Ich benutze die Suse Firewall2 mit Masquarading.
Funktioniert auch ganz gut.
Nur bekomme ich dauernt irgentwelche Meldungen von der Firewall, wie z.B. diese hier:
SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=203.197.52.79 DST=80.133.27.241 LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=8544 DF PROTO=TCP SPT=2386 DPT=139 WINDOW=5360 RES=0x00 SYN URGP=0 OPT (0204055001010402)

Für mich sieht das aus, als hätte dir Firewall ein Datenpacket verworfen, aber was hat das zu bedeuten. Das passiert mir sehr oft. Mehrer hundert male am Tag.
Manchmal auch:
SuSE-FW-UNAUTHORIZED-ROUTING IN=eth0 OUT=ppp0 SRC=192.168.0.2 DST=213.47.170.130 LEN=60 TOS=0x00 PREC=0x00 TTL=127 ID=48539 PROTO=UDP SPT=13139 DPT=13139 LEN=40

oder:
SuSE-FW-ACCEPT IN=ppp0 OUT= MAC= SRC=203.198.2.3 DST=80.133.20.178 LEN=60 TOS=0x08 PREC=0x00 TTL=52 ID=38882 PROTO=TCP SPT=47371 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (02040584010303000101080A01F450A700000000)

aber wie gesagt,..am häufigsten "DROP"

das SuSE-FW-ACCEPT bedeutet, dass eine von 203.198.2.3 vom Port 47371 ausgehende Verbindung auf deinem Rechner auf dem Port 80 eingehende Verrbindung angenommen wurde. Zu deutsch: Die Firewall hat den Zugriff von aussen auf deinen Webserver (Port 80) zugelassen.
das SuSE-FW-DROP-DEFAULT bedeutet, dass die Firewall den Zugriff von 203.197.52.79 vom Port 2386 auf deinen Rechner auf den Port 139 (meistens läuft dort samba) geblockt hat. Sieht so aus als hätte ein Windows-Rechner versucht von aussen auf die Dateifreigabe deines Rechners zuzugreifen.
das SuSE-FW-UNAUTHORIZED-ROUTING bedeutet dass ein Rechner aus deinem internen Netzwerk versucht hat durch die Firewall ein Paket vom Port 13139 an den Port 13139 der Adresse 213.47.170.130 zu schicken. Scheinbar enthielt das Paket allerdings einen Fehler oder eine falsche Prüfsumme und wurde daher nicht geroutet.

ist ja beruhigent, das die Firewall nicht authorisierte Zugriff verwehrt. Aber bin ich wirklich so stark in Schußfehlt, das gleich hunderte von solchen Zugriffen am Tag auf mich zugreifen? Ich lass ja einen Webserver laufen, deshalb ja auch Zugriff auf Port 80. Ich hab auch Samba laufen, aber ich will es nicht nach Aussen hin öffnen. Ich hab noch nie eine Firewall soviel blocken sehen. Entweder ist das ein Zeichen dafür, das die verdammt gut ist, oder.....weiß auch nicht.
Was haltet ihr davon. Ist das normal und richig so?

nach was anderes:
ich hab nach der Konfigurationsdatei für die Firewall gesucht. Aber nichts unter /etc/ gefunden. Wo ist die?

naja ich hab an manchen tag auch schon mal ziemlich viele geblockte zugriffe. wenn du so viele zugriffe auf deinen webserver hast, dann liegt das netweder daran dass du darauf eine Webseite hostest die ziemlich gut besucht ist, oder dass mal wieder ein paar gehackte IIS Amok laufen und alle erreichbaren Webserver beschießen. schau mal in deinen apache acces-logs nach, wenn du von ein paar IIS attackiert wirst, dann müsste dort in etwa sowas zu finden zu sein:
217.81.247.96 - - [25/Apr/2002:20:28:38 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 293
217.81.247.96 - - [25/Apr/2002:20:28:39 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 291
217.81.247.96 - - [25/Apr/2002:20:28:39 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301
217.81.247.96 - - [25/Apr/2002:20:28:40 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301
217.81.247.96 - - [25/Apr/2002:20:28:40 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315
217.81.247.96 - - [25/Apr/2002:20:28:41 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 332
217.81.247.96 - - [25/Apr/2002:20:28:41 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 332
217.81.247.96 - - [25/Apr/2002:20:28:42 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 348
217.81.247.96 - - [25/Apr/2002:20:28:43 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 314
217.81.247.96 - - [25/Apr/2002:20:28:43 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 314
217.81.247.96 - - [25/Apr/2002:20:28:44 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 314
217.81.247.96 - - [25/Apr/2002:20:28:44 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 314
217.81.247.96 - - [25/Apr/2002:20:28:45 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 298
217.81.247.96 - - [25/Apr/2002:20:28:45 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 298
217.81.247.96 - - [25/Apr/2002:20:28:46 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315
217.81.247.96 - - [25/Apr/2002:20:28:47 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315

das heißt, dass ein inifzierter IIS versucht über deinen Webserver auf dein Betriebssystem zuzgreifen. wie du siehst versucht er deinen webserver mit windows-typen kommandos auszutricksen, da du aber weder nen IIS hast noch ein win-betriebssystem stellt das für dich keine gefahr dar.

jo, diese Zugriffe kenn ich. Meine access.log ist voll davon. Die Sache kenn ich auch noch von meiner "alten" Windows Zeit. (Hab früher nen Webserver mit Sambar betrieben). Ich weiß, das diese Angriffe nur eine IIS hacken. Aber wie soll es auch anders sein......Microschrott :D

ich kenne diese Logs auch aus meiner Windows Zeit. Ich hatte damals nen gehackten webserver mit nem IIS drauf und reihenweise mails von leuten die von meinem IIS attackiert wurden. die haben mir alle diese logfile geschickt und gefragt was das soll, bis ich herausgekriegt habe, dass mein webserver (win2k server edition) voller viren, würmer, trojaner war und das mein mein IIS nicht mehr so ganz mir gehörte, denn es lagen einige dateien drauf, die ich nicht dahin habe. das war für mich grund genug auf linux umzusteigen. und siehe da nun binb ich derjenige der solche logfiles zu sehen kriegt. wenn du den zugriff von aussen auf deinen webserver nicht unbedingt brauchst, wegen irgendwelcehn webprojekten oder so, dann würde ich ihn wieder sperren. spart etwas platz in den logfiles.

ich leere die log files regelmässig. spart wirklich eine Menge Platz.
sag mal,..kannst du mir sagen wo ich die firewall konfiguration finde???
/etc/???? oder....

ich denke mal schon in /etc. aber da ich kein SuSE 8.0 habe kann ich dir nicht genau sagen, wo. bei meiner SuSE 7.3 wars in der /etc/rc.config.d/firewall2.rc.config

danke, aber ich glaub' ich hab's gefunden, unter
/etc/sysconfig/SuSEfirewall2