nur habe ich noch ein Problem mit meinem NTP Server, der keinen Anfragen an die Timeserver stellen kann.
--8<------------------------schnipp------------------------->8--- Jun 13 12:25:38 server kernel: Packet log: input DENY ippp2 PROTO=17 128.105.37.11:123 149.225.41.182:123 L=76 S=0x00 I=60980 F=0x4000 T=231 (#294)
Da stehts doch schon: Die Regel Nummer 294 der chain INPUT verbietet (DENY) Deinem Rechner (128.105.37.11) eine Anfrage an 149.225.41.182 zu stellen. Laß Dir mal mit "ipchains -L input --line-numbers" die aktuellen Regeln anzeigen. Die mit der o.g. Nummer kannst Du dann entsprechend ändern bzw. Löschen. -- Viele Grüße aus Weimar Thomas Voigt --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (3)
-
ChriSchmi@t-online.de
-
m.burkhard@gmx.de
-
thomas.voigt@dg0ofz.weimar.thur.de