PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SuSe firewall2 läßt alles durch !?!



boSen
02.03.02, 19:28
Guten Nabend !

also hab folgendes Problem :

Ich hab 2 win98 clients die über einen Linux Rechner (SuSE 7.3 Kernel 2.4.10) per masquerading über die firewall2 ins Internet (DSL) gehen.
Das funktioniert auch einwandfrei.
Nun hab ich die firewall so konfiguriert
(unter /etc/rc.config.d/firewall2.rc.config) das man "eigentlich" nur den HTTP Dienst nutzen kann (prot 80) ! Das klappt auch ohne Problem vom Linux und von den Windows clients aus,
aber wenn ich jetzt n anderen Dienst (z.B. IRC oder winMX) von den Windows clienst aus starte, connecten die auch ganz normal mit dem Internet
ohne das ich irgenwelche Ports (für die Progs)
in der firewall freigegben hab !?!
Das kann doch nich normal sein, oder ? Umgehen die Win Clienst irgenwie die firewall ? weil wenn ich vom linux (gateway) aus z.B. IRC starte und connecten will, läßt die firewall das nich durch (ist ja auch richitg so) !

hier mal meine firewall2.rc.config :

FW_DEV_EXT="ppp0"
#
FW_DEV_INT="eth1"
#
FW_DEV_DMZ=""
#
FW_ROUTE="yes"
#
FW_MASQUERADE="yes"
#
FW_MASQ_DEV="$FW_DEV_EXT"
#
FW_MASQ_NETS="192.168.0.0/24"
#
FW_PROTECT_FROM_INTERNAL="yes"
#
FW_AUTOPROTECT_SERVICES="yes"
#
FW_SERVICES_EXT_TCP=""
FW_SERVICES_EXT_UDP=""
FW_SERVICES_EXT_IP=""
#
#
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
#
#
FW_SERVICES_INT_TCP="80"
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
#
FW_TRUSTED_NETS=""
#
FW_ALLOW_INCOMING_HIGHPORTS_TCP="no"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="dns"
#
FW_SERVICE_AUTODETECT="yes"
#
FW_SERVICE_DNS="no"
FW_SERVICE_DHCLIENT="no"
FW_SERVICE_DHCPD="no"
FW_SERVICE_SQUID="no"
FW_SERVICE_SAMBA="no"
#
FW_FORWARD=""
#
FW_FORWARD_MASQ=""
#
FW_REDIRECT=""
#
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW"
#
FW_KERNEL_SECURITY="yes"
#
FW_STOP_KEEP_ROUTING_STATE="no"
#
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"

# END of rc.firewall
---------------------------------------------------------------------------------------------------------------

#FW_ALLOW_FW_TRACEROUTE="yes"
#
FW_ALLOW_FW_SOURCEQUENCH="yes"
#
FW_ALLOW_FW_BROADCAST="no"
FW_IGNORE_FW_BROADCAST="yes"
#
FW_ALLOW_CLASS_ROUTING="no"
#

achso das einzigste das ich in der rc.config geändert hab war
"START_FW2 auf yes"... und bei hochfahren gibt er mir keine fehlermeldungen aus !

Vielleicht weiss jemand von euch wo mein fehler liegt !
Beschäftige mich nämlich noch nicht alszulange mit linux !
währ nett wenn ihr mir weiterhelfen könnt !


cu bO !

linux-men
02.03.02, 21:52
HI boSen

Das problem mit Suse Firewall2 habe ich auch und noch andere.
Ich bin immer noch auf der suche nach diesen Problemen.Am besten man schreib die Firewall regeln selbst und nicht diese fertigen scripts von Suse.

boSen
03.03.02, 15:35
hi linux-men

ist ja gut zu hören das ich nich der einzigste bin der damit probleme hat !
... das blöde is, ich hab im moment nicht genug zeit meine eigenen regeln zu erstellen ... aber werds auf jeden fall in nächster zeit versuchen !

thx für die antwort !

wenn jemand doch noch ne lösung hat währ es nett wenn er die postet ! *g*

cu bO !

Boron
04.03.02, 16:22
Das ist kein Fehler der Firewall, sonder das ist richtig so.

Die Option FW_SERVICES_INT_TCP="80" sagt aus, dass wenn auf den Firewall-PC ein Webserver läuft (Apache), der ja den Port 80 nutzt, dieser Dienst nach "innen" geöffnet ist.
Das bedeutet, dass deine beiden Win98 PCs deine ganz private Webseite auf deinem SuSE-Rechner anschauen können (sofern du eine hast).

Diese Option sagt NICHT aus was alles wetergeleitet wird und was nicht.


SOmit bedeutet FW_SERVICES_EXT_TCP="", dass kein Dienst nach ausen geöffnet ist. Niemand kann sich von aussen (also über ppp0 kommend) z.B. per Telnet auf deinem Rechner einloggen, weil dieser Port gesperrt ist.

Gruss Boron