Hallo Christian, Am 23.11.2011 22:32, schrieb Christian Boltz:
Hallo Norbert, hallo Leute,
Am Mittwoch, 23. November 2011 schrieb Norbert Zawodsky:
FW_DEV_INT="eth1 *tun0*" FW_PROTECT_FROM_INT="*no*" Steht da wirklich "*no*" und *tun0* mit Sternen außenrum? Wenn ja, erklärt das Dein Problem. Nein. Die Sternchen hat Thunderbird dazu gesetzt, da ich in der meiner mail tun0 fett eingetippt hatte. Trotzdem konnte ich mich _nicht_ per ssh verbinden. Eine grundsätzliche Verbindung mit ftp geht, aber es werden keine Daten übertragen. In /var/log/firewall stehen diese entsprechenden Zeilen (auszugsweise):
SFW2-*INext-DROP-DEFLT* IN=tun0 OUT= MAC= SRC=192.168.3.10 DST=192.168.1.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=16288 DF PROTO=TCP SPT=60709 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0 OPT DPT=22 ist SSH - und der Log-Eintrag INext deutet darauf hin, dass die Firewall tun0 in die externe Zone gesetzt hat. Genau so habe ich das ebenfalls interpretiert. Aber dennoch nicht verstanden, da tun0 in der FW_DEV_INT Liste steht.. SFW2-*FWD-ILL-ROUTING* IN=tun0 OUT=tun0 MAC= SRC=192.168.3.10 DST=192.168.3.9 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=5141 SEQ=1 aus dem Tunnel und in den Tunnel - sieht so aus, als ob 192.168.3.10 über Deinen Rechner routen will... Das durchschaue ich im Moment nicht. Da muss ich länger drüber nachdenken. SFW2-*INext-DROP-DEFLT* IN=tun0 OUT= MAC= SRC=192.168.3.10 DST=192.168.1.1 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=48841 DF PROTO=TCP SPT=53249 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0 OPT DPT=23 ist telnet, und auch hier wieder INext für tun0
Ich habe am gesamten setup (firewall + openvpn) seit 11.2 nichts geändert und jetzt plötzlich geht nichts mehr. Was kann da falsch sein ???? IIRC hat sich in der SuSEfirewall das ein oder andere geändert, das auch Ergänzungen in der Konfiguration erfordert. Zum Beispiel muss man jetzt die Highports für FTP extra freigeben: FW_SERVICES_ACCEPT_RELATED_EXT="0/0,tcp,,20000:21000" (die verwendeten Highports musst Du in der Config des FTP-Daemons konfigurieren)
Das Ganze sollte Dich allerdings nicht jucken, solange es sich in der internen Zone abspielt. Die Grundfrage bleibt also, warum tun0 der externen Zone zugeordnet ist. Siehe meine "Sternchenfrage" oben. Falls es das nicht ist und Du hier keine Antwort bekommst, frag mal auf opensuse-security nach.
Gruß
Christian Boltz Ich werd die opensuse-security Liste bemühen ...
Danke jedenfalls! -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org