Rechner ist von außen nicht erreichbar
Hallo, ich benutze SuSE Linux 7.3 und habe auf meinem Rechner den Apache Webserver und ProFTP laufen. Beides funktioniert im lokalen Netzwerk auch wunderbar. Nur ist meiner Rechner vom Internet nicht erreichbar. Weiß jemand woran das liegen könnte? cya Tobias
Moin! On Son, Feb 24, 2002 at 11:26:05 +0100, T Haeberle wrote:
ich benutze SuSE Linux 7.3 und habe auf meinem Rechner den Apache Webserver und ProFTP laufen. Beides funktioniert im lokalen Netzwerk auch wunderbar. Nur ist meiner Rechner vom Internet nicht erreichbar. Weiß jemand woran das liegen könnte?
Hast du 'ne Firewall auf dem Rechner laufen? Wenn ja, sind die Ports 21 und 80 für Zugriffe von außen freigeschaltet? ein par Infos mehr wären ganz hilfreich... ;-). ciao, Schöpp -- Christian Schoepplein | http://www.lily-rockt.de mail@schoeppi.net | http://www.lavish.de
Moin,
* T Haeberle
ich benutze SuSE Linux 7.3 und habe auf meinem Rechner den Apache Webserver und ProFTP laufen. Beides funktioniert im lokalen Netzwerk auch wunderbar. Nur ist meiner Rechner vom Internet nicht erreichbar. Weiß jemand woran das liegen könnte? Hast Du denn eine Verbindung zum Internet?
Thorsten -- In dem Augenblick, wo wir anfangen unsere Freiheitsrechte einzuschränken, besorgen wird das Geschäft der Terroristen. - Günter Grass
On Sunday 24 February 2002 11:26, T Haeberle wrote:
Hallo,
ich benutze SuSE Linux 7.3 und habe auf meinem Rechner den Apache Webserver und ProFTP laufen. Beides funktioniert im lokalen Netzwerk auch wunderbar. Nur ist meiner Rechner vom Internet nicht erreichbar. Weiß jemand woran das liegen könnte?
LOL! Normalerweise müßte man sich darüber freuen ;-) Du musst hier ein bisschen genauer erzählen, wie Du das versucht hast. Mit IP Adresse, oder Rechnername? Geht ein ping auf deinen Rechner? Beschreib' bitte, die Schritte, die Du gemacht hast, und was dabei passiert ist. -chris
suse@kuhi.net schrieb:
On Sunday 24 February 2002 11:26, T Haeberle wrote:
ich benutze SuSE Linux 7.3 und habe auf meinem Rechner den Apache Webserver und ProFTP laufen. Beides funktioniert im lokalen Netzwerk auch wunderbar. Nur ist meiner Rechner vom Internet nicht erreichbar. Weiß jemand woran das liegen könnte?
Du musst hier ein bisschen genauer erzählen, wie Du das versucht hast. Mit IP Adresse, oder Rechnername? Geht ein ping auf deinen Rechner?
Ich würde hier schon fast behaupten, dass die Firewall aktiv ist. SuSE hat als Standard-Einstellungen halt eine komplette Blockade von aussen! (Was auch gut so ist!). Also einfach einmal ein paar Infos rund um die Firewall ziehen oder Firewall abschalten (schlechteste Lösung). Mit den besten Grüßen, Konrad Neitzel -- SoftMediaTec GmbH Tel: 0172 / 689 31 45 Fax: 069 / 90 50 99 53
Chris Kuhi (suse@kuhi.net) meinte:
On Sunday 24 February 2002 11:26, T Haeberle wrote:
Hallo,
ich benutze SuSE Linux 7.3 und habe auf meinem Rechner den Apache Webserver und ProFTP laufen. Beides funktioniert im lokalen Netzwerk auch wunderbar. Nur ist meiner Rechner vom Internet nicht erreichbar. Weiß jemand woran das liegen könnte?
LOL! Normalerweise müßte man sich darüber freuen ;-)
Du musst hier ein bisschen genauer erzählen, wie Du das versucht hast. Mit IP Adresse, oder Rechnername? Geht ein ping auf deinen Rechner?
Beschreib' bitte, die Schritte, die Du gemacht hast, und was dabei passiert ist.
-chris
Also, ich erkläre es nun noch mal für alle: Wenn ich bei bestehender Internetverbindung versuche meinen Rechner mit seiner Internet-IP, also die Adresse, die er von T-Online bekommt, zu erreichen (zum Beispiel mit einem Webbrowser), so geschieht nichts. Er schafft es nicht eine Verbindung aufzubauen. Ganz interessant wäre es vielleicht noch zu erwähnen, dass ich diesen Schritt aus dem lokalen Netzwerk mache. Wobei ich auch schon ein mal anderen Menschen, die nicht bei mir im Netzwerk sind, gesagt habe, sie sollten versuchen auf meinen Server zuzugreifen. Auch bei denen hat es nicht getan! So, auf dem Server läuft die SuSE Firewall2 (Beta). Ich denke, dass das der Grund sein könnte wieso es nicht geht. Kann mir jemand mal sagen, wie ich dieses Gerät konfigurieren muss, damit man meinen Apache bzw FTP Server erreichen kann. Übrigens hat auch das "Pingen" der Internet-IP nicht funktioniert: PING 217.3.85.6 (217.3.85.6): 56 data bytes --- 217.3.85.6 ping statistics --- 10 packets transmitted, 0 packets received, 100% packet loss Hoffentlich könnt ihr mir nun helfen! LOL cya Tobias | Tobias Haeberle | unix-power@t-haeberle.com | ICQ# 132897160 | | UNIX POWER | Using Mac OS X and SuSE Linux 7.3
"Tobias Haeberle (Linux User)"
So, auf dem Server läuft die SuSE Firewall2 (Beta). Ich denke, dass das der Grund sein könnte wieso es nicht geht. Kann mir jemand mal sagen, wie ich dieses Gerät konfigurieren muss, damit man meinen Apache bzw FTP Server erreichen kann.
Du hast das Problem doch erfasst. Die Firewall blockt die Verbindungen. Du hast die Firewall installiert und es gibt ein Verzeichnis /usr/share/doc/packages/<paket>, wo einiges an Infos liegt. Desweiteren gibt es google! Das habe ich auch schon in die Liste geschrieben! Also setze Dich mal hinund lies etwas! Das fördert auch das Verstehen, was da eigentlich abgeht! Security ist im Internet immer wichtiger! Da sollte man schon wissen, was man was wann und wieso macht. Der Weg sollte klar sein (benötigte Ports freigeben - http ist Port 80!), also los: spurte Dich! Mit den besten Grüßen, Konrad Neitzel -- SoftMediaTec GmbH Tel: 0172 / 689 31 45 Fax: 069 / 90 50 99 53
Hallo, Tobias Haeberle:
So, auf dem Server läuft die SuSE Firewall2 (Beta). Ich denke, dass das der Grund sein könnte wieso es nicht geht. Kann mir jemand mal sagen, wie ich dieses Gerät konfigurieren muss, damit man meinen Apache bzw FTP Server erreichen kann.
Konrad Neitzel:
Du hast das Problem doch erfasst. Die Firewall blockt die Verbindungen. Du hast die Firewall installiert und es gibt ein Verzeichnis /usr/share/doc/packages/<paket>, wo einiges an Infos liegt.
Desweiteren gibt es google! Das habe ich auch schon in die Liste geschrieben!
Also setze Dich mal hinund lies etwas! Das fördert auch das Verstehen, was da eigentlich abgeht! Security ist im Internet immer wichtiger! Da sollte man schon wissen, was man was wann und wieso macht.
Der Weg sollte klar sein (benötigte Ports freigeben - http ist Port 80!), also los: spurte Dich!
Da muß ich, glaube ich, den Tobias mal in Schutz nehmen: An dem Problem bastle ich seit Tagen auch. Ich versuche nochmal, alles zusammenzufassen, wie ich's verstehe und wie es auch bei mir auftritt: Du hast einen Server. Dieser Server maskiert dein lokales Netz nach draussen. Dem einfachen Verständniss halber geben wir ihm mal diese zwei IPs: 1.2.3.4, also extern. 192.168.0.1 , also intern. Auf dem Server läuft, sagenwirmal, ein Webserver. Nur als Beispiel. Problem: Wenn du in deinem internen Netz auf dem Client im Browser http://192.168.0.1 eingibst, erscheint: Deine Website. Gibt ein guter Kumpel von sonstwo außerhalb in seinem Browser ein: http://1.2.3.4 erscheint, hurra: Deine Website. Wenn du auf deinem Server http://192.168.0.1 oder http://1.2.3.4 eingibst, erscheint: Dein Website. ABER: Wenn du auf einem der maskierten Clients eingibst: http://1.2.3.4 dann bleibt deinen Anfrage in der Firewall hängen. Je nach Konfiguration mit der (sinngemässen) Meldung, es handele sich um -einen unerlaubten Zugriff von intern auf die Firewall, oder sogar -um einen Spoof-Versuch, weil 192.168.0.x auf 1.2.3.4 ja gar nicht sein könne. Das war mein Problem, und wenn ich dich verstehe, hast du da was gleichwertiges. Vermutlich hast du keine feste externe IP etc., aber das gleich Problem. Korrekt? Zusammenfassung: Zugriff von maskierten Clients auf die Servereigene externe IP wird geblockt. Nach meinem bescheidenen Kenntnisstand handelt es sich um einen Bug. Widerspruch erwünscht. ;-) Ich schraube da seit Tagen dran rum. Google fand Leute mit dem gleichen Problem, leider keine Lösung. Ich habe da jetzt was ausgetüftelt. Es gefällt mir nicht, aber ich habe es eben mit Port 80 ausprobiert, es hat geklappt, morgen geht es ins Detail. Soviel bis jetzt: Ich habe mir die letzte Final der Susefirewall2 downgeloadet. Die Adresse habe ich selbst erst heute morgen bekommen. :-) http://www.suse.de/~marc/ ...und installiert. Die bisherige /etc/rc.config.d/fire* -Konfiguration wird gebackuppt und überschrieben. Ich habe mir die Mühe gemacht, nicht einfach die alte Konfig wiederzuholen, die neue ist glaubich minimal anders, sondern habe die alten Werte in die neue Konfig übertragen. Und vorher noch 'ne unberührte Kopie gemacht. So, GANZ am Ende, in der Profi-Sektion (Harhar!): FW_CUSTOMRULES ist auskommentiert. Aktivieren, bitte. Dann die dazugehängte Datei ./firewall2-custom.rc.config editieren. Ich weiss nicht so wirklich, was ich tue, ich habe folgendes gemacht: In der Sektion fw_custom_before_antispoofing (Das ist die erste) habe ich hinzugefügt: iptables -A INPUT -j ACCEPT -d 1.2.3.4 --protocol tcp --destination-port 80 Bitte in eine Zeile, und 1.2.3.4 ist meine externe IP. Da darfst du mit DialUp etwas basteln. Puh, ich nicht. ;-) Damit wird ohne Details der Zugriff auf meine externe Website freigeschaltet, geht, Hurra, und an so'n Kram wie ftp denke ich heute nicht mehr. Ach ja, ein Tip noch. Falls du deine Firewall mit dem Befehl rcSuSEfirewall2 restart aktivierst: Da wird blöderweise STDOUT und STDERR nach /dev/nul umgeleitet, wenn due einen Tippfehler gemacht hast, erfährst du das nie. ;-( Solange du bastelst, benutze lieber SuSEfirewall2 restart da kriegste Feedback. Da war der Zaun wohl nicht hoch genug, der das Marketing aussperren sollte, als die Befehlsnamen verteilt wurden. Branding, Branding, Branding,... SuSE statt suse... Dummtüch... ich vertipp mich jedesmal... Meld dich mal, ob's rennt. Gruß, Ratti
Hi Ratti, wau, das war nicht schlecht. Ja genau das ist mein Problem. Das mit dem genzen Firewall Zeug und iptables (--> was ist das eigentlich??), muss ich mir noch mal durch den Kopf gehen lassen. LOL ächz Kennst du dyndns.org? Dadurch bin ich nämlich erst auf mein Problem aufmerksam geworden: Die richten dir eine Subdomain (deinname.dyndns.org) ein, die immer auf deine jeweilige IP verweist, sofern du sie upgedated hast. Das ist natürlich nur für solche, die keine feste IP haben. Der Witz nun ist, dass fremde, die nicht im eigenen Netz sind mit dieser Subdomain auf meinen Server zugreifen können. Ich kann das jedoch nicht, weder von lokalen Clients noch vom Server selbst. Na ja, was soll's. Noch was anderes: Mir fällt grad ein, dass ich (als noch SuSE 6.4) hatte, auch mit meinen Clients auf den Server übers Internet zugreifen konnte. Also doch ein BUG? cya all Tobias Ratti:
Meld dich mal, ob's rennt.
Gruß, Ratti
Hallo, Tobias Haeberle:
wau, das war nicht schlecht. Ja genau das ist mein Problem. Das mit dem genzen Firewall Zeug und iptables (--> was ist das eigentlich??), muss ich mir noch mal durch den Kopf gehen lassen. LOL ächz
Auch ächtz. Nachdem ich dachte, ich hätte ipchains halbwegs begriffen, wurde es abgeschafft und durch iptables ersetzt. Doppelächtz. ;-) iptables ist ein Paketfilter. Das ist ein Programm, das die Regeln bestimmt, was mit den Daten passiert, die über das Netzwerk kommen. Zum Beispiel: "Ah ja, anfrage auf meinen Webserver. Darf passieren. Oh, und das hier ist für meinen Mailserver, das macht ein anderer Rechner, also umleiten. Und noch ein Paket. TELNET? Irgendein Dödel von AOL will auf mein Telnet zugreifen???? Nix ist, Wandklatsch."
Kennst du dyndns.org? Dadurch bin ich nämlich erst auf mein Problem
Klar. gesindel.dyndns.org Ähem. ;-)
Noch was anderes: Mir fällt grad ein, dass ich (als noch SuSE 6.4) hatte, auch mit meinen Clients auf den Server übers Internet zugreifen konnte. Also doch ein BUG?
Suse 6.4 hatte sowieso einen komplett anderen Paketfilter. Aber der wurde langweilig. ;-) Gruß, Ratti
Hy, Am 02/02/25@20:56 schrieb Ratti: (...)
Du hast einen Server. Dieser Server maskiert dein lokales Netz nach draussen. Dem einfachen Verständniss halber geben wir ihm mal diese zwei IPs: 1.2.3.4, also extern. 192.168.0.1 , also intern.
(...)
Dann die dazugehängte Datei ./firewall2-custom.rc.config editieren. Ich weiss nicht so wirklich, was ich tue, ich habe folgendes gemacht: In der Sektion fw_custom_before_antispoofing (Das ist die erste) habe ich hinzugefügt:
iptables -A INPUT -j ACCEPT -d 1.2.3.4 --protocol tcp --destination-port 80
Bitte in eine Zeile, und 1.2.3.4 ist meine externe IP. Da darfst du mit DialUp etwas basteln. Puh, ich nicht. ;-)
Ich kenne die SuSEfirwall nicht aber wird die nicht aus ip-up gestartet? Dann kann man vielleicht die $4 verwenden (vielleicht noch exportieren als $LOCAL_IP). Ansonsten gibt es hier doch reichlich Hinweise im Archiv, wie man mit sed/awk die IP aus ifconfig schneidet. Hmm...verwendet das SuSEfirewall script vielleicht nicht schon sowas wie $LOCAL_IP? -- :wq-y Maik
Hallo,
Am 02/02/25@20:56 schrieb Ratti:
Bitte in eine Zeile, und 1.2.3.4 ist meine externe IP. Da darfst du mit DialUp etwas basteln. Puh, ich nicht. ;-)
Maik Holtkamp:
Ich kenne die SuSEfirwall nicht aber wird die nicht aus ip-up gestartet?
Keine Ahnung, aber eigentlich müsste man sie bei DialUp dort irgendwo reinhängen. Da ich eine fest IP habe, brauchte ich mir keinen Kopf zu zerbrechen, die Firewall wird mitgebootet und bleibt stehen.
Ansonsten gibt es hier doch reichlich Hinweise im Archiv, wie man mit sed/awk die IP aus ifconfig schneidet.
Ja. Das war ja auch nicht das Problem. Das Problem war/ist, daß die Susefirewall nach meinem Verständnis einen groben strukturellen Bug hat: Wenn das Ziel einer Anfrage ans Internet zufälligerweise der eigene Server ist, hast du keine Rechte. Sprich: Du kannst deine eigene Website nicht angucken, deinen eigenen ftp-Server nicht nutzen, etc... wenn du deine externe IP benutzt. Alle anderen da draussen haben mehr rechte als du. :-) In die gefundene Lösung dann die richtige IP einzufügen, ist, naja, nicht trivial, aber machbar. Das fiese ist halt, daß du irgendwann anfängst, in deiner Firewall alles und jedes freizuschalten, an allen möglichen und unmöglichen Plätzen Port 80 freischaltest, alle Blockaden niederreisst und du siehst immer noch nicht deine eigene Website. Und _die_ Löcher, die du da reisst, kannst du dann schön wieder stopfen. Grmbl... :-) Gruß, Ratti
Tobias Haeberle (Linux User) (linux@t-haeberle.com) meinte:
Chris Kuhi (suse@kuhi.net) meinte:
On Sunday 24 February 2002 11:26, T Haeberle wrote:
Hallo,
ich benutze SuSE Linux 7.3 und habe auf meinem Rechner den Apache Webserver und ProFTP laufen. Beides funktioniert im lokalen Netzwerk auch wunderbar. Nur ist meiner Rechner vom Internet nicht erreichbar. Weiß jemand woran das liegen könnte?
LOL! Normalerweise müßte man sich darüber freuen ;-)
Du musst hier ein bisschen genauer erzählen, wie Du das versucht hast. Mit IP Adresse, oder Rechnername? Geht ein ping auf deinen Rechner?
Beschreib' bitte, die Schritte, die Du gemacht hast, und was dabei passiert ist.
-chris
Also, ich erkläre es nun noch mal für alle: Wenn ich bei bestehender Internetverbindung versuche meinen Rechner mit seiner Internet-IP, also die Adresse, die er von T-Online bekommt, zu erreichen (zum Beispiel mit einem Webbrowser), so geschieht nichts. Er schafft es nicht eine Verbindung aufzubauen. Ganz interessant wäre es vielleicht noch zu erwähnen, dass ich diesen Schritt aus dem lokalen Netzwerk mache. Wobei ich auch schon ein mal anderen Menschen, die nicht bei mir im Netzwerk sind, gesagt habe, sie sollten versuchen auf meinen Server zuzugreifen. Auch bei denen hat es nicht getan!
So, auf dem Server läuft die SuSE Firewall2 (Beta). Ich denke, dass das der Grund sein könnte wieso es nicht geht. Kann mir jemand mal sagen, wie ich dieses Gerät konfigurieren muss, damit man meinen Apache bzw FTP Server erreichen kann.
Übrigens hat auch das "Pingen" der Internet-IP nicht funktioniert:
PING 217.3.85.6 (217.3.85.6): 56 data bytes
--- 217.3.85.6 ping statistics --- 10 packets transmitted, 0 packets received, 100% packet loss
Hoffentlich könnt ihr mir nun helfen! LOL
cya Tobias
UPDATE :: Wenn ich direkt von meinem Linux Rechner aus, die IP Adresse eingebe funktioniert es! Wenn ein anderer Mensch es macht, geht es nun auch! | Tobias Haeberle | unix-power@t-haeberle.com | ICQ# 132897160 | | UNIX POWER | Using Mac OS X and SuSE Linux 7.3
Hallo Tobias, versuch mal die Firewall von www.wolfgarten.com damit geht es wunderbar und auch die Konfig ist nicht so kompliziert wie die von SuSE. Gruß Sören -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~ Soeren Mindorf ~ ~ Industriemeister der Elektrotechnik ~ ~ Wrangelstrasse 33 ~ ~ 24105 Kiel ~ ~ E-Mail1: soeren@mindorf.org ~ ~ E-Mail2: soerenmm@web.de ~ ~ Homepage: http://www.mindorf.org ~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Am Montag, 25. Februar 2002 18:36 schrieb Tobias Haeberle (Linux User):
Also, ich erkläre es nun noch mal für alle: Wenn ich bei bestehender Internetverbindung versuche meinen Rechner mit seiner Internet-IP, also die Adresse, die er von T-Online bekommt, zu erreichen (zum Beispiel mit einem Webbrowser), so geschieht nichts. Er schafft es nicht eine Verbindung aufzubauen. Ganz interessant wäre es vielleicht noch zu erwähnen, dass ich diesen Schritt aus dem lokalen Netzwerk mache. Wobei ich auch schon ein mal anderen Menschen, die nicht bei mir im Netzwerk sind, gesagt habe, sie sollten versuchen auf meinen Server zuzugreifen. Auch bei denen hat es nicht getan!
Nochmal für die Dummen, Du hast einen Rechner mit Internetverbindung und lokaler Netzwerkkarte und willst aus dem Lokalen Netzwerk übers Internet auf den lokalen Rechner zugreifen? ---------------- | Loaler Rechner | a) b) c) ---------------- | | | | | | (eth0) | V ------------------------------ | | Rechner mit Internetanschluß | | ------------------------------ | ^ ^ | (ipp0) | | | V - Internet a) geht nicht? b) geht nicht? c) geht? Richtig so?
So, auf dem Server läuft die SuSE Firewall2 (Beta). Ich denke, dass das der Grund sein könnte wieso es nicht geht. Kann mir jemand mal
Natürlich kann das der Grund sein, wenn der Zugriff vom Internet aus nicht explizit freigegeben wurde. SuSE wäre grob fahrlässig, wenn sowas per default offen wäre. Obs an der Firwall liegt, siehst Du ja in den Logfiles (eine Firewall, deren Logfiles nicht kontrolliert werden, ist wie ein Auto das nicht betankt wird, es fährt nur kurz und dann gibts Ärger).
sagen, wie ich dieses Gerät konfigurieren muss, damit man meinen Apache bzw FTP Server erreichen kann.
Wenn Du einen Rechner betreiben willst, der vom Internet aus erreichbar sein soll, würd ich Dir raten ein gutes Buch zum Thema Firewall zu kaufen und eine Firewall ohne SuSE-Firewall aufzusetzen und natürlich die Logfiles regelmässig zu checken. -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ Manfred | http://www.knightsoft-net.de
Manfred Tremmel (Manfred.Tremmel@iiv.de) meinte:
---------------- | Loaler Rechner | a) b) c) ---------------- | | | | | | (eth0) | V ------------------------------ | | Rechner mit Internetanschluß| | ------------------------------ | ^ ^ | (ipp0) | | | V - Internet
a) geht nicht? b) geht nicht? c) geht?
a) geht nicht, b) und c) geht. Ratti hat folgendes geschrieben:
Das Problem war/ist, daß die Susefirewall nach meinem Verständnis einen groben strukturellen Bug hat: Wenn das Ziel einer Anfrage ans Internet zufälligerweise der eigene Server ist, hast du keine Rechte.
Sprich: Du kannst deine eigene Website nicht angucken, deinen eigenen ftp-Server nicht nutzen, etc... wenn du deine externe IP benutzt. Alle anderen da draussen haben mehr rechte als du. :-)
Das Buch über die Firewall ist eine gute Idee. Kennst du eines? | Tobias Haeberle | unix-power@t-haeberle.com | ICQ# 132897160 | | UNIX POWER | Using Mac OS X and SuSE Linux 7.3
participants (11)
-
Chris Kuhi
-
Christian Schoepplein
-
Konrad Neitzel
-
Maik Holtkamp
-
Manfred Tremmel
-
Ratti
-
Sören Mindorf
-
T Haeberle
-
Thorsten Haude
-
Tobias Haeberle
-
Tobias Haeberle (Linux User)