PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Probleme mit APF



Johny_D94
11.06.14, 17:54
Guten Tag

Seit einigen Tagen läuft auf unserem Server die APF-Firewall.

Soweit so gut. Nur haben wir ein Problem. Lokaler zugriff über den Netzwerknamen ist in keienr weise möglich.

Wenn wir die IP-Adresse benutzen funktioniert FTP,SAMBA (nur für Daten Transver von lokalen rechnern),SSH wunderbar. Benutzen wird den Netzwerknamen des Servers, ist kein zugriff möglich. Wenn wir den servernamen aber pingen, bekommen wir die korrekte IP.

Im Moment haben wir 2 Lösungen:
1.) Firewall ausschalten
2.) zugriff nicht mehr lokal, nur von aussen.

Hat jemand eine Idee an was das liegen kann?

Gruss und besten Dank für Hinweise
Johny_D

marce
11.06.14, 19:35
Hat jemand eine Idee an was das liegen kann?
Wenn es ohne Firewall geht und mit nicht - liegt es an der Firewall.

Normalerweise findet man in den Logs der Firewall das, was die so dachte, tun zu müssen. Manchmal muss man das Logging erst einstellen.

Manchmal muss man auch nur mit tcpdump oder anderen Netzwerktools clientseitig nachschauen, was denn schief läuft.

Oder man schaut sich die Konfig gut an.

Johny_D94
11.06.14, 22:54
Leider gibt es im Log keine entsprechenden Einträge davon :confused:

Die Konfiguration habe ich schon mehrfach durchgecheckt. Ich konnte leider nichts finden was mir weiter hilft.



DEVEL_MODE "0"
INSTALL_PATH "/etc/apf-firewall"
IFACE_IN "eth1"
IFACE_OUT "eth1"
IFACE_TRUSTED ""
SET_VERBOSE "1"
SET_FASTLOAD "0"
SET_VNET "0"
SET_ADDIFACE "0"
SET_MONOKERN "0"
SET_REFRESH "10"
SET_TRIM "150"
VF_ROUTE "1"
VF_CROND "1"
VF_LGATE ""
RAB "0"
RAB_SANITY "1"
RAB_PSCAN_LEVEL "2"
RAB_HITCOUNT "1"
RAB_TIMER "300"
RAB_TRIP "1"
RAB_LOG_HIT "1"
RAB_LOG_TRIP "1"
TCP_STOP "DROP"
UDP_STOP "DROP"
ALL_STOP "DROP"
PKT_SANITY "1"
PKT_SANITY_INV "0"
PKT_SANITY_FUDP "1"
PKT_SANITY_PZERO "1"
PKT_SANITY_STUFFED "0"
TOS_DEF "0"
TOS_DEF_RANGE "512:65535"
TOS_0 ""
TOS_2 ""
TOS_4 ""
TOS_8 "21,20,80"
TOS_16 "25,110,143"
TCR_PASS "1" TCR_PORTS "33434:33534"
ICMP_LIM "30/s"
RESV_DNS "1"
RESV_DNS_DROP "1"
BLK_P2P_PORTS "1214,2323,4660_4678,6257,6699,6346,6347,6881_6889, 6346,7778"
BLK_PORTS "135_139,111,513,520,445,1433,1434,1234,1524,3127"
BLK_MCATNET "0"
BLK_PRVNET "0"
BLK_RESNET "1"
BLK_IDENT "0"
SYSCTL_CONNTRACK "34576"
SYSCTL_TCP "1"
SYSCTL_SYN "1"
SYSCTL_ROUTE "0"
SYSCTL_LOGMARTIANS "0"
SYSCTL_ECN "0"
SYSCTL_SYNCOOKIES "1"
SYSCTL_OVERFLOW "0"
HELPER_SSH "1"
HELPER_SSH_PORT "24765"
HELPER_FTP "1"
HELPER_FTP_PORT "21"
HELPER_FTP_DATA "20"
IG_TCP_CPORTS "21,80,135_139,445,8080,24768"
IG_UDP_CPORTS ""
IG_ICMP_TYPES "3,5,11,0,30,8"
EGF "0"
EG_TCP_CPORTS "21,80,135_139,445,8080"
EG_UDP_CPORTS "20,21,53"
EG_ICMP_TYPES "all"
EG_TCP_UID ""
EG_UDP_UID ""
EG_DROP_CMD "eggdrop psybnc bitchx BitchX init udp.pl"
DLIST_PHP "0"
DLIST_PHP_URL "rfxn.com/downloads/php_list"
DLIST_PHP_URL_PROT "http"
DLIST_SPAMHAUS "0"
DLIST_SPAMHAUS_URL "www.spamhaus.org/drop/drop.lasso"
DLIST_SPAMHAUS_URL_PROT "http"
DLIST_DSHIELD "0"
DLIST_DSHIELD_URL "feeds.dshield.org/top10-2.txt"
DLIST_DSHIELD_URL_PROT "http"
DLIST_RESERVED "0"
DLIST_RESERVED_URL "rfxn.com/downloads/reserved.networks"
DLIST_RESERVED_URL_PROT "http"
DLIST_ECNSHAME "0"
DLIST_ECNSHAME_URL "rfxn.com/downloads/ecnshame.lst"
DLIST_ECNSHAME_URL_PROT "http"
USE_RGT "0"
GA_URL "yourhost.com/glob_allow.rules"
GA_URL_PROT "http"
GD_URL "yourhost.com/glob_deny.rules"
GD_URL_PROT "http"
LOG_DROP "0"
LOG_LEVEL "crit"
LOG_TARGET "LOG"
LOG_IA "1"
LOG_LGATE "0"
LOG_EXT "0"
LOG_RATE "30"
LOG_APF "/var/log/apf_log"
CNFINT "$INSTALL_PATH/internals/internals.conf"
PATH /sbin:/usr/sbin:/usr/bin:/usr/local/bin:/usr/local/sbin:$PATH ; export PATH
VER "9.7"
APPN "apf"
ifconfig /sbin/ifconfig
ip /sbin/ip
IPT "/sbin/iptables"
MPB "/sbin/modprobe"
LSM "/sbin/lsmod"
RMM "/sbin/rmmod"
IPTS "/sbin/iptables-save"
IPTR "/sbin/iptables-restore"
DIFF "/usr/bin/diff"
WGET "/usr/bin/wget"
MD5 "/usr/bin/md5sum"
UNAME "/bin/uname"
IF "$IFACE_IN"
IN_IF "$IFACE_IN"
OUT_IF "$IFACE_OUT"
ALL_STOP "DROP"
LSTOP "LD"
LACCEPT "LA"
TOS_DEF_TOS "$TOS_DEF"
NET `$ifconfig $IF | grep -vw inet6 | grep -w inet | cut -d : -f 2 | cut -d \ -f 1`
NAME `echo $APPN | tr '[:lower:]' '[:upper:]'`
TIME `date +"%D %H:%M:%S"`
UTIME `date +"%s"`
KREL `$UNAME -r | cut -d\. -f 1,2`
LOCK_TIMEOUT "360"
LOCK "$INSPATH/lock.utime"
ADR "$INSTALL_PATH/ad/ad.rules"
ALLOW_HOSTS "$INSTALL_PATH/allow_hosts.rules"
DENY_HOSTS "$INSTALL_PATH/deny_hosts.rules"
GALLOW_HOSTS "$INSTALL_PATH/glob_allow.rules"
GDENY_HOSTS "$INSTALL_PATH/glob_deny.rules"
DS_HOSTS "$INSTALL_PATH/ds_hosts.rules"
PHP_HOSTS "$INSTALL_PATH/php_hosts.rules"
DROP_HOSTS "$INSTALL_PATH/sdrop_hosts.rules"
ECNSHAME_HOSTS "$INSTALL_PATH/ecnshame_hosts.rules"
RABP "$INSTALL_PATH/internals/rab.ports"
MD5_FILES "$ADR $INSTALL_PATH/*.rules $INSTALL_PATH/internals/*.networks $INSTALL_PATH/vnet/*.rules $RABP"
MCATNET "$INSTALL_PATH/internals/multicast.networks"
PRVNET "$INSTALL_PATH/internals/private.networks"
RESNET "$INSTALL_PATH/internals/reserved.networks"
PRERT "$INSTALL_PATH/preroute.rules"
POSTRT "$INSTALL_PATH/postroute.rules"
DSTOP $ALL_STOP
if [ "$LOG_EXT" "1" ]; then
LEXT "--log-tcp-options --log-ip-options"
LEXT ""
CNF_FUNC "$INSTALL_PATH/internals/functions.apf"

Der Server steht leider nicht (mehr) bei mir selber, daher kann ich nicht selber als Client einen Lokal zugriff machen um den Fehler zu suchen.

nopes
12.06.14, 00:34
So auf die schnelle, stelle mal so um
LOG_DROP "1"
LOG_LEVEL "debug"Btw fehlen da nicht die Gleichzeichen?
Wie auch immer, zum Thema Logging, stolpert man über so Seiten wir die hier (https://www.crucialp.com/resources/tutorials/secure-server-securing/changing-apf-log-for-tdp-udp-tcp-drops.php), wo ich dann sowas versuchen würde:
if [ "$DROP_LOG" == "1" ]; then
# Default TCP/UDP INPUT log chain
$IPT -A INPUT -p tcp -m limit --limit $LRATE/minute -i $IF -j LOG --log-prefix "** IN_TCP DROP ** "
$IPT -A INPUT -p udp -m limit --limit $LRATE/minute -i $IF -j LOG --log-prefix "** IN_UDP DROP ** "Bzw in der vorliegenden Syntax dann wohl:
if [ "$DROP_LOG" "1" ]; then
$IPT -A INPUT -p tcp -m limit --limit $LRATE/minute -i $IF -j LOG --log-prefix "** IN_TCP DROP ** "
$IPT -A INPUT -p udp -m limit --limit $LRATE/minute -i $IF -j LOG --log-prefix "** IN_UDP DROP ** "Spätesten dann ist Leben im Log, wenn nicht muss du das entsprechend einrichten...