Hi
Gestern habe ich bei mir die SuSEfirewall2 unter 7.2 eingerichtet und ich bin wirklich
positiv überrascht! Um mal schnell ne Firewall aufzusetzen (für meinen Server zuhause) ist das genau das richtige...
aber so ganz läufts doch noch net, denn ich hab folgende Probleme:
1. Ich kann auf den Server vom internen Netz nicht mehr via nfs zugreifen
2. Der Server bekommt dns-Anfragen nicht mehr aufgelöst (funktioniet bei den clients über das masquerading)

Einstellungen in firewall2.rc.config:
FW_SERVICES_EXT_TCP="ssh domain"
FW_SERVICES_EXT_UDP="domain" # Common: domain
FW_SERVICES_EXT_IP=""
# keine DMZ
FW_SERVICES_INT_TCP="3128 ssh netbios-ssn www nfs sunrpc time printer domain hylafax fax"
FW_SERVICES_INT_UDP="3130 nfs sunrpc domain time"

zu 1. :
/var/log/firewall:
SuSE-FW-ACCEPTIN=eth0 OUT= SRC=192.168.100.10 DST=192.168.100.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=13745 DF PROTO=TCP SPT=674 DPT=111 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40402080A0009F14E0000000001030300)
er schein das ja reinzulassen und sonst wird nix angezeigt... aber sklappt halt net
Welche Ports verwendet NFS denn noch außer 111??

zu 2. :
/var/log/firewall:
SuSE-FW-UNALLOWED-TARGETIN=ippp0 OUT= MAC= SRC=194.25.2.129 DST=213.7.121.180 LEN=159 TOS=0x00 PREC=0x00 TTL=57 ID=2586 PROTO=UDP SPT=53 DPT=1028
LEN=139
wobei 194.25.2.129 mein Nameserver ist

Ich hoff ihr könnt mir helfen!
d.heger

Hi,

Zu NFS:

NFS an sich verwendet keine festen Ports. Diese werden durch den portmapper zugewiesen. Daher ist die implementation von NFS sehr schwierig. Man müßte das gessamte Protokoll freigeben und Regeln definieren die zuvor unerwünschtes abhalten.

Wie das ganz genau aussieht hängt immer von den zu filternden Diensten ab. So lange du NFS alls File-Server nutzen willst, solltest du ihn auf einen seperaten Rechner unterbringen.

MFG,SmackTV

das mit dem nfs hab ich gerade vor 2 Minuten in den Griff gekriegt...
Meine FW muss ja nicht ultrasicher sein (ist ja nur für zuhaus), deshalb hab ich zugriffe auf ports groößer 1023 erlaubt.
Mein Problem war, dass ich nicht wusste, dass nfs noch ein paar andere Ports kleiner 1024 braucht (nfsd-status,...)
also
das nfs-Problem ist jetzt gelöst; fehlt nur noch, dass ich endlich Namen aufgelöst bekomme...
ich verstehe nicht wieso der die Anfrage vom nfs-server rausfiltert

Lasse doch einen Nameserver laufen... Ist ganz einfach. Habe bind8 installiert und in der /etc/named.conf folgende Zeilen geschrieben:





options {

# Definiert das Arbeitsverzeichnis
directory "/var/named";
# DNS Anfragen nur weiterleiten
forward only;
# DNS Server des ISP's
forwarders {212.255.16.22};
};



Das wars schon.Dann können die Clients auch direkt auf den lokalen Nameserver zugreifenVielleicht kannst du das denn ja gebrauchen ;)

PS: SuSEFirewall ist ziemlich gut und einfach zu konfigurieren...habs auch gestern eingerichtet ;)

Tja, genau auf die gleiche Idee bin ich auch gekommen... aber sgeht bei mir immer noch nicht...

Können wir mal step by step unsere Konfigurationen vergleichen?

Ich denk das sind die relevanten Einstellungen in /etc/rc.config.d/firewall2.rc.config:
FW_DEV_EXT="ippp0"
FW_DEV_INT="eth0"
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_TCP="domain"
FW_SERVICES_EXT_UDP="domain"
FW_SERVICES_INT_TCP="domain"
FW_SERVICES_INT_UDP="domain"
FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"
FW_SERVICE_DNS="yes"

wenn ich jetzt zB "ping <A HREF="http://www.kernel.org"" TARGET=_blank>www.kernel.org"</A> mache, kann der den Namen nich auflösen und in der /var/log/firewall steht:
SuSE-FW-UNALLOWED-TARGETIN=ippp0 OUT= MAC= SRC=202.12.27.33 DST=213.7.120.245 LEN=492 TOS=0x00 PREC=0x00 TTL=54 ID=16854 PROTO=UDP SPT=53 DPT=1024 LEN=472

Folgende Regel ist aber eingetragen:
iptables -A input_ext -j ACCEPT -m state --state NEW,ESTABLISHED,RELATED -p udp --dport 1024:65535

hmmm ich bin mit meinem Latein am ende...

Oh ich glaub ich weiß jetzt worans liegt!
Wenn ich die Firewall starte, nachdem ich mich eingewählt habe funktionierts!!!
Muss ich das jetzt in der ip-up eintragen, oder geht das auch irgendwie anders (z.B. mit FW_STOP_KEEP_ROUTING)?