PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SuSEfirewall2 funtzt nicht



der_paule
07.06.02, 12:23
Hallo Leutz,

ich habe ein großes Problem mit der SuSEfirewall2, irgendwie geht die nicht mal annähernd so wie die erste. (oder ich bin zu blöd :confused: ) Ich habe SuSE 8.0 früher 7.0 <- damals ging alles einfacher!

Was ich will:
Ich habe ein Subnetz 192.168.x.x mit mehreren Rechnern. Nur mein Linux Server soll eine Verbindung aufbauen (ISDN) und alle sollen ins Internet kommen (E-Mails, WWW, WinMX etc.) Firewall soll aktiv sein.

Was ich schon alles Probiert habe ::ugly:
Nach der Installation habe ich einfach mal losgewählt nichts passierte! Ich habe firewall deaktiviert es funtzte! Also habe ich mir die SuSEfirewall2 Configfile angesehen und habe dort etwas rumgespielt. Ich habe es dann zum laufen gebracht! Aber nur vom Linux Rechner aus alle anderen im Subnetzt konnten nicht mal den Linux Server (192.168.121.200) anpingen. Firewall deaktiv samba ging alles ging bloß nicht das Internet (klar Masqurading ist ja nicht aktiv) Nach zwei wöchigen rumspielen und andauernden ändern hatte ich die schnauze voll und habe SuSEfirewall2 configfile komplett gelöscht und meine eigenen Sachen hineingeschrieben:

FW_DEV_EXT="ippp0"
FW_DEV_INT="eth0"
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_NETS="192.168.0.0/16"
FW_LOG_ACCEPT_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_DROP_CRIT="yes"
#FW_PROTECT_FROM_INTERNAL="yes"
#FW_AUTOPROTECT_SERVICES="yes"
#FW_ALLOW_FW_TRACEROUTE="no"
#FW_ALLOW_FW_PING="no"

Die ausgeklammerten befehle hätte ich noch gern drin habe ich aber erstmal aussenvor gelassen. Es geht trotzdem nicht dann habe ich die iptables komplett gelöscht:

iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F

Folgendes habe ich dann neu hineingeschrieben:

iptables -P INPUT DROP
iptables -P FORWARD DROP (habe ich auch schon mal auf ACCEPT gesetzt)
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Da ich keinen ftp oder ähnliches betreibe und auch samba nicht freigeben möchte richtung internet habe ich nicht mehr eingetragen. Ist das richtig?

Irgendwo ist doch der Fehler könnt Ihr mir helfen? Ich bin für jede Hilfe dankbar.

Gruß Paule

Helge
07.06.02, 13:05
Ich habe firewall2 unter SuSE laufen. Anfangs hatte ich das gleiche Problem - im internen Netz funktionierte nix.

In der Yast config gibt es eine Option "Vor internem Netz schützen"

Das Teil rausgeschmissen und seitdem klappt das Teil ohne Prob!

Versuch doch auch mal in dem Experten Modus alle Ports freizuschalten und es dann nochmal auszuprobieren. Wenn es dann klappt einfach systematisch die nicht benötigten Ports dichtmachen!

Gruß

Helge

kberger
09.06.02, 11:57
Hallo Paule,
aus Deinem Ausschnitt des Configfiles geht nicht hervor, welche Dienste von innen freigegeben sind.
Das könnte hier aber das Problem sein.

Gruß Klaus

der_paule
11.06.02, 10:26
Es soll eigentlich alles frei sein intern!

Gruß Paule

tomes
11.06.02, 10:42
so etwas in der Art:
iptables -A INPUT -i $FW_DEV_INT -j ACCEPT

Wie schon Klaus schrieb. nichts von innen frei gegeben, nur von internen Interface --> lo
Alles andere --> input drop wird ja geblockt.

T;o)Mes

P.S.: Hier ein kleines Beispiel ohne masq, da ich ein Application-Gateway benutze.

der_paule
11.06.02, 11:13
Hallo Leutz,

erstmal danke für eure mühe!

Ich glaube bei mir gibt es ein etwas größeres problem. Ich habe z.B. alles freigegeben:

iptables -F

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -A INPUT -i ippp0 -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -i ippp0 -j ACCEPT
iptables -A OUTPUT -i eth0 -j ACCEPT
iptables -A FORWARD -i ippp0 -j ACCEPT
iptables -A FORWARD -i eth0 -j ACCEPT

Wenn ich dann iptables -L aufrufe zeigt er mir auch an das alles frei ist. Sobald ich aber SuSEfirewall2 stop und start mache. Zeigt mir iptables -L eine riesige Liste mit tausenden Regeln an. Das kann ja nicht richtig sein. läd sich die SuSEfirewall2 automatisch einen bestimmten skript? Ich habe auch schon mal die iptables-save aufgerufen ich weiß nicht wozu dieses ist gut ist aber probieren geht über studieren.

vielleicht wisst Ihr ja was.

gruß paule

tomes
11.06.02, 13:01
da ich schon immer meine eigende Firewall gebaut habe.
Sieh doch mal unter /etc/rc.config.d/ nach. Dort sollten alle Firewall Scripte liegen.
Aber warum baust du dir nicht selber was. Siehe mein Script-Beispiel.
Einfach ausfuehrbar machen und schon klappts mit dem Nachbar ;-)
Natuerlich die SuSE Firewall ausmachen.

T;o)Mes

der_paule
11.06.02, 13:11
ich versuchs mal

dank dir erstmal

gruß paule

kberger
11.06.02, 14:07
Hallo Paule,
hier kurz als Beispiel freigegebene Dienste vom Intranet:
FW_SERVICES_INT_TCP="http pop3 smtp ....."
FW_SERVICES_INT_UDP="domain"

Damit sollte es funktionieren.
Tomes hat natürlich recht. Firewall2 oder selbstgebaut; eins geht nur.

Gruß Klaus