Tachchen,
habe ne kleine Frage zu der SuSE FW2: Seit ich die habe kann ich keine Files mehr mit wget saugen, außerdem würde ich gerne ein paar Ports freischalten, wie mache ich das? hier is ma meine config:


FW_DEV_EXT="ppp1 eth1"
FW_DEV_INT="eth0"
FW_DEV_DMZ=""
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_NETS="192.168.1.105 192.168.1.103 192.168.1.109 192.168.1.106"
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_TCP="ssh"
FW_SERVICES_EXT_UDP=""
FW_SERVICES_EXT_IP=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_INT_TCP="ssh"
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_TRUSTED_NETS="192.168.1.105"
FW_ALLOW_INCOMING_HIGHPORTS_TCP="no"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS"
FW_SERVICE_AUTODETECT="yes"
FW_SERVICE_DNS="no"
FW_SERVICE_DHCLIENT="no"
FW_SERVICE_DHCPD="no"
FW_SERVICE_SQUID="no"
FW_SERVICE_SAMBA="yes"
FW_FORWARD="yes"
FW_FORWARD_MASQ="0/0,192.168.1.105,tcp,2300:2400 0/0,192.168.1.105,udp,2300:2400 0/0,192.168.1.105,tcp,47624 0/0,192.168.1.105,udp,47624"
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW"
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="no"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_FW_TRACEROUTE="no"
FW_ALLOW_FW_SOURCEQUENCH="no"
FW_ALLOW_FW_BROADCAST="no"
FW_IGNORE_FW_BROADCAST="yes"
FW_ALLOW_CLASS_ROUTING="no"

Is die OK? Oder sollte ich da was ändern?
Axo, wie kann ich bei FW_MASQ_NETS das gesamte 192.168.1 Netz erlauben?

FW_MASQ_NETS="192.168.1.0/24"

MfG
Cabal

Hatte ich schon mal versucht mit FW_MASQ_NETS="192.168.1.0/250"... das ging nicht.
Ich werde es mal Versuchen.
Und wie siehts mit den Ports aus? wget?

>FW_MASQ_NETS="192.168.1.0/250"
Das kann nicht gehen. Die Zahl hinter dem Slash gibt die Anzahl der gesetzten Bits in der Maske an. Maximal geht 32 das entspricht 255.255.255.255 die 24 steht für 255.255.255.0 eben 3*8 bits.

wget macht doch auch nix anderes wie ein "http get request" oder ??
Wenn du mit lynx auf deiner büchse surfen kannst müsste wget auch funzen.
Eventuell das geräusch bei FW_FORWARD_MASQ rausschmeisen.
sonst schau mal in /var/log/firewall ob dort noch was steht vonwegen http und drop oder so.

cs

Axo, das sind Bits...:D
Und wie mache ich das jetzt, dass alle IPs von 192.168.1.0 bis 192.168.1.255 geroutet werden, der rest nicht? Weil die 24 ist ja nicht nur für die letzte Zahl, 2^24 ist ja schon 16777216... gilt das dan immer für die gesamte ip?
Ganz habe ich diese Ragel noch nicht verstanden...

Ob ich mit dem Teil ins Internet kann weis ich gar nicht, habe kiene Oberfläche... das Teil routet nur, im Netzwerk gehts... vielleicht liegt das aber auch daran, dass kein DNS Server eingestellt ist, dass es also nur mit IPs geht...
Aber FTP geht mit den selben Downloadlinks, man muss sich halt nur selber einloggen...
Wenn ich was mit wget sauge loggt der sich halt selber ein und startet den Transfer, aber er wird nie fertig. (habe ihn 2 h an 98KB laden lassen von 4 verschiedenen Servern, das kann nicht nirmal sein...)

Jo, was jetzt noch wichtig wäre, wie kann ich Ports freischalten? Also für FTP, HTTP, ...

Hallo,
Services (Ports) freischalten wie folgt:

FW_SERVICES_INT_TCP="http https pop3 ssh ..........."
FW_SERVICES_INT_UDP="domain ftp-data"

Je nach Bedarf.

Gruß Klaus

Ah... und wie mache ich das mit bestimmten Ports, von denen ich den Namen nicht weis, bzw. die nur weitergeleitet werden sollen?
Bibt es nicht ne möglichkeit das direkt und nur über die Ports laufen zu lassen?

Hallo,
vollkommen richtig.
Es geht sowohl als Dienst wie auch als Port.
Die Dienste und Ports sind in der Datei /tec/services, die P'rotokolle in /etc/protocolls aufgeführt. (gilt für Suse 7.3)

Die Protokolle sind vorwiegend bei besonderen Diensten, z. B. vpn, nötig.

Gruß Klaus

wo findet man denn überhaupt die Konfigdatei ?!?!
Habs mit YaST2 konfigt, aber will mal nachschauen, was man noch so alles "tunen" kann !

Würde mal fast behaupteb wollen in die /etc/rc.config.d/firewall2.rc.conf

Kann man sich dafür auch ne eigene Datei machen? Also damit das extern gelagert is, ich hab das gerne n bissl getrennt...