PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SuSEfirewall2 blockiert Netzwerk



gerdmitpferd
15.05.07, 17:19
Das Problem ist gelöst!!

Ich habe ein Problem mit SuSEfirewall2 unter SuSE10.2.

Ich habe zwei Windows-Rechner (1.WinXP, 2.Win-ME) am Linux-Rechner hängen.

Diese hängen an jeweils einer seperaten Netzwerkkarte, die ich mit einer (Software-Bridge) zusammengeschaltet habe.

Beide Windowsrechner haben Internet über squid (läuft super).

In der Netzwerkumgebung werden auch alle Rechner angezeigt. (auf allen Rechnern)

Wenn die Firewall ausgeschaltet ist kann ich auf alle Freigaben auf allen Rechnern im Netz untereinander zugreifen.

Wenn ich die Firewall einschalte klappt die Verbindung zwischen den Windows-Rechnern nicht mehr.
Die Verbindungen Linux <---> Windows-Rechner geht nach wie vor.

Die Zonen (interne und externe Zonen) sind passend gesetzt. Und die Firewall schützt das interne Netzwerk nicht. So habe ich es jedenfalls mit Yast eingestellt.

Was müsst Ihr noch wissen um mir helfen zu können.

Vielen Dank im Vorraus

Gruß Volker :)

openpeppi
15.05.07, 20:36
ist im Yast-/etc/sysconfig - Editor masquerading aktiviert?

gerdmitpferd
15.05.07, 20:51
Habe mal Nachgeschaut:
Der gesetzte wert stet hinter dem "="

FW_MASQUERADE = yes
FW_MASQ_DEV = zone:ext
FW_MASQ_NETS = 0/0

Gruß Volker

framp
15.05.07, 20:57
Die SuSEfirewall hat ein nettes Feature für Problemisolation:


FW_LOG_DROP_ALL="yes"
in der SuSEFirewall2 setzen. Dann sieht man in /var/log/firewall warum die Firewall etwas geblocked hat und kann die Config entsprechend anpassen.

framp
15.05.07, 20:58
ist im Yast-/etc/sysconfig - Editor masquerading aktiviert?
ich glaube Du meinst forwarding. Ein Router braucht kein Masquerading innerhalb von Subnetzen - aber das Routing muss enabled sein.

gerdmitpferd
15.05.07, 21:05
May 15 21:02:55 sokrates kernel: SFW2-FWDint-DROP-DEFLT IN=volkersbridge OUT=volkersbridge PHYSIN=eth1 PHYSOUT=eth2 SRC=192.168.0.2 DST=1$

Steht alles in einer Zeile

gerdmitpferd
15.05.07, 21:12
FW_ROUTE = yes

framp
15.05.07, 21:23
May 15 21:02:55 sokrates kernel: SFW2-FWDint-DROP-DEFLT IN=volkersbridge OUT=volkersbridge PHYSIN=eth1 PHYSOUT=eth2 SRC=192.168.0.2 DST=1$

Steht alles in einer Zeile

Sieht komisch aus ( ... DST=1$ ...). Was für eine 'Software Bridge' benutzt Du denn?

gerdmitpferd
15.05.07, 21:26
Sieht komisch aus ( ... DST=1$ ...). Was für eine 'Software Bridge' benutzt Du denn?


http://linux-net.osdl.org/index.php/Bridge

gerdmitpferd
15.05.07, 21:32
Gäbe es denn eine andere funktionierende Möglichkeit das Netzwerk so zu betreiben?

framp
15.05.07, 21:43
Gäbe es denn eine andere funktionierende Möglichkeit das Netzwerk so zu betreiben?

Die einfachste ist sicherlich sich einen Switch für 20 Euronen zu kaufen und beide Win Boxen daran anzuschliessen und dann in den Linux Rechner zu leiten.

So ganz klar ist mir noch nicht was die Bridge soll. Haben dadurch beide Win Boxen IPAdressen aus demselben Subnetz? Wenn ja - warum definierst Du dann nicht die beiden NICs so dass sie in unterschiedlichen Subnetzen liegen und gibst die dann in der SuSEFW als interne Netze frei? Ist zwar umständlich - aber das geht.

gerdmitpferd
15.05.07, 21:54
Die einfachste ist sicherlich sich einen Switch für 20 Euronen zu kaufen und beide Win Boxen daran anzuschliessen und dann in den Linux Rechner zu leiten.

So ganz klar ist mir noch nicht was die Bridge soll. Haben dadurch beide Win Boxen IPAdressen aus demselben Subnetz? Wenn ja - warum definierst Du dann nicht die beiden NICs so dass sie in unterschiedlichen Subnetzen liegen und gibst die dann in der SuSEFW als interne Netze frei? Ist zwar umständlich - aber das geht.

meinst Du dem einen Rechner 255.255.255.0
und dem anderen 255.255.0.0?

Und wie stelle ich dann die Firewall ein? so step by step erklärt?

framp
15.05.07, 22:51
Subnetze bestehen aus IP Adressen und Netzwerkmasken.

Kannst Du mal Deine Ausgabe von 'ifconfig' und Deine SuSEFWConfig posten?

gerdmitpferd
16.05.07, 22:42
Subnetze bestehen aus IP Adressen und Netzwerkmasken.

Kannst Du mal Deine Ausgabe von 'ifconfig' und Deine SuSEFWConfig posten?

Bin gerade erst mal am neu installieren und werde dann die IPś neu vergeben. Was muss ich bei unterschiedlichen Subnetzen mit der Firewall machen?

Subnetz ist ja die Angabe 255.255.255.0 oder 255.255.0.0 z.B?

Müssen sich die IPś sich auch unterscheiden?

poste dann morgen mal die Ausgaben der gewünschten Befehle.

framp
17.05.07, 11:24
Subnetz ist ja die Angabe 255.255.255.0 oder 255.255.0.0 z.B?

Müssen sich die IPś sich auch unterscheiden?

Hm ... Du solltest Dein Netzwerkwissen ein wenig erweitern ;)
Das deutsche Wiki ist eben nicht erreichbar. Suche da mal nach Netzwerk und IP. Ansonsten lies in Englisch http://en.wikipedia.org/wiki/Subnetwork .

Nimm 192.168.1.0/255.255.255.0 und 192.168.2.0/255.255.255.0 fuer eth1 und eth2 respektive als Subnetze und dann 192.168.1.1 bzw 192.168.2.1 als IP Adressen.

gerdmitpferd
17.05.07, 11:30
Subnetze bestehen aus IP Adressen und Netzwerkmasken.

Kannst Du mal Deine Ausgabe von 'ifconfig' und Deine SuSEFWConfig posten?

Die Ausgabe von ifconfig:

sokrates:/home/volker # ifconfig
dsl0 Protokoll:Punkt-zu-Punkt Verbindung
inet Adresse:217.227.196.105 P-z-P:217.0.116.200 Maske:255.255.255.255
UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:358 errors:0 dropped:0 overruns:0 frame:0
TX packets:402 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 Sendewarteschlangenlänge:3
RX bytes:89815 (87.7 Kb) TX bytes:77851 (76.0 Kb)

eth1 Protokoll:Ethernet Hardware Adresse 00:0A:CD:12:EB:70
inet Adresse:192.168.1.1 Bcast:192.168.255.255 Maske:255.255.0.0
inet6 Adresse: fe80::20a:cdff:fe12:eb70/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:143 errors:0 dropped:0 overruns:0 frame:0
TX packets:119 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 Sendewarteschlangenlänge:1000
RX bytes:17038 (16.6 Kb) TX bytes:20435 (19.9 Kb)
Interrupt:10

eth2 Protokoll:Ethernet Hardware Adresse 00:50:8B:B9:4A:8F
inet6 Adresse: fe80::250:8bff:feb9:4a8f/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7033 errors:0 dropped:0 overruns:0 frame:0
TX packets:6737 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 Sendewarteschlangenlänge:1000
RX bytes:9027074 (8.6 Mb) TX bytes:747219 (729.7 Kb)

eth3 Protokoll:Ethernet Hardware Adresse 00:C0:dF:08:A0:82
inet Adresse:192.168.0.1 Bcast:192.168.0.255 Maske:255.255.255.0
inet6 Adresse: fe80::2c0:dfff:fe08:a082/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2129 errors:0 dropped:0 overruns:0 frame:0
TX packets:2737 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 Sendewarteschlangenlänge:1000
RX bytes:464134 (453.2 Kb) TX bytes:1390548 (1.3 Mb)
Interrupt:11 Basisadresse:0x4000

lo Protokoll:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
inet6 Adresse: ::1/128 Gültigkeitsbereich:Maschine
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:291 errors:0 dropped:0 overruns:0 frame:0
TX packets:291 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 Sendewarteschlangenlänge:0
RX bytes:25842 (25.2 Kb) TX bytes:25842 (25.2 Kb)

Im Anhang ist die Config von SuSEfirewall2

In dieser Systemconfiguration können die beiden Windowsrechner aber nicht direkt mit einander kommunizieren ob mit oder ohne Firewall.
Was muß ich anders einstellen?

gerdmitpferd
17.05.07, 21:52
Hm ... Du solltest Dein Netzwerkwissen ein wenig erweitern ;)
Das deutsche Wiki ist eben nicht erreichbar. Suche da mal nach Netzwerk und IP. Ansonsten lies in Englisch http://en.wikipedia.org/wiki/Subnetwork .

Nimm 192.168.1.0/255.255.255.0 und 192.168.2.0/255.255.255.0 fuer eth1 und eth2 respektive als Subnetze und dann 192.168.1.1 bzw 192.168.2.1 als IP Adressen.


Ich habe mir die Deutsche Wiki noch mal durch gelesen.

Musste aber feststellen das was du an IP-Vergabe geschrieben hast so, nicht gültig ist. War aber erstaunt wie komplex die IP-Berechnung für mich als Hauptschüler ist ;-).

Ich scheitere halt immer noch daran das kein ping von einem win-client zum andern win-client durch kommt.
Dabei spielt die FW keine Rolle.

Zur Zeit habe ich es so laufen:

sokrates:/home/volker/System-sicherung/channels # ifconfig
dsl0 Protokoll:Punkt-zu-Punkt Verbindung
inet Adresse:217.224.237.192 P-z-P:217.0.116.200 Maske:255.255.255.255
UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:4138 errors:0 dropped:0 overruns:0 frame:0
TX packets:4023 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 Sendewarteschlangenlänge:3
RX bytes:2924287 (2.7 Mb) TX bytes:524396 (512.1 Kb)

eth1 Protokoll:Ethernet Hardware Adresse 00:0A:CD:12:EB:70
inet Adresse:192.168.0.1 Bcast:192.168.0.255 Maske:255.255.255.0
inet6 Adresse: fe80::20a:cdff:fe12:eb70/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:28637 errors:0 dropped:0 overruns:0 frame:0
TX packets:48793 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 Sendewarteschlangenlänge:1000
RX bytes:3544251 (3.3 Mb) TX bytes:59957703 (57.1 Mb)
Interrupt:10

eth2 Protokoll:Ethernet Hardware Adresse 00:50:8B:B9:4A:8F
inet Adresse:192.168.3.1 Bcast:192.168.3.255 Maske:255.255.255.0
inet6 Adresse: fe80::250:8bff:feb9:4a8f/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:660058 errors:0 dropped:0 overruns:0 frame:0
TX packets:487978 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 Sendewarteschlangenlänge:1000
RX bytes:959491104 (915.0 Mb) TX bytes:41042091 (39.1 Mb)

eth3 Protokoll:Ethernet Hardware Adresse 00:C0:DF:08:A0:82
inet Adresse:192.168.1.1 Bcast:192.168.1.255 Maske:255.255.255.0
inet6 Adresse: fe80::2c0:dfff:fe08:a082/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:70170 errors:0 dropped:0 overruns:0 frame:0
TX packets:61184 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 Sendewarteschlangenlänge:1000
RX bytes:61740645 (58.8 Mb) TX bytes:33567720 (32.0 Mb)
Interrupt:11 Basisadresse:0x4000

lo Protokoll:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
inet6 Adresse: ::1/128 Gültigkeitsbereich:Maschine
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:51094 errors:0 dropped:0 overruns:0 frame:0
TX packets:51094 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 Sendewarteschlangenlänge:0
RX bytes:6759375 (6.4 Mb) TX bytes:6759375 (6.4 Mb)

Ist zur Zeit nicht perfekt denke ich, werde morgen mal die Beschreibunf auf Deiner HP durchgehen.

Ich hoffe Du hast aber verstanden das ich von einem Win_client über Samba auf die Freigaben des anderen win_client direkt zugreifen will und nicht auf Freigaben auf den Server.
den letzteres klappt schon seit 5 Jahren bei mir.

mfg Volker

framp
17.05.07, 22:40
Ich hoffe Du hast aber verstanden das ich von einem Win_client über Samba auf die Freigaben des anderen win_client direkt zugreifen will und nicht auf Freigaben auf den Server.
Ja. Bei mir ist das etwas komplizierter da ich noch über OpenVPN und deshalb das tun Interface gehe. Aber das funktioniert auch ;)

Bei jedem Posten von ifconfig stehen neue IP Adressen in den nics. Da kommt man sich wie in einem Karussel vor :o

Beschreibe doch mal was an eth1 - eth3 jeweils angeschlossen ist. Und dann poste mal die Ausgabe von diesem Script (http://www.linux.framp.de/collectnwdata) welches Du auf dem Linux Router ausführst. Damit sehen wir mal was Du so alles auf Deinem Router konfiguriert hast. U.U. stellt das Script sogar schon Fehler fest.

gerdmitpferd
19.05.07, 11:47
Ja. Bei mir ist das etwas komplizierter da ich noch über OpenVPN und deshalb das tun Interface gehe. Aber das funktioniert auch ;)

Bei jedem Posten von ifconfig stehen neue IP Adressen in den nics. Da kommt man sich wie in einem Karussel vor :o

Beschreibe doch mal was an eth1 - eth3 jeweils angeschlossen ist. Und dann poste mal die Ausgabe von diesem Script (http://www.linux.framp.de/collectnwdata) welches Du auf dem Linux Router ausführst. Damit sehen wir mal was Du so alles auf Deinem Router konfiguriert hast. U.U. stellt das Script sogar schon Fehler fest.

Entschuldige die Karusselfahrt.
Aber gerade die IP-Vergabe ist ja das Problem und ich probiere halt woran das liegen könnte. Habe jetzt für den Test erst mal nichts weiter verändert.

eth1 Ist die Netzwerkkarte (IP 192.168.0.1) im Linux-Rechner mit dem ein Windows-XP-Rechner (IP 192.168.0.2) verbunden ist

eth2 Ist die Netzwerkkarte (IP 192.168.3.1) mit dem DSL Modem Verbunden

eth3 Ist die Netzwerkkarte (IP 192.168.1.1) im Linux-Rechner mit dem ein Windows-ME-Rechner (IP 192.168.1.2) verbunden ist.

Ein ping von 192.168.0.2 auf 192.168.1.2 ist nicht möglich.

Auch ein ping von 192.168.1.2 auf 192.168.0.2 kommt nicht durch.

Ein ping von 192.168.1.2 auf 192.168.0.1 ist möglich.

Ebenso funktioniert ein ping von 192.168.0.2 auf 192.168.1.1 .

Gruß Volker

framp
20.05.07, 11:15
Da jetzt alle wichtigen Daten zur Problemanalyse vorhanden sind habe ich die Lösung fuer Dich:

Schreibe


iptables -I FORWARD -i eth1 -o eth3 -j ACCEPT
iptables -I FORWARD -i eth3 -o eth1 -j ACCEPT

in /etc/sysconfig/scripts/SuseFirewall2-custom direkt hinter die folgende Zeile:

fw_custom_before_denyall() {

und nimm das Kommentarzeichen # in /etc/sysconfig/SuSEFirewall2 bei #FW_CUSTOMRULES=... raus.

BTW: Beim Durchsehen Deiner Ausgaben sind mir noch 2 Dinge aufgefallen die Du korrigieren solltest.

1) Sowohl 192.168.0.1 als auch 192.168.1.1 werden in Deine /etc/hosts auf sokrates.site gemapped. Es kann aber nur eine IP sokrates.site heissen :rolleyes: .
2) In FW_DEV_INT steht auch Deine externe Netzwerkkarte (Mac = ...8f = eth2) drin. Ich habe jetzt nicht untersucht ob das ein Problem ist, d.h. Deine FW auch die externe Verbindung als trusted ansieht und saemtlichen Verkehr vom Internet ungefiltert durchläßt. Um sicherzugehen solltest Du die externe Nic aus FW_DEV_INF löschen :rolleyes: Du kannst in FW_DEV_INT und FW_DEV_EXT auh cid nic namen anstelle der mac adressen schreiben, also dsl0 bei FW_DEV_EXT und eth1 und eth3 bei FW_DEV_INT. Ist leichter zu lesen ...

gerdmitpferd
20.05.07, 12:48
Habe eine andere Lösung gefunden.

Bei SuSEfirewall2 ist es wohl bei mir unterbunden das zwei Netzwerkkarten intern kommunizieren dürfen.

Ich bin nach dieser Tabelle vorgegangen:

http://wwwbs.informatik.htw-dresden.de/svortrag/i03/Thosz/config.html

Der erste Eintrag in der Tabelle war der richtige.

Die Netzwerkkarte für's DSL habe ich auf extern gesetzt. Jetzt haut es hin.

Alle Pings kommen durch, Zugriff auf Samba-Freigaben auf allen Rechner.

Vielen vielen Dank

PS: Wie kann ich das Thema hier auf gelöst setzen?

framp
20.05.07, 13:50
Der erste Eintrag in der Tabelle war der richtige.

Bingo! FW_CLASS_ROUTING ist die SuSEFW Methode. Man lernt eben nie aus :rolleyes: . Aber meine method funktioniert auch. Sie ist sogar universeller. Aber in Deinem Fall reicht die SuSE Method.


PS: Wie kann ich das Thema hier auf gelöst setzen?
Den ersten Beitrag von Dir ändern und den Titel entsprechend modifizieren.