Hi,

hab hier einen Printserver der Firma Level One stehen. Macht eigentlich auch einen recht soliden Eindruck, das einzige Problem, ich vermag von ihm ausgehende "Anfragen" nicht richtig interpretieren.

Drucken ist mir nur ohne gesetze Iptables-Regeln möglich. Ist mein Script von harry.homelinux.de aktiviert erscheinen folgende Einträge in meinen Logfiles.


Dec 29 21:41:15 Stephan kernel: INPUT INVALID IN=eth0 OUT= MAC=00:e0:7d:7e:d3:20:00:c0:02:49:98:36:08:00 SRC=192.168.0.100 DST=192.168.0.3 LEN=44 TOS=0x00 PREC=0x00 TTL=30 ID=21769 PROTO=TCP SPT=515 DPT=1023 WINDOW=1024 RES=0x00 ACK PSH SYN URGP=0

Jetzt kommt bei mir natürlich nicht nur die Frage auf, was für eine Regel ich noch setzen muss, sondern auch wieso der Printserver diese Pakete überhaupt rausschickt?

Hab mir jetzt schon das O'Reilly Buch Linux "Firewalls - Ein praktischer Einstieg" besorgt und möchte mir auch meine eingenen Iptables-Regeln konfigurieren, dass dauert aber noch einwenig bis ich dafür richtig Zeit finde.
Würde mich also freuen, wenn mich schon jetzt mal jemand bei diesem Problem behilflich sein könnte.

Danke,
steve

Ich kenne den LevelOne nicht, hab aber ein paar andere laufen ;)
Was DPT=515 ist findest Du heraus mit:

grep "515/tcp" /etc/services
Das ist der Dienst "printer". Je nachdem, wie der Printserver angesteuert
wird, muß dieser, und noch evtl andere Ports freigeschaltet werden.
Achte am besten auf die Logs der Firewall (DPT=destination Port,
SPT=source port).
Für "raw" tcp-printing könnten noch Portnummern wie 9000,9001,3000,
u.s.w. benötigt werden (z.B. Intel NetportExpress, HP-JetDirect).
Die Doku des Printservers sollte das sagen (oder nmap ;) )

Gruß,
Wolfgang

Ich steuere den Printserver über Cups auf dem bereits von dir genannten Port 515 an.
Raus komm ich, doch es kommt etwas vom Printserver zurück, was wohl nicht unter RELATED bzw. ESTABLISHED fällt. Erst wenn ich diese Pakte zulasse beginnt der Drucker seine Arbeit zu verrichten.

Mich würde jetzt interessieren wie eine Regel auszusehen hat, die dies zulässt.

Meine Iptables-Script im Anhang.

ich konfiguriere meine Firewall mit Shorewall. Für das von cups verwendete
Internet-Printing wäre noch der Port 631/tcp (evtl. auch udp) freizuschalten.

Kann jetz im Detail Deine Filterregeln nicht durchsehen (ich arbeite nebenbei
noch ;) )

Danke schonmal, aber ich glaube du hast nich ganz verstanden worauf ich hinaus möchte.

Ich möchte auf einem Hardware-Rrintserver drucken. Wir ein Druckauftrag versand kommt vom Printserver etwas zurück, was leider an meinem Paketfilter hängen bleibt.
Dies würde ich gerne freischalten, ich weiß jedoch nicht wie. ACK PSH SYN sagen mir in dem Zusammenhand leider gar nichts bzw. ich weiß nicht wie ich sie nur für den Rrintserver und auch nur für den speziellen Source-Port 515 frreischalten kann.

mfg,
steve

*edit*
Hab mich jetzt mal hingesetzt und das Problem behoben.
Die Lösung wollte ich euch nicht vorenthalten.


# Drucken auf Printserver
iptables -A INPUT -p tcp -s 192.168.0.100 --sport 515 -j ACCEPT
iptables -A OUTPUT -p tcp -d 192.168.0.100 --dport 515 -j ACCEPT


An der richtigen Stelle in meinem Iptables-Script und die Sache lief. Im Anhang noch mal meine gesamten, restriktiven Firewallregeln