Hallo Henne, nochmals dank für die Hilfe, aber leider ohne Erfolg. Sobald ich die Firewall starte sind sogar meine internen Verbindungen weg also telnet Exceed nix geht mehr. Hast Du noch eine andere Idee ?? Tschau Peter
-----Ursprüngliche Nachricht----- Von: Henne Vogelsang [mailto:hvogel@hennevogel.de] Gesendet: Mittwoch, 7. November 2001 00:54 An: suse-linux Betreff: Re: firewall.config.rc
Hi,
On Dienstag, November 06, 2001 at 23:50:40, Peter wrote:
FW_DEV_WORLD="ppp0" FW_DEV_DMZ="eth0"
Hm DMZ? Hast du wirklich ne DMZ oder ist das das interne netz?
FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_NETS="192.168.0.0/8"
FW_MASQ_NETS="192.168.0.0/24"
http://www.faqs.org/rfcs/rfc790.html
FW_LOCALNETS="192.168.0.0/24" FW_MASQ_DEV="ppp0" FW_PROTECT_FROM_INTERNAL="no" FW_AUTOPROTECT_GLOBAL_SERVICES="yes" FW_SERVICES_EXTERNAL_TCP="113 119 5190 8000 telnet ftp" FW_SERVICES_EXTERNAL_UDP="113 119 5190" # Common: domain
uh oh du bietest alle diese services auf der firewall nach außen hin an? ich denk mal nicht oder? Alles rausnehmen. Du brauchst das _nicht_ um diese dienste zu benutzen!
FW_SERVICES_INTERNAL_TCP="113 119 5190 8000 telnet ftp" FW_SERVICES_INTERNAL_UDP="113 119 5190"
Hat keine wirkung da du FW_PROTECT_FROM_INTERNAL="no" gemacht hast. Kannste alles rausnehmen.
FW_TRUSTED_NETS="" #"192.168.0.0/8" FW_SERVICES_TRUSTED_TCP="119 5190" # Common: ssh FW_SERVICES_TRUSTED_UDP="119 5190" # Common: syslog time ntp
Hier auch. FW_TRUSTED_NETS="" nicht definiert also brauchste auch keine ports eintragen.
FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" # Common: "ftp-data" (sadly!) FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"
Brauchst du wirklich alle highports?
FW_SERVICE_DNS="domain"
hm domain? ich denk hier sind nur no oder yes erlaubt. Und ist auch nur nötig wenn du DNS services nach außen hin anbietest.
FW_SERVICE_DHCLIENT="no" # if you use dhclient to get an ip FW_SERVICE_DHCPD="no" # set to "yes" if this server is a DHCP server FW_SERVICE_SAMBA="yes"
aua samba auf ner firewall?
FW_LOG_DENY_CRIT="yes" FW_LOG_DENY_ALL="no" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" FW_KERNEL_SECURITY="no"
Würde ich anstellen.
FW_STOP_KEEP_ROUTING_STATE="yes"
Würde ich bei ner dialup verbindung ausstellen.
FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_FW_SOURCEQUENCH="yes" FW_MASQ_MODULES="news autofw cuseeme ftp irc mfw portfw quake raudio user vdolive"
Ich denke das größte Problem ist das du zu wenig bits vom 192er netz Maskiert hast. FW_MASQ_NETS
Henne
-- Hendrik Vogelsang aka Henne mailto: hvogel@hennevogel.de
Recycling and speed limits are bullshit, they're like someone who quits smoking on his deathbed.
# fightclub sigs made with fortune
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com