Guten Tag
Seit einigen Tagen läuft auf unserem Server die APF-Firewall.
Soweit so gut. Nur haben wir ein Problem. Lokaler zugriff über den Netzwerknamen ist in keienr weise möglich.
Wenn wir die IP-Adresse benutzen funktioniert FTP,SAMBA (nur für Daten Transver von lokalen rechnern),SSH wunderbar. Benutzen wird den Netzwerknamen des Servers, ist kein zugriff möglich. Wenn wir den servernamen aber pingen, bekommen wir die korrekte IP.
Im Moment haben wir 2 Lösungen:
1.) Firewall ausschalten
2.) zugriff nicht mehr lokal, nur von aussen.
Hat jemand eine Idee an was das liegen kann?
Gruss und besten Dank für Hinweise
Johny_D
Hat jemand eine Idee an was das liegen kann?
Wenn es ohne Firewall geht und mit nicht - liegt es an der Firewall.
Normalerweise findet man in den Logs der Firewall das, was die so dachte, tun zu müssen. Manchmal muss man das Logging erst einstellen.
Manchmal muss man auch nur mit tcpdump oder anderen Netzwerktools clientseitig nachschauen, was denn schief läuft.
Oder man schaut sich die Konfig gut an.
Leider gibt es im Log keine entsprechenden Einträge davon :confused:
Die Konfiguration habe ich schon mehrfach durchgecheckt. Ich konnte leider nichts finden was mir weiter hilft.
DEVEL_MODE "0"
INSTALL_PATH "/etc/apf-firewall"
IFACE_IN "eth1"
IFACE_OUT "eth1"
IFACE_TRUSTED ""
SET_VERBOSE "1"
SET_FASTLOAD "0"
SET_VNET "0"
SET_ADDIFACE "0"
SET_MONOKERN "0"
SET_REFRESH "10"
SET_TRIM "150"
VF_ROUTE "1"
VF_CROND "1"
VF_LGATE ""
RAB "0"
RAB_SANITY "1"
RAB_PSCAN_LEVEL "2"
RAB_HITCOUNT "1"
RAB_TIMER "300"
RAB_TRIP "1"
RAB_LOG_HIT "1"
RAB_LOG_TRIP "1"
TCP_STOP "DROP"
UDP_STOP "DROP"
ALL_STOP "DROP"
PKT_SANITY "1"
PKT_SANITY_INV "0"
PKT_SANITY_FUDP "1"
PKT_SANITY_PZERO "1"
PKT_SANITY_STUFFED "0"
TOS_DEF "0"
TOS_DEF_RANGE "512:65535"
TOS_0 ""
TOS_2 ""
TOS_4 ""
TOS_8 "21,20,80"
TOS_16 "25,110,143"
TCR_PASS "1" TCR_PORTS "33434:33534"
ICMP_LIM "30/s"
RESV_DNS "1"
RESV_DNS_DROP "1"
BLK_P2P_PORTS "1214,2323,4660_4678,6257,6699,6346,6347,6881_6889, 6346,7778"
BLK_PORTS "135_139,111,513,520,445,1433,1434,1234,1524,3127"
BLK_MCATNET "0"
BLK_PRVNET "0"
BLK_RESNET "1"
BLK_IDENT "0"
SYSCTL_CONNTRACK "34576"
SYSCTL_TCP "1"
SYSCTL_SYN "1"
SYSCTL_ROUTE "0"
SYSCTL_LOGMARTIANS "0"
SYSCTL_ECN "0"
SYSCTL_SYNCOOKIES "1"
SYSCTL_OVERFLOW "0"
HELPER_SSH "1"
HELPER_SSH_PORT "24765"
HELPER_FTP "1"
HELPER_FTP_PORT "21"
HELPER_FTP_DATA "20"
IG_TCP_CPORTS "21,80,135_139,445,8080,24768"
IG_UDP_CPORTS ""
IG_ICMP_TYPES "3,5,11,0,30,8"
EGF "0"
EG_TCP_CPORTS "21,80,135_139,445,8080"
EG_UDP_CPORTS "20,21,53"
EG_ICMP_TYPES "all"
EG_TCP_UID ""
EG_UDP_UID ""
EG_DROP_CMD "eggdrop psybnc bitchx BitchX init udp.pl"
DLIST_PHP "0"
DLIST_PHP_URL "rfxn.com/downloads/php_list"
DLIST_PHP_URL_PROT "http"
DLIST_SPAMHAUS "0"
DLIST_SPAMHAUS_URL "www.spamhaus.org/drop/drop.lasso"
DLIST_SPAMHAUS_URL_PROT "http"
DLIST_DSHIELD "0"
DLIST_DSHIELD_URL "feeds.dshield.org/top10-2.txt"
DLIST_DSHIELD_URL_PROT "http"
DLIST_RESERVED "0"
DLIST_RESERVED_URL "rfxn.com/downloads/reserved.networks"
DLIST_RESERVED_URL_PROT "http"
DLIST_ECNSHAME "0"
DLIST_ECNSHAME_URL "rfxn.com/downloads/ecnshame.lst"
DLIST_ECNSHAME_URL_PROT "http"
USE_RGT "0"
GA_URL "yourhost.com/glob_allow.rules"
GA_URL_PROT "http"
GD_URL "yourhost.com/glob_deny.rules"
GD_URL_PROT "http"
LOG_DROP "0"
LOG_LEVEL "crit"
LOG_TARGET "LOG"
LOG_IA "1"
LOG_LGATE "0"
LOG_EXT "0"
LOG_RATE "30"
LOG_APF "/var/log/apf_log"
CNFINT "$INSTALL_PATH/internals/internals.conf"
PATH /sbin:/usr/sbin:/usr/bin:/usr/local/bin:/usr/local/sbin:$PATH ; export PATH
VER "9.7"
APPN "apf"
ifconfig /sbin/ifconfig
ip /sbin/ip
IPT "/sbin/iptables"
MPB "/sbin/modprobe"
LSM "/sbin/lsmod"
RMM "/sbin/rmmod"
IPTS "/sbin/iptables-save"
IPTR "/sbin/iptables-restore"
DIFF "/usr/bin/diff"
WGET "/usr/bin/wget"
MD5 "/usr/bin/md5sum"
UNAME "/bin/uname"
IF "$IFACE_IN"
IN_IF "$IFACE_IN"
OUT_IF "$IFACE_OUT"
ALL_STOP "DROP"
LSTOP "LD"
LACCEPT "LA"
TOS_DEF_TOS "$TOS_DEF"
NET `$ifconfig $IF | grep -vw inet6 | grep -w inet | cut -d : -f 2 | cut -d \ -f 1`
NAME `echo $APPN | tr '[:lower:]' '[:upper:]'`
TIME `date +"%D %H:%M:%S"`
UTIME `date +"%s"`
KREL `$UNAME -r | cut -d\. -f 1,2`
LOCK_TIMEOUT "360"
LOCK "$INSPATH/lock.utime"
ADR "$INSTALL_PATH/ad/ad.rules"
ALLOW_HOSTS "$INSTALL_PATH/allow_hosts.rules"
DENY_HOSTS "$INSTALL_PATH/deny_hosts.rules"
GALLOW_HOSTS "$INSTALL_PATH/glob_allow.rules"
GDENY_HOSTS "$INSTALL_PATH/glob_deny.rules"
DS_HOSTS "$INSTALL_PATH/ds_hosts.rules"
PHP_HOSTS "$INSTALL_PATH/php_hosts.rules"
DROP_HOSTS "$INSTALL_PATH/sdrop_hosts.rules"
ECNSHAME_HOSTS "$INSTALL_PATH/ecnshame_hosts.rules"
RABP "$INSTALL_PATH/internals/rab.ports"
MD5_FILES "$ADR $INSTALL_PATH/*.rules $INSTALL_PATH/internals/*.networks $INSTALL_PATH/vnet/*.rules $RABP"
MCATNET "$INSTALL_PATH/internals/multicast.networks"
PRVNET "$INSTALL_PATH/internals/private.networks"
RESNET "$INSTALL_PATH/internals/reserved.networks"
PRERT "$INSTALL_PATH/preroute.rules"
POSTRT "$INSTALL_PATH/postroute.rules"
DSTOP $ALL_STOP
if [ "$LOG_EXT" "1" ]; then
LEXT "--log-tcp-options --log-ip-options"
LEXT ""
CNF_FUNC "$INSTALL_PATH/internals/functions.apf"
Der Server steht leider nicht (mehr) bei mir selber, daher kann ich nicht selber als Client einen Lokal zugriff machen um den Fehler zu suchen.
So auf die schnelle, stelle mal so um
LOG_DROP "1"
LOG_LEVEL "debug"Btw fehlen da nicht die Gleichzeichen?
Wie auch immer, zum Thema Logging, stolpert man über so Seiten wir die hier (https://www.crucialp.com/resources/tutorials/secure-server-securing/changing-apf-log-for-tdp-udp-tcp-drops.php), wo ich dann sowas versuchen würde:
if [ "$DROP_LOG" == "1" ]; then
# Default TCP/UDP INPUT log chain
$IPT -A INPUT -p tcp -m limit --limit $LRATE/minute -i $IF -j LOG --log-prefix "** IN_TCP DROP ** "
$IPT -A INPUT -p udp -m limit --limit $LRATE/minute -i $IF -j LOG --log-prefix "** IN_UDP DROP ** "Bzw in der vorliegenden Syntax dann wohl:
if [ "$DROP_LOG" "1" ]; then
$IPT -A INPUT -p tcp -m limit --limit $LRATE/minute -i $IF -j LOG --log-prefix "** IN_TCP DROP ** "
$IPT -A INPUT -p udp -m limit --limit $LRATE/minute -i $IF -j LOG --log-prefix "** IN_UDP DROP ** "Spätesten dann ist Leben im Log, wenn nicht muss du das entsprechend einrichten...
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.