Hi! 2 Fragen: FW_MASQ_NETS: Dabei wird zb. XXX.XXX.XXX.XXX/32,0/0,tcp,8080 für die Freigabe eines Rechners für den Port 8080 nach draussen angegeben. Was bedeutet das 0/0 dabei? High Ports: Ich will nur bestimmte Ports freigeben, das gelingt mir aber nicht wirklich. Wenn ich mir einen tcpdump ansehe und ich den Rechner a auf Port 8080 von draussen kontaktiere, dann schaut der Dump folgendermaßen aus: 22:31:46.371152 xxx.xxx.xxx.xxx.23371 > xxx.xxx.xxx.xxx.8080: tcp 0 Warum wird als Source IP ein beliebiger Highport verwendet, wie muß die Freigabe des Destinationsrechners aussehen, der kann muß ja eigentlich dann beliebig Ports verwenden können? lg ------------------------------------------- Versendet durch AonWebmail (webmail.aon.at)
Am Mittwoch, 1. September 2004 22:29 schrieb Martin Hochreiter:
Hi!
2 Fragen:
FW_MASQ_NETS: Dabei wird zb. XXX.XXX.XXX.XXX/32,0/0,tcp,8080 für die Freigabe eines Rechners für den Port 8080 nach draussen angegeben. Was bedeutet das 0/0 dabei?
Das 0/0 steht für 0.0.0.0/0 also für jede x-beliebige IP-Adresse.
High Ports: Ich will nur bestimmte Ports freigeben, das gelingt mir aber nicht wirklich. Wenn ich mir einen tcpdump ansehe und ich den Rechner a auf Port 8080 von draussen kontaktiere, dann schaut der Dump folgendermaßen aus:
22:31:46.371152 xxx.xxx.xxx.xxx.23371 > xxx.xxx.xxx.xxx.8080: tcp 0
Warum wird als Source IP ein beliebiger Highport verwendet, wie muß die Freigabe des Destinationsrechners aussehen, der kann muß ja eigentlich dann beliebig Ports verwenden können?
Die Source-Ports spielen keine Rolle. Für die Firewallkonfiguration, ist nur der Destination-Port relevant. Bei den Highports brauchst du dann nur die 8080 eintragen. Alles was zur bestehenden Verbindung gehört wird AFAIK so wie so durchgelassen. (established, related) lg, Andreas
Die Source-Ports spielen keine Rolle. Für die Firewallkonfiguration, ist nur der Destination-Port relevant. Bei den Highports brauchst du dann nur die 8080 eintragen. Alles was zur bestehenden Verbindung gehört wird AFAIK so wie so durchgelassen. (established, related)
Hi Andi! Sobald ich statt xxx.xxx.xxx.a/32 xxx.xxx.xxx.a/32,0/0,tcp,8080 verwende (also nicht den gesamten Rechner a freigebe) kommen zwar Anfragen rein, die Antwort wird aber blockiert, sobald ich den ganzen Rechner freigebe funktionierts wieder - das dürfte aber nicht passieren, wenn die gesamte Kommunikation auf Port 8080 läuft. lg Martin ------------------------------------------- Versendet durch AonWebmail (webmail.aon.at)
Am Donnerstag, 2. September 2004 06:36 schrieb Martin Hochreiter:
Die Source-Ports spielen keine Rolle. Für die Firewallkonfiguration, ist nur der Destination-Port relevant. Bei den Highports brauchst du dann nur die 8080 eintragen. Alles was zur bestehenden Verbindung gehört wird AFAIK so wie so durchgelassen. (established, related)
Hi Andi!
Sobald ich statt xxx.xxx.xxx.a/32 xxx.xxx.xxx.a/32,0/0,tcp,8080 verwende (also nicht den gesamten Rechner a freigebe) kommen zwar Anfragen rein, die Antwort wird aber blockiert, sobald ich den ganzen Rechner freigebe funktionierts wieder - das dürfte aber nicht passieren, wenn die gesamte Kommunikation auf Port 8080 läuft.
Sind die xxx.xxx.xxx.a Adressen locale Adressen oder sind das offizielle IP-Adressen. Wenn es lokale Adressen sind blockiert die SuSE-Firewall mit ihren anti-spoofing-Regeln den Verkehr, da sie lokale Anforderungen verwirft. Bin selber grad dabei mir ein eigenes Firewallskript zu basteln, weil die SuSEFirewall mit ihren absonderlichen Anti-Spoofing (welches in Umgebungen mit offiziellen Adressen durchaus seine Berechtigung hat) mir die eine oder andere gewünschte Kommunikation verwehrt. Wenn Du Dich näher mit Firewalls beschäftigst, kann ich Dir nur "Das Firewall Buch" von Wolfgang Barth empfehlen. IMHO würde es Dir auch nicht sehr viel helfen, wenn Dir jetzt jemand auf die schnelle ein Skript für Dich bastelt, weil bei jeder Änderung Deiner Konfiguration Anpassungen erforderlich wären. Als wichtigstes Argument jedoch scheint mir, dass jeder Firewalladmin genau wissen sollte was seine Firewall tut, ob das nun im professionellen Bereich ist oder im privaten ist völlig egal. Firewall bleibt Firewall. lg, Andreas.
Am Donnerstag, 2. September 2004 14:47 schrieb Andreas Scherer:
Am Donnerstag, 2. September 2004 06:36 schrieb Martin Hochreiter:
Die Source-Ports spielen keine Rolle. Für die Firewallkonfiguration, ist nur der Destination-Port relevant. Bei den Highports brauchst du dann nur die 8080 eintragen. Alles was zur bestehenden Verbindung gehört wird AFAIK so wie so durchgelassen. (established, related)
Hi Andi!
Sobald ich statt xxx.xxx.xxx.a/32 xxx.xxx.xxx.a/32,0/0,tcp,8080 verwende (also nicht den gesamten Rechner a freigebe) kommen zwar Anfragen rein, die Antwort wird aber blockiert, sobald ich den ganzen Rechner freigebe funktionierts wieder - das dürfte aber nicht passieren, wenn die gesamte Kommunikation auf Port 8080 läuft.
Sind die xxx.xxx.xxx.a Adressen locale Adressen oder sind das offizielle IP-Adressen. Wenn es lokale Adressen sind blockiert die SuSE-Firewall mit ihren anti-spoofing-Regeln den Verkehr, da sie lokale Anforderungen verwirft.
Bin selber grad dabei mir ein eigenes Firewallskript zu basteln, weil die SuSEFirewall mit ihren absonderlichen Anti-Spoofing (welches in Umgebungen mit offiziellen Adressen durchaus seine Berechtigung hat) mir die eine oder andere gewünschte Kommunikation verwehrt.
Das kann man aber mit der Variable FW_ANTISPOOF ausschalten. Zumindest unter 9.1 Mfg, Thomas
Am Donnerstag, 2. September 2004 17:05 schrieb Thomas Gräber:
Am Donnerstag, 2. September 2004 14:47 schrieb Andreas Scherer:
Am Donnerstag, 2. September 2004 06:36 schrieb Martin Hochreiter:
Die Source-Ports spielen keine Rolle. Für die Firewallkonfiguration, ist nur der Destination-Port relevant. Bei den Highports brauchst du dann nur die 8080 eintragen. Alles was zur bestehenden Verbindung gehört wird AFAIK so wie so durchgelassen. (established, related)
[...] Bin selber grad dabei mir ein eigenes Firewallskript zu basteln, weil die SuSEFirewall mit ihren absonderlichen Anti-Spoofing (welches in Umgebungen mit offiziellen Adressen durchaus seine Berechtigung hat) mir die eine oder andere gewünschte Kommunikation verwehrt.
Das kann man aber mit der Variable FW_ANTISPOOF ausschalten. Zumindest unter 9.1
Ich hab hier SuSE 9.0 und da gibt es diese Variable (noch) nicht. Also werde ich mir meine eigene Firewall "schnitzen" damit ich auch weiß was verworfen wird und was nicht. Die SuSEFirewall2 ist mir viel zu undurchsichtig. Als Nebeneffekt lerne ich ne Menge über Paketfilter und über TCP/IP und Netzwerke. :) lg, Andreas.
participants (3)
-
Andreas Scherer
-
Martin Hochreiter
-
Thomas Gräber