Anzeige:
Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 15 von 20

Thema: Probs mit der SuSEfirewall2

  1. #1
    Registrierter Benutzer
    Registriert seit
    Aug 2003
    Ort
    Duisburg
    Beiträge
    94

    Exclamation Probs mit der SuSEfirewall2

    Wenn ich die SuSEfirewall2 anschalte dann kann ich nicht mal mehr surfen. Bei mir wird da alles blockiert. Hier die einstellungen meiner SuSEfirewall2:

    FW_QUICKMODE="no"
    FW_DEV_EXT="eth0"
    FW_DEV_INT=""
    FW_DEV_DMZ=""
    FW_ROUTE="no"
    FW_MASQUERADE="no"
    FW_MASQ_DEV="$FW_DEV_EXT"
    FW_MASQ_NETS=""
    FW_PROTECT_FROM_INTERNAL="no"
    FW_AUTOPROTECT_SERVICES="yes"
    FW_SERVICES_EXT_TCP="4662 http https pop3 pop3s smtp"
    FW_SERVICES_EXT_UDP="4672"
    FW_SERVICES_EXT_IP=""
    FW_SERVICES_DMZ_TCP=""
    FW_SERVICES_DMZ_UDP=""
    FW_SERVICES_DMZ_IP=""
    FW_SERVICES_INT_TCP=""
    FW_SERVICES_INT_UDP=""
    FW_SERVICES_INT_IP=""
    FW_SERVICES_QUICK_TCP=""
    FW_SERVICES_QUICK_UDP=""
    FW_SERVICES_QUICK_IP=""
    FW_TRUSTED_NETS=""
    FW_ALLOW_INCOMING_HIGHPORTS_TCP="no"
    FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS"
    FW_SERVICE_AUTODETECT="yes"
    FW_SERVICE_DNS="no"
    FW_SERVICE_DHCLIENT="no"
    FW_SERVICE_DHCPD="no"
    FW_SERVICE_SQUID="no"
    FW_SERVICE_SAMBA="no"
    FW_FORWARD=""
    FW_FORWARD_MASQ=""
    FW_REDIRECT=""
    FW_LOG_DROP_CRIT="yes"
    FW_LOG_DROP_ALL="no"
    FW_LOG_ACCEPT_CRIT="yes"
    FW_LOG_ACCEPT_ALL="no"
    FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW"
    FW_KERNEL_SECURITY="yes"
    FW_STOP_KEEP_ROUTING_STATE="no"
    FW_ALLOW_PING_FW="yes"
    FW_ALLOW_PING_DMZ="no"
    FW_ALLOW_PING_EXT="no"

  2. #2
    Registrierter Benutzer Avatar von towo2099
    Registriert seit
    Feb 2002
    Ort
    Pößneck
    Beiträge
    4.565
    FW_DEV_EXT="eth0" ==> bist Du sicher? Wie gehst Du in's Netz?
    FW_DEV_INT="" ==> hm, fehlt da nich was?
    Signatur nach Diktat Spazieren gegangen ;)

  3. #3
    Registrierter Benutzer
    Registriert seit
    Aug 2003
    Ort
    Duisburg
    Beiträge
    94
    Also ich gehe mit einer Ethernet Karte und einem DSL Modem über T-Online T-DSL ins inet. Und was den Eintrag betrifft der evtl. fehlen könnte, ich habe die Firewall mithilfe der yast2 konfiguration eingerichtet.

  4. #4
    Premium Mitglied Avatar von Stage
    Registriert seit
    Jun 2002
    Beiträge
    810
    FW_DEV_EXT="eth0"

    mach daraus mal ein
    Code:
    FW_DEV_EXT="ppp0"
    Kernel (2.6.x) Konfigurations-Howto
    Gentoo Optimierungs-Howto
    IRC: irc.freenode.org - #gentoo-anfaenger

  5. #5
    Registrierter Benutzer Avatar von towo2099
    Registriert seit
    Feb 2002
    Ort
    Pößneck
    Beiträge
    4.565
    FW_DEV_EXT="ppp0" ==> das steht aber auch in YaST!
    FW_DEV_INT="eth0" ==> sollte funzen
    Signatur nach Diktat Spazieren gegangen ;)

  6. #6
    Registrierter Benutzer
    Registriert seit
    Aug 2003
    Ort
    Duisburg
    Beiträge
    94

    Talking

    Cool thx jetzt gehts

  7. #7
    Registrierter Benutzer
    Registriert seit
    Jul 2003
    Ort
    bei den fiesen Friesen ;o)
    Beiträge
    23
    Moin Läude ;o)
    mal ne Verständnisfrage zur Firewall-Config von DJ-JP:
    FW_SERVICES_EXT_TCP="4662 http https pop3 pop3s smtp"

    bedeutet diese Freigabe nicht, dass damit der Zugriff der
    o.a. Dienste von außen unbeschränkt gestattet
    ist ?
    Wenn dem so ist, wäre seine Firewall ja praktisch sinnlos,
    (zumindest aber nen Schweizer Käse) oder hab ichs noch
    nicht gecheckt ? (bin selbst noch Linux-DAU)

    Danke schonmal für die Aufklärung;
    Gruß
    vom Hopper
    PC 1: Pentium4 1,6@2,13 Ghz auf Asus P4B266 mit 1 GB RAM DDR, CD, CR/RW, HD 60 GB Western Digital, HD 20 GB Maxtor, GF4Ti4200, SB Live! 5.1 (OS: SuSE 8.2 / Win2k)
    PC 2: Celeron 1,4@1,6 Ghz auf Asus TUSL-2C mit 512 MB RAM SD, CD, CD/RW, HD Western Digital 40 GB, GF4MX440, 4.1 Sound (OS: SuSE 8.2 / Win2k)
    PC 3: Pentium2 333Mhz auf Acer mit 256 MB RAM SD, HD 9 GB IBM (als Router mit SuSE 8.2)
    Netz: adsl flat mit 128up/768down

  8. #8
    Registrierter Benutzer Avatar von towo2099
    Registriert seit
    Feb 2002
    Ort
    Pößneck
    Beiträge
    4.565
    bedeutet diese Freigabe nicht, dass damit der Zugriff der
    o.a. Dienste von außen unbeschränkt gestattet
    ist ?
    Jo, genau richtig erkannt. Allerdings macht sich das erst bemerkbar, wenn die Daemons auch laufen.
    Signatur nach Diktat Spazieren gegangen ;)

  9. #9
    Registrierter Benutzer Avatar von pitu
    Registriert seit
    May 1999
    Ort
    Nürnberg
    Beiträge
    1.765
    Original geschrieben von Hopper
    Moin Läude ;o)
    mal ne Verständnisfrage zur Firewall-Config von DJ-JP:
    FW_SERVICES_EXT_TCP="4662 http https pop3 pop3s smtp"

    bedeutet diese Freigabe nicht, dass damit der Zugriff der
    o.a. Dienste von außen unbeschränkt gestattet
    ist ?
    Wenn dem so ist, wäre seine Firewall ja praktisch sinnlos,
    (zumindest aber nen Schweizer Käse) oder hab ichs noch
    nicht gecheckt ? (bin selbst noch Linux-DAU)

    Danke schonmal für die Aufklärung;
    Gruß
    vom Hopper
    Naja, eine firewall ist ja nicht dazu da, alles von aussen zu blocken, sondern nur dazu da, kontrolliert etwas zu blocken bzw. durchzulassen.
    Wenn du z.B. einen Webserver am laufen hast, dann waere dieser nicht erreichbar, wenn du den port dafuer nicht auch oeffnest.
    Genausogut koenntest du per pop keine mails von aussen abholen, wenn die ports nicht offen sind.

    Die firewall dient also dazu, den zugriff nur auf das zu gestatten, was du auch freigeben willst. Ansonsten taetest du dich schwer im internet zu surfen oder von deinem provider mails abzuholen oder zu versenden.

    gruss,
    pitu
    11 Fehler in Windows, 88 Loesungen, 0 funktionieren.

    Dieser Beitrag steht unter der GNU Free Documentation License.

  10. #10
    Registrierter Benutzer Avatar von pitu
    Registriert seit
    May 1999
    Ort
    Nürnberg
    Beiträge
    1.765
    Original geschrieben von towo2099
    FW_DEV_EXT="ppp0" ==> das steht aber auch in YaST!
    FW_DEV_INT="eth0" ==> sollte funzen
    Soweit ich das verstanden habe, hat er nur eine netzwerkkarte (eth0) und die ist am eth0 angeschlossen, daher braucht er das eth0 nach intern auch nicht freizugeben.

    gruss,
    pitu
    11 Fehler in Windows, 88 Loesungen, 0 funktionieren.

    Dieser Beitrag steht unter der GNU Free Documentation License.

  11. #11
    Registrierter Benutzer
    Registriert seit
    Jul 2003
    Ort
    bei den fiesen Friesen ;o)
    Beiträge
    23
    Die firewall dient also dazu, den zugriff nur auf das zu gestatten, was du auch freigeben willst. Ansonsten taetest du dich schwer im internet zu surfen oder von deinem provider mails abzuholen oder zu versenden.
    soweit so klar, aaaaber:
    a) grundsätzlich gilt doch, dass kein Dienst freigegeben wird,
    der nicht explizit benötigt wird ?

    b) kann ich die Aussage so nicht bestätigen, denn ich habe in
    meiner SuSEfirewall2.config keinen der betreffenden
    Dienste freigegeben und kann dennoch aufs Internet zugreifen,
    meine Mails per POP oder SMTP abholen und versenden und
    zwar meines (begrenzten) Wissens nach deshalb, weil die
    entsprechenden Anforderungen vom internen Netz nach außen
    erfolgen, daher also per se "trusted" sind.

    c) handelt es sich doch (wie schon zuvor bemerkt) um Freigaben
    "services extern", also um nicht explizit vom User angeforderte
    Requests von außen auf den Rechner
    ; warum also sollen diese
    freigegeben werden ?
    Selbst dann wenn kein Daemon diese Requests bedient ???

    Tschuldigung, wenn ich nerve, aber ich möchte einerseits verstehen
    und andererseits war mir die bisherige Argumentation nicht schlüssig,
    wenn nicht sogar falsch (?)

    Gruß
    vom Hopper
    PC 1: Pentium4 1,6@2,13 Ghz auf Asus P4B266 mit 1 GB RAM DDR, CD, CR/RW, HD 60 GB Western Digital, HD 20 GB Maxtor, GF4Ti4200, SB Live! 5.1 (OS: SuSE 8.2 / Win2k)
    PC 2: Celeron 1,4@1,6 Ghz auf Asus TUSL-2C mit 512 MB RAM SD, CD, CD/RW, HD Western Digital 40 GB, GF4MX440, 4.1 Sound (OS: SuSE 8.2 / Win2k)
    PC 3: Pentium2 333Mhz auf Acer mit 256 MB RAM SD, HD 9 GB IBM (als Router mit SuSE 8.2)
    Netz: adsl flat mit 128up/768down

  12. #12
    Premium Mitglied Avatar von Stage
    Registriert seit
    Jun 2002
    Beiträge
    810
    Original geschrieben von Hopper
    soweit so klar, aaaaber:
    a) grundsätzlich gilt doch, dass kein Dienst freigegeben wird,
    der nicht explizit benötigt wird ?

    b) kann ich die Aussage so nicht bestätigen, denn ich habe in
    meiner SuSEfirewall2.config keinen der betreffenden
    Dienste freigegeben und kann dennoch aufs Internet zugreifen,
    meine Mails per POP oder SMTP abholen und versenden und
    zwar meines (begrenzten) Wissens nach deshalb, weil die
    entsprechenden Anforderungen vom internen Netz nach außen
    erfolgen, daher also per se "trusted" sind.

    c) handelt es sich doch (wie schon zuvor bemerkt) um Freigaben
    "services extern", also um nicht explizit vom User angeforderte
    Requests von außen auf den Rechner
    ; warum also sollen diese
    freigegeben werden ?
    Selbst dann wenn kein Daemon diese Requests bedient ???

    Tschuldigung, wenn ich nerve, aber ich möchte einerseits verstehen
    und andererseits war mir die bisherige Argumentation nicht schlüssig,
    wenn nicht sogar falsch (?)

    Gruß
    vom Hopper
    Dass du surfen kannst ist schon klar. Aber mal angenommen, er hat einen Apache (Webserver laufen) und möchte das dieser von außen erreichbar ist, da muss er den HTTP port öffnen. Und genauso verhält es sich mit den anderen Diesten. D.H hat er einen POP3 - Server und möchte das user von außen die Mail abrufen können.
    Kernel (2.6.x) Konfigurations-Howto
    Gentoo Optimierungs-Howto
    IRC: irc.freenode.org - #gentoo-anfaenger

  13. #13
    Registrierter Benutzer Avatar von pitu
    Registriert seit
    May 1999
    Ort
    Nürnberg
    Beiträge
    1.765
    Also,
    a) Natuerlich, schliesslich sind ja auch nur 5 Dienste von aussen erreichbar, und welche von aussen erreichbar sein sollen obliegt glaube ich in diesem Fall nicht deiner einschaetzung sondern den beduerfnissen von DJ

    b) Es ging um den umgekehrten Fall, dass du auf die Dienste deines Providers zugreifen willst. wenn der mit seiner firewall alles abblockan wuerde, ginge nix, ebenso andere webserverbetreiber, wenn di in ihrer firewall alles abblocken, kommst du nicht auf deren seite.

    Und nein, von innen nach aussen sind auch nur dann trusted, wenn du es erlaubst. du kannst die zugriffe vonn innen nach aussen genauso blocken. Wird haeufig in firmen gemacht, z.B. kann man dann nur ueber einen proxy surfen, weil man direkt nicht rauskommt.

    c) Wie gesagt, die einschaetzuing, auf welche dienste von aussen zugegriffen werden soll miusst du schon dj ueberlassen, aber nur einige beispiele:

    Ein eigener webserver, z.B. mit einer adresse auf dyndns. pop3 Server, vieleicht moechte er von aussen z.B. von einem laptop im Hotel seine Mails abrufen. 4662 vieleicht ein filesharingdisnst, da moechte man vieleicht mit anderen tauschen ...
    Wie gesagt, warum soll er nicht dienste nach aussen anbieten? nur weil du das sagst?

    Mein server bietet auch dienste nach aussen an, weil ich das so brauche, wenn ich unterwegs bin und weil ich ein paar leute habe, die darauf zugreifen sollen.

    gruss,
    pitu
    11 Fehler in Windows, 88 Loesungen, 0 funktionieren.

    Dieser Beitrag steht unter der GNU Free Documentation License.

  14. #14
    Registrierter Benutzer
    Registriert seit
    Jul 2003
    Ort
    bei den fiesen Friesen ;o)
    Beiträge
    23
    Wie gesagt, warum soll er nicht dienste nach aussen anbieten? nur weil du das sagst?
    Jemand, der Probleme mit der Konfiguration einer Firewall hat,
    setzt einen Webserver oder Mailserver auf ?
    Ganz bestimmt !
    Ich kann Dir verraten, wie solche ominösen Freigaben zustande
    kommen
    Die Firewall wird nicht mit der SuSEfirewall2.config editiert, sondern
    über YAST2 in 4 Schritten "konfiguriert"; Schritt Nummer 3 zeigt
    eine Übersicht eben der von DJ freigegeben Dienste, wenn man
    nicht genau die Beschreibung der Freigaben liest, werden flugs
    überall Häkchen drangemacht und weiter gehts zu Schritt 4 in
    der irrigen Annahme, es handele sich um die internen und
    nicht eben um die externen Dienste.

    So passiert sowas...Newbie spricht aus Erfahrung...

    Mal ne Frage am Rande:
    -wozu eigentlich die Fullquotes in Deinen Beiträgen ?
    -warum so zickig ? Wie gesagt, warum soll er nicht
    dienste nach aussen anbieten? nur weil du das sagst?

    ->kommt in Deiner Antwort geschlagene drei Mal vor !

    Immer locker bleiben manfrau kann nicht immer richtig
    liegen

    Gruß
    vom Hopper
    PC 1: Pentium4 1,6@2,13 Ghz auf Asus P4B266 mit 1 GB RAM DDR, CD, CR/RW, HD 60 GB Western Digital, HD 20 GB Maxtor, GF4Ti4200, SB Live! 5.1 (OS: SuSE 8.2 / Win2k)
    PC 2: Celeron 1,4@1,6 Ghz auf Asus TUSL-2C mit 512 MB RAM SD, CD, CD/RW, HD Western Digital 40 GB, GF4MX440, 4.1 Sound (OS: SuSE 8.2 / Win2k)
    PC 3: Pentium2 333Mhz auf Acer mit 256 MB RAM SD, HD 9 GB IBM (als Router mit SuSE 8.2)
    Netz: adsl flat mit 128up/768down

  15. #15
    Registrierter Benutzer Avatar von pitu
    Registriert seit
    May 1999
    Ort
    Nürnberg
    Beiträge
    1.765
    Warum sollte er keinen aufsetzen, es geht genauso mit YaST

    So passiert sowas...Newbie spricht aus Erfahrung...
    Ahhja:

    Immer locker bleiben manfrau kann nicht immer richtig
    liegen
    lol ...

    Fullquotes. Ich habe in diesem Thread genau 2, einer ging ja wohl nicht anders, der andere war kurz genug um es zu gestatten, dass man sich die arbeit spart.

    Schau dir punkt a und punkt c von deinem posting nochmal an dann weisst du warum ich das 3 mal gesagt habe.
    Du haettest ja einfach anfragen koennen, ob er das denn beabsichtigt hat anstatt ihm zu unterstellen, er wuerde es falsch machen zumal du ja selber gesagt hast, du seiest selber Newbie.

    Anstatt andere anzugreifen solltest du etwas zurueckhaltender sein und einfach mal fragen. Verstaendnissfragen stellt man meiner Ansicht nach anders. Und wenn man nicht sicher ist, ob eine Antwort richtig ist oder ob man sie nicht richtig verstanden hat, dann fragt man eben nochmal nach anstatt es besser zu wissen.
    und andererseits war mir die bisherige Argumentation nicht schlüssig,
    wenn nicht sogar falsch (?)
    gruss,
    pitu
    11 Fehler in Windows, 88 Loesungen, 0 funktionieren.

    Dieser Beitrag steht unter der GNU Free Documentation License.

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •