Hallo Liste, ich habe gerade veruscht, unter SuSE 6.4 firewall zu aktivieren, doch leider scheiterte der Versuch auf sehr mysterioese Art ;-) Nachdem einer Einwahl per ISDN beim ISP habe ich versucht mit fetchmail meine Emails abzuholen. Offenbar wird dabei eine DNS-Abfrage gestartet, die an den installierten Filterregeln von ipchains scheitert: kernel: Packet log: input DENY ippp0 PROTO=17 212.185.251.41:53 62.157.45.200:1026 L=153 S=0x00 I=23912 F=0x0000 T=59 (#141) Packet log: input DENY ippp0 PROTO=17 194.25.2.129:53 62.157.45.200:1026 L=153 S=0x00 I=46547 F=0x0000 T=56 (#141) So weit, so gut.... Eine Auflistung der einzelnen chains besagt jedoch, diese Pakete zu akzeptieren: Chain input (policy DENY): target prot opt source destination ports ACCEPT udp ------ 192.168.0.6 62.157.45.200 53 -> 1024:65535 Irgendwie fehlt mir da im Augenblick leider das Verstaendnis. Mario --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Am Don, 01 Jun 2000 schrieb Mario Maurer:
kernel: Packet log: input DENY ippp0 PROTO=17 212.185.251.41:53 62.157.45.200:1026 L=153 S=0x00 I=23912 F=0x0000 T=59 (#141)
Packet log: input DENY ippp0 PROTO=17 194.25.2.129:53 62.157.45.200:1026 L=153 S=0x00 I=46547 F=0x0000 T=56 (#141)
So weit, so gut.... Eine Auflistung der einzelnen chains besagt jedoch, diese Pakete zu akzeptieren:
Chain input (policy DENY): ^^^^ Glaub nicht, dass das zum Erfolg beiträgt.
target prot opt source destination ports ACCEPT udp ------ 192.168.0.6 62.157.45.200 53 -> 1024:65535 ^^^ ^^^^^^^^^^^ Protokoll udp? Die Adresse entspricht auch nicht den oben genannten. Also das ist unter Garantie nicht die entsprechende Regel.
-- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ | http://www.knightsoft.de Manfred | http://www.knightsoft-net.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Fri, Jun 02, 2000 at 10:58:47PM +0200, Manfred Tremmel wrote:
Chain input (policy DENY): Glaub nicht, dass das zum Erfolg beiträgt.
Hier wird nur die Policy festgelegt, die besagt, im Fall keiner zutreffenden Chain das Paket abzulehnen, hat also nur grundsaetzlichen Charakter.
target prot opt source destination ports ACCEPT udp ------ 192.168.0.6 62.157.45.200 53 -> 1024:65535 ^^^ ^^^^^^^^^^^ Protokoll udp? Die Adresse entspricht auch nicht den oben genannten. Also das ist unter Garantie nicht die entsprechende Regel.
Udp ist schon richtig. Es ist auch die Regel, um die es in dem Fall geht. Der Auszug stammte jedoch von einem spaeteren Versuch, so dass mir leider die falsche Sourceadresse hier reingerutscht war. Die Loesung habe ich nach einigem Probieren dann selbst gefunden... Es ist mal wieder eines der kleinen Geheimnisse der Distribution. Traegt man mehrere vorhandene Nameserver in der mir als ueblich erscheinenden Art und Weise # nameserver ip1 ip2 ip3 in die resolv.conf ein, uebernimmt das Firewallskript nur den jeweils ersten Eintrag und uebersieht das Vorhandensein weiterer Nameserver. Mit Yast werden in die resolv.conf verschiedene Nameserver wie folgt eingetragen: # nameserver ip1 # nameserver ip2 # nameserver ip3 In dem Fall wertet das Skript auch mehrere Nameserver aus und setzt dann die entsprechenden Regeln per ipchains. Es scheint da im Skript also noch etwas Anpassungsbedarf zu geben ;-) Gruss, Mario --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (2)
-
Manfred.Tremmel@iiv.de -
mmaureraks@t-online.de