Schendi
27.09.03, 11:25
hallo,
bin im moment ziemlich am zerknistern mit der SuSEfirewall ...
folgendes szenario:
habe nen linux server bei mir im lan laufen mit einer NIC eth0 (netzwerk läuft über zentralen HW Router).
auf dem server sollen SAMBA/WINS sowie ein paar andere dienste erreichbar sein, allerdings nur fürs LAN, ein paar andere dienste sollen auch von extern zu erreichen sein.
so sieht das susefirewall2 script zur zeit aus (wahrscheinlich nicht mehr sauber aber ich sitzt davor jetzt schon ZU lang :) ).
FW_QUICKMODE="no"
FW_DEV_EXT="eth0"
FW_DEV_INT=""
FW_DEV_DMZ=""
FW_ROUTE="no"
FW_MASQUERADE="no"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS=""
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_TCP="139 4662 4663 ssh"
FW_SERVICES_EXT_UDP="4662 4663"
FW_SERVICES_EXT_IP=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_INT_TCP="139 ssh"
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_SERVICES_QUICK_TCP=""
FW_SERVICES_QUICK_UDP=""
FW_SERVICES_QUICK_IP=""
FW_TRUSTED_NETS="192.168.1.0"
FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS WINS"
FW_SERVICE_AUTODETECT="yes"
FW_SERVICE_DNS="no"
FW_SERVICE_DHCLIENT="no"
FW_SERVICE_DHCPD="no"
FW_SERVICE_SAMBA="yes"
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW"
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_FW_TRACEROUTE="yes"
FW_ALLOW_FW_SOURCEQUENCH="yes"
FW_ALLOW_FW_BROADCAST="yes"
FW_IGNORE_FW_BROADCAST="no"
FW_ALLOW_CLASS_ROUTING="no"
FW_CUSTOMRULES=""
FW_REJECT="no"
FW_HTB_TUNE_DEV=""
eth0 soll also den internen sowie externen datenverkehr abwickeln.
setzte ich aber beide parameter: FW_DEV_EXT FW_DEV_INT auf eth0 wird mir scheinbar der komplette verkehr geblockt (zumindest musste ich dann aufstehen und zum gerät gehen da SSH nicht mehr funkionierte *g*), wenn ich dem assistenten aber nur eine interne schnittstelle angebe, sagt mir der yast assistent das ich eine externe definieren muß um fort zu fahren.
soweit ich das jetzt aber einsehen konnte wird die externe schnittstelle als untrusted gesehen, könnte darin das problem liegen?
oder ist es generell vernünftiger die susefirewall in die schublade zu stopfen und über iptables selbst zu konfigurieren (wie genau sich die beiden programme untereinander unterhalten hab ich eh noch nicht ganz kapiert *g*).
würd mich über ein paar brauchbare tipps freuen.
lg
christopher
bin im moment ziemlich am zerknistern mit der SuSEfirewall ...
folgendes szenario:
habe nen linux server bei mir im lan laufen mit einer NIC eth0 (netzwerk läuft über zentralen HW Router).
auf dem server sollen SAMBA/WINS sowie ein paar andere dienste erreichbar sein, allerdings nur fürs LAN, ein paar andere dienste sollen auch von extern zu erreichen sein.
so sieht das susefirewall2 script zur zeit aus (wahrscheinlich nicht mehr sauber aber ich sitzt davor jetzt schon ZU lang :) ).
FW_QUICKMODE="no"
FW_DEV_EXT="eth0"
FW_DEV_INT=""
FW_DEV_DMZ=""
FW_ROUTE="no"
FW_MASQUERADE="no"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS=""
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_TCP="139 4662 4663 ssh"
FW_SERVICES_EXT_UDP="4662 4663"
FW_SERVICES_EXT_IP=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_INT_TCP="139 ssh"
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_SERVICES_QUICK_TCP=""
FW_SERVICES_QUICK_UDP=""
FW_SERVICES_QUICK_IP=""
FW_TRUSTED_NETS="192.168.1.0"
FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS WINS"
FW_SERVICE_AUTODETECT="yes"
FW_SERVICE_DNS="no"
FW_SERVICE_DHCLIENT="no"
FW_SERVICE_DHCPD="no"
FW_SERVICE_SAMBA="yes"
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW"
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_FW_TRACEROUTE="yes"
FW_ALLOW_FW_SOURCEQUENCH="yes"
FW_ALLOW_FW_BROADCAST="yes"
FW_IGNORE_FW_BROADCAST="no"
FW_ALLOW_CLASS_ROUTING="no"
FW_CUSTOMRULES=""
FW_REJECT="no"
FW_HTB_TUNE_DEV=""
eth0 soll also den internen sowie externen datenverkehr abwickeln.
setzte ich aber beide parameter: FW_DEV_EXT FW_DEV_INT auf eth0 wird mir scheinbar der komplette verkehr geblockt (zumindest musste ich dann aufstehen und zum gerät gehen da SSH nicht mehr funkionierte *g*), wenn ich dem assistenten aber nur eine interne schnittstelle angebe, sagt mir der yast assistent das ich eine externe definieren muß um fort zu fahren.
soweit ich das jetzt aber einsehen konnte wird die externe schnittstelle als untrusted gesehen, könnte darin das problem liegen?
oder ist es generell vernünftiger die susefirewall in die schublade zu stopfen und über iptables selbst zu konfigurieren (wie genau sich die beiden programme untereinander unterhalten hab ich eh noch nicht ganz kapiert *g*).
würd mich über ein paar brauchbare tipps freuen.
lg
christopher