Hallo Linuxfreunde
in einem kleinen LAN das durch den erwähnten FW Suse 8.0 abgesichert ist ,läuft ein Squid und Webmin. Die Firewall läuft im NAT mod. Neulich machte ich einen protscan von aussen und siehe da die ports 22,3128,10000 waren offen.
Dabei ist nur FIREWALL_SERVICES_EXT_IP ="ssh" gewollt geöffnet.
Ist es nicht so, dass nur Port geöffnet werden,deren Verbindung von "innen" angefordert werden.
Wäre nett wenn da jemand Licht ins Dunkle bringen könnte.
TIA
Kimi

wahrscheinlich hast du FW_INCOMING_HIGHPORTS_* oder so ähnlich auf yes, und da sind automatisch alle Port >1023 offen

Hallo Stage
geiles Logo!
in der Tat dieser Punkt ist "allowed". Nur zu meinem Verständnis: mache ich diese zu,muss ich jeden einzelnen Port auf dem ich kommunizieren will explizit erlauben?
kimi

also ich weiß nicht wie Suse die firewall dann umgesetzt hat, sprich ob sie Connection states mit einbezieht, z.B du sendest, vom router aus ein paket raus, und kriegst darauf eine antwort, eine stateful firewall erkennt das dieses zu einer bestehenden Verbindung gehört und lässt es durch, ohne das man speziell dafür ports öffnen muss.

probiert einfach mal aus, setz den Wert von oben auf no, und probier ob eine DNS auflösung auf dem Router noch funktioniert, wenn nicht dann trag da dns ein, das müsste für die meisten Fälle ausreichen

Ein anderer Fall: will man von außen auf Dienste des Routers zugreifen müssen alle benötigten Ports dann separat geöffnet werden

reicht leider nicht aus:( nach dem Motto: "never touch a running system"lass ich `s halt bleiben. So sicherheitsrelvant ists nicht und vorm Internet schützt mich noch eine FW.
anyway Danke für die Hilfestellung
Kimi

Hi,

bist Du sicher, die korrekte Zeile angegeben zu haben?

## Type: string
# For VPN/Routing which END at the firewall!!
FW_SERVICES_EXT_IP=""


Das angegebene Problem kann mehrere Ursachen haben.
Entweder ist:
FW_SERVICES_EXT_TCP=""
oder
FW_SERVICES_EXT_UDP=""
angegeben, oder aber, wie Du schreibst, ist der Auslöser:
FW_ALLOW_INCOMING_HIGHPORTS_TCP="", bzw.:
FW_ALLOW_INCOMING_HIGHPORTS_UDP="".

Die Annahme, daß jeder freizugebende Port aufgeführt werden muß, ist nicht ganz korrekt, da Du auch Blöcke angeben kannst, bspw.: "3200:3299"
Aber: jeder zu öffnende Port muß in irgendeiner Form dort enthalten sein.
Den Wert aus "yes" zu setzen ist eine schlechte Wahl, da dadurch alles zugelassen wird - stellt sich dann nämlich die Frage: "wozu überhaupt die FW2 starten?".

Gruß

Hallo Stormbringer
offenbar hab ich da was nicht richtig verstanden." Offener Port" heisst bei einer masquerading = NAT FW, die Upper High Ports werden auf gemacht wenn eine Verbindung von Intern diese initialisiert? sonst bleiben sie zu.
warum der 3128 offen ist habe ich ermitteln können. Suse bietet nämlich einen
Punkt FW_SERVICE_Squid an, den ich auf yes gesetzt habe.
Kimi

Hi,

masquerading bzw. NAT wird hier recht verständlich erklärt:
http://bolug.uni-bonn.de/wissen/stevens_masquerading/

Es hat aber erst einmal nichts mit offenen Ports zu tun, weder mit high ports noch mit low ports, weder mit tcp noch udp, icmp, etc.

Gruß