Hiho,
ich wollte gerde mal wissen, was ich meiner FW erzählen muss, damit ich von außen auf Systemdienste wie Apache, ssh, ftp, webmin, etc. zugreifen kann.
Ich habe SuSE 8.0 mit der FW2 laufen, die macht auch das Routing.
Hier ist mal meine config:


FW_DEV_EXT="ppp0"
FW_DEV_INT="eth0"
FW_DEV_DMZ=""
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_TCP="10000 80 http https ssh"
FW_SERVICES_EXT_UDP=""
FW_SERVICES_EXT_IP=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_INT_TCP=""
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_TRUSTED_NETS="192.168.1.0/16"
FW_ALLOW_INCOMING_HIGHPORTS_TCP="no"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS"
FW_SERVICE_AUTODETECT="yes"
FW_SERVICE_DNS="no"
FW_SERVICE_DHCLIENT="no"
FW_SERVICE_DHCPD="no"
FW_SERVICE_SQUID="no"
FW_SERVICE_SAMBA="yes"
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW"
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_FW_TRACEROUTE="yes"
FW_ALLOW_FW_SOURCEQUENCH="yes"
FW_ALLOW_CLASS_ROUTING="no"

Was muss ich da noch machen außer das bei "FW_SERVICES_EXT_TCP"?

PS: eth0 ist meine lokale Netzwerkkarte, eth1 meine DSL-NT-Karte und ppp0 das Internetprotokoll.

thx

hallo!

ich kenn mich zwar mit suse firewall2 nicht aus aber das was du brauchst nennt sich prerouting.
schau mal in der hife nach...

mfg
richard

Um das noch mal klarzustellen, ich will nicht über den Router auf einen anderen Rechner zugreifen, sondern auf den Router selber.
Ich werde mal nach prerouting suchen, thx.

oh, da hab ich wohl zu schnell gelesen ;)
wenn du auf die dienste deiner fw zugreifen willst dann muss du die einzelnen ports an der fw öffen, aber wie das bei suse firewall2 geht weis ich leider nicht...

mfg
richard

hi

*von außen* heißt das vom internet oder vom lan aus. wenn du vom lan meinst, müssen die einträge von =>

FW_SERVICES_EXT_TCP nach FW_SERVICES_INT_TCP


also FW_SERVICES_INT_TCP="10000 80 https ssh"


ps:IHMO:) <= ups edit => IMHO;)


Gruß HangLoose:)

Jo,

ansonsten sind die Werte in FW_SERVICES_EXT_TCP korrekt eingetragen.
Sollte also laufen?

Harry

@GH05t

Hast du schon eine Lösung für dein Problem gefunden? Ich hab nämlich genau das selbe Problem.

Gruß

Piccer

Nein, es geht nicht.
Ich möchte vom Internet aus auf meine Dienste zugreifen können, das geht allerdings mit KEINEM.
Weder Ping, noch ssh, wird alles geblockt.
Wie das ohne FW ist weis ich nicht, weil ich dann kein Internet mehr habe, aber über LAN gehen die alle... und vor dem LAN schützt die FW ja gar nicht.

Ich habe auch mal versucht, die freizugebenden Ports auch noch bei "FW_SERVICES_INT_TCP" dabei zu schreiben, aber auch das bringt nix...
Was bedeutet denn das DMZ?
Ist das vielleicht ein Grund?
Kann es sein, dass es daran liegt, dass ich mit der FW route?

ALSO:

es liegt also mit Sicherheit an der Firewall.
Du kannst sie mit

SuSEfirewall2 stop

anhalten und mit

SuSEfirewall test

in den Testmodus schalten. Du wirst sehen, daß es dann funzt. Nur welche Regel nun dafür verantwortlich ist, weiß ich nicht :confused:

Gruß

Piccer

hi

@~Gh05t~

================================================== ===
DMZ

Ein lokales Netzwerk hinter einer Firewall, das bestimmte Services bereitstellt, die Angriffen von außen ausgesetzt sein können, und das vom eigentlichen (internen) LAN physikalisch getrennt ist. Beispiele für solche bedrohten Services sind z. B. Web- oder Mailserver, aber auch eine Reihe anderer Services wäre denkbar. Eine zusätzliche Abschirmung läßt sich realisieren, indem man den Zugang aus dem eigentlichen LAN in die DMZ durch Proxies zusätzlich abschirmt.

================================================== ===





Wie das ohne FW ist weis ich nicht, weil ich dann kein Internet mehr habe, aber über LAN gehen die alle

mal ne blöde frage, wie testet du das eigentlich vom internet aus? mit dem client aus dem lan. also deine derzeitige (dyn.) ip in den z.b browser tippen?
wenn ja, geht das so überhaupt?

oder testest du das zum beispiel vom büro aus?


das hatte ich übersehen => FW_PROTECT_FROM_INTERNAL="no"

dann brauchst du hier, meiner meinung nach, keinen eintrag machen

FW_SERVICES_INT_TCP="10000 80 https ssh"


mit deinen einträgen in

FW_SERVICES_EXT_TCP="10000 80 http https ssh"


müßte das eigentlich funzen :confused:


Gruß HangLoose:)

Ne, ich schick die IP nem bekannten, damit der das mal testet...
Aber das müsste doch eigentlich egal sein... theoretisch müsste ich doch selber auch drauf zugreifen können...
Ich würde ja mal meine IP hier reinposten, aber davor hab ich dann doch n bissl schiss, hab gerade erst neuinstalliert... :D

hi

ich würde meine auch nicht unbedingt posten ;)



12. So können Sie von außen erreicht werden
Sie wollen Dienste für das Internet anbieten, jedoch müssen Sie feststellen, daß Sie nicht erreichbar sind? Dann teilen Sie der Firewall einfach mit, wo Sie erreichbar sein möchten.
Hierfür gibt es drei Variable, die diesen Zugriff ermöglichen.

- SuSEfirewall2:
FW_SERVICES_EXT_TCP
FW_SERVICES_EXT_UDP
FW_SERVICES_EXT_IP

Hat es bei Ihnen schon geklingelt? Richtig, hier handelt es sich um einen ähnlichen Mechanismus, wie er bereits für die internen Ports beschrieben worden ist, jedoch funktioniert er hier für die externen Netze und kann auch nicht überbrückt werden (ansonsten wäre die Firewall schließlich reichlich nutzlos).
Tragen Sie in diese Variable jetzt sämtliche Services ein, die vom Internet aus erreichbar sein sollten (normalerweise reicht hier die Freigabe für TCP, aber im Falle des DNS-Servers sollten Sie auch den entsprechenden UDP-Port freigeben, um für alle Arten von Anfragen offen zu sein).


das ganze stammt von dieser site => http://www.robidu.de/linux/firewall/#ausgebremst


demnach sind das die entscheidenden variablen. aber die hast du ja schon eingetragen.

ich werde das jetzt mal bei mir testen. muß bloß das script noch ändern. ich melde mich dann nochmal.


Gruß HangLoose:)

vielleicht liegts an "FW_SERVICES_EXT_IP"...
Das ich erlauben muss darauf zuzugreifen...
Guck mir das morgen an, hab noch zu tun... thx

hi

so ich hab das mal bei mir getestet. mit folgendem eintrag


FW_SERVICES_EXT_TCP="1:1000"


den portbereich 1:1000 hab ich nur mal testweise eingesetzt.

allerdings hab ich bei mir keinen apache laufen. meine ip hab ich mal meinem bruder geschickt, der hat sie dann bei sich im browser eingegeben. von der firewall kam folgende meldung

Sep 12 21:55:54 linux-server kernel: SuSE-FW-ACCEPT IN=ppp0 OUT= MAC= SRC=xxx.xx.xxx.xxx DST=xx.xxx.xx.xxx LEN=48 TOS=0x08 PREC=0x00 TTL=118 ID=50240 DF PROTO=TCP SPT=3012 DPT=80 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405AC01010402)

also wie es aussieht wurde die anfrage an port 80 durchgelassen. ssh hab ich nicht getestet, da er windows benutzt.

ich stell hier nochmal meine config rein:

FW_DEV_EXT="ppp0"
FW_DEV_INT="eth0"
FW_DEV_DMZ=""
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INTERNAL="yes"
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_TCP="1:1000"
FW_SERVICES_EXT_UDP=""
FW_SERVICES_EXT_IP=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_INT_TCP="22 80 888 3000 10000"
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP="no"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="no"
FW_SERVICE_AUTODETECT="yes"
FW_SERVICE_DNS="no"
FW_SERVICE_DHCLIENT="no"
FW_SERVICE_DHCPD="no"
FW_SERVICE_SQUID="no"
FW_SERVICE_SAMBA="no"
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG="--log-level crit --log-tcp-options --log-ip-option --log-prefix SuSE-FW"
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="no"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="yes"
FW_ALLOW_FW_TRACEROUTE="no"
FW_ALLOW_FW_SOURCEQUENCH="yes"
FW_ALLOW_FW_BROADCAST="no"
FW_IGNORE_FW_BROADCAST="yes"
FW_ALLOW_CLASS_ROUTING="no"


Gruß HangLoose:)

hi

hier noch ne seite, wo die einzelnen variablen kurz erläutert werden


http://www.robidu.de/linux/firewall/variable.html


mfg


HangLoose

Hi,

das mit dem EXT ist ok. Du kannst die Funktionen allerdings nicht aus dem internen Netz testen, da hiermit die FW2 ein Problem hat und es nicht zuläßt. Zum Testen also einfach einen Freund ins Netz zerren, ihm deine IP schicken und dann nochmal schauen :)

Thomas