Moin,

also ich hab eine FritzCard PCI eingebaut und nutze den Hisax Open Source Treiber um ins Web zu kommen.
Wenn ich den Rechner hochfahre bleibt er beim Punkt:

Starting Firewall Initilization (phase 2 of 3)

ca. 10 min stehen. :(
Allerdings nur wenn ich 'Dial on Demand' aktiviert habe. Die Firewall brauche ich, da ich die Funktion 'Weiterleiten und Masqerading' nutze um meinem Zweitrechner zugriff auf's Web zu geben.
Das Firewall-Update auf Version 3.1-22 hab ich schon drauf , hat aber keine Abhilfe gebracht.

Weiss jemand Rat?

Ezteban

Original geschrieben von Ezteban
Weiss jemand Rat?

Rat Nr. 1: Need more Input :D

Vielleicht kannst Du mal die Konfig-Datei des Firewall-Skriptes posten.

Harry

ok, hier sind die scripte:

SCRIPT 1:

#! /bin/sh
# Copyright (c) 2000-2002 SuSE GmbH Nuernberg, Germany.
#
# Author: Marc Heuse <marc@suse.de>
#
# /etc/init.d/SuSEfirewall2_init
#
### BEGIN INIT INFO
# Provides: SuSEfirewall2_init
# Required-Start:
# X-UnitedLinux-Should-Start: serial
# Required-Stop:
# X-UnitedLinux-Should-Stop: $network
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 2 6
# Short-Description: SuSEfirewall2 phase 1
# Description: SuSEfirewall2_init does some basic setup and is the
# phase 1 of 3 of the SuSEfirewall initialization
### END INIT INFO
# X-SuSE-Dep-Only

SUSEFWALL="/sbin/SuSEfirewall2"

test -x $SUSEFWALL || exit 5
test -r /etc/sysconfig/SuSEfirewall2 || exit 6

. /etc/rc.status

rc_reset

case "$1" in
start)
echo -n "Starting Firewall Initialization "
echo -n '(phase 1 of 3) '
( $SUSEFWALL close ) > /dev/null 2>&1
rc_status -v
;;
stop)
#echo -e "$0 is not for stopping SuSEfirewall2 - use \"SuSEfirewall2 stop\" or the SuSEfirewall2_setup script."
;;
restart|force-reload)
$0 start
rc_status
;;
try-restart|reload)
($0 status) >/dev/null 2>&1 || exit 7
$0 start
rc_status
;;
restart2)
# the restart2 argument is used by yast2 to not open any ports
# while the filter rules are being rewritten.
RLVL=`/sbin/runlevel | sed 's/. //'`
if [ ! -e /etc/init.d/rc${RLVL}.d/S??SuSEfirewall2_init ]; then
$SUSEFWALL stop > /dev/null 2>&1
fi
$SUSEFWALL start > /dev/null 2>&1
;;
status)
echo "Checking the status of the Firewall "
$SUSEFWALL status || rc_failed 3
;;
*)
echo "Usage: $0 {start|stop|status|restart|reload|force-reload}"
exit 1
;;
esac

# Set exit status
rc_exit

SCRIPT 2:


#! /bin/sh
# Copyright (c) 2000-2002 SuSE GmbH Nuernberg, Germany.
#
# Author: Marc Heuse <marc@suse.de>
#
# /etc/init.d/SuSEfirewall2_setup
#
### BEGIN INIT INFO
# Provides: SuSEfirewall2_setup
# Required-Start: SuSEfirewall2_init $network $local_fs
# X-UnitedLinux-Should-Start: route dhclient
# Required-Stop: $local_fs
# X-UnitedLinux-Should-Stop:
# Default-Start: 3 4 5
# Default-Stop: 0 1 2 6
# Short-Description: SuSEfirewall2 phase 2
# Description: SuSEfirewall2_setup does some basic setup and is the
# phase 2 of 3 of the SuSEfirewall initialization.
### END INIT INFO
# X-SuSE-Dep-Only

SUSEFWALL="/sbin/SuSEfirewall2"

test -x $SUSEFWALL || exit 5
test -r /etc/sysconfig/SuSEfirewall2 || exit 6

. /etc/rc.status
rc_reset

case "$1" in
start)
echo -n "Starting Firewall Initialization "
echo -n '(phase 2 of 3) '
$SUSEFWALL start > /dev/null 2>&1
rc_status -v
;;
stop)
echo -n "Shutting down the Firewall "
test "$FW_STOP_KEEP_ROUTING_STATE" = "yes" || echo -n "(and disabling routing) "
$SUSEFWALL stop > /dev/null 2>&1
rc_status -v
;;
restart|force-reload)
$0 start
rc_status
;;
try-restart|reload)
($0 status) >/dev/null 2>&1 || exit 7
$0 start
rc_status
;;
restart2)
# the restart2 argument is used by yast2 to not open any ports
# while the filter rules are being rewritten.
RLVL=`/sbin/runlevel | sed 's/. //'`
if [ ! -e /etc/init.d/rc${RLVL}.d/S??SuSEfirewall2_setup ]; then
$SUSEFWALL stop > /dev/null 2>&1
fi
$SUSEFWALL start > /dev/null 2>&1
;;
long-status)
echo "Checking the status of SuSEfirewall2 "
$SUSEFWALL status || rc_failed 3
;;
status)
echo -n "Checking the status of SuSEfirewall2 "
iptables -L reject_func >/dev/null 2>&1 || rc_failed 3
rc_status -v
;;
*)
echo "Usage: $0 {start|stop|status|restart|reload|force-reload}"
exit 1
;;
esac

# Set exit status
rc_exit


SCRIPT 3:

#! /bin/sh
# Copyright (c) 2000-2002 SuSE GmbH Nuernberg, Germany.
#
# Author: Marc Heuse <marc@suse.de>
#
# /etc/init.d/SuSEfirewall2_final
#
### BEGIN INIT INFO
# Provides: SuSEfirewall2_final
# Required-Start: SuSEfirewall2_setup
# X-UnitedLinux-Should-Start: $ALL $portmap
# Required-Stop: SuSEfirewall2_setup
# X-UnitedLinux-Should-Stop: $ALL
# Default-Start: 3 4 5
# Default-Stop:
# Short-Description: SuSEfirewall2 phase 3
# Description: SuSEfirewall2_final does finally set all the firewalling
# rules. Phase 3 of 3 of SuSEfirewall setup.
### END INIT INFO

SUSEFWALL="/sbin/SuSEfirewall2"

test -x $SUSEFWALL || exit 5
test -r /etc/sysconfig/SuSEfirewall2 || exit 6

. /etc/rc.status
rc_reset

case "$1" in
start)
echo -n "Starting Firewall Initialization "
echo -n '(phase 3 of 3) '
$SUSEFWALL start
rc_status -v
;;
stop)
#echo -e "$0 is not for stopping SuSEfirewall2 - use \"SuSEfirewall2 stop\" or the SuSEfirewall2_setup script."
;;
restart|force-reload)
$0 start
rc_status
;;
try-restart|reload)
($0 status) >/dev/null 2>&1 || exit 7
$0 start
rc_status
;;
restart2)
# the restart2 argument is used by yast2 to not open any ports
# while the filter rules are being rewritten.
RLVL=`/sbin/runlevel | sed 's/. //'`
if [ ! -e /etc/init.d/rc${RLVL}.d/S??SuSEfirewall2_final ]; then
$SUSEFWALL stop > /dev/null 2>&1
fi
$SUSEFWALL start > /dev/null 2>&1
;;
status)
echo "Checking the status of the Firewall "
$SUSEFWALL status || rc_failed 3
;;
*)
echo "Usage: $0 {start|stop|status|restart|reload|force-reload}"
exit 1
;;
esac

# Set exit status
rc_exit


Ich kann damit leider nicht besonders viel anfangen.


Achso, und hier die Config:

FW_LOG_ACCEPT_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_DROP_CRIT="yes"
FW_PROTECT_FROM_INTERNAL="no"
FW_DEV_INT="eth0"
FW_DEV_EXT="ippp0"
FW_SERVICES_EXT_TCP=""
FW_AUTOPROTECT_SERVICES="yes"
FW_MASQ_NETS="0/0"
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_ALLOW_FW_TRACEROUTE="yes"

Es gibt mittlerweile noch ein Update der Firewall bei SuSE, auf Version 3.1.-26

ftp://ftp.suse.com/pub/suse/i386/update/8.1/rpm/noarch/SuSEfirewall2.rpm

Hi,

also, wenn ich es richtig lese, sind die geposteten Skripte 1 & 2 lediglich die Start/Stopskripte.
Das eigentliche Konfigskript ist /etc/sysconfig/SuSEfirewall2

Das solltest Du einmal posten, bitte ohne die Kommentarzeilen!

Gruß

@Mindstorm:
Danke für den Tip, werde es gleich mal ausprobieren.

@Stormbringer:

Es sind drei Scripte, anscheinend die drei Phasen, von denen er bei der 2ten hängenbleibt.

Und ganz unten in meinem Posting steht auch die Config.

@Ezteban
das habe ich schon gesehen!

Aber:
er bleibt in einem runlevel hängen weil etwas mit der Konfigurationsdatei nicht stimmt.

Und in dem was Du gepostet hast ersehe ich leider nicht:
- welches Interface für extern
- welches Interface für intern
- Portangaben
etc.

Von daher kann der Fehler überall liegen - und um es einzugrenzen sind möglichst viele Infos nötig.

Gruß

schmeiss doch den unübersichtlichen mist raus und nehmt eine firewall, die man auch nachvollziehen kann:

http://www.pl-berichte.de/t_netzwerk/firewall-eigenbau.html

So, ich hab nun mal ein OnlineUpdate gemacht (hat etwas gedauert, da er noch KDE auf 3.0.4-2 ge-updated hat) und es hat leider auch nichts gebracht.

@Stormbringer:

Es ist aber die komplette Datei /etc/sysconfig/SuSEFirewall2 die ich gepostet habe. Ich hatte die Datei vorher einmal gelöscht und von YAST2 neu generieren lassen, weil ich das irgendwo als Tip gelesen habe , daher fehlen auch die Comments.

Meine Schnittstellen sind eth0 für intern und ippp0 für extern. An den Ports habe ich nichts geändert.

@Thomas Mitzkat:

Wäre eine Überlegung wert, allerdings muss ich dafür erstmal die Zeit finden mich da durch zu arbeiten. Ich bin noch recht neu auf dem Gebiet Linux.

Jetzt aber einmal allen Ernstes: was soll die FW denn machen?
Du erlaubst keinerlei Zugriffe auf gar nichts ....

Probiere es einmal mit diesem anhängenden Skript - benenne Deine /etc/sysconfig/SuSEfirewall2 um (bspw. in SuSEfirewall2.alt), und lege das anhängende dort ab.
Benenne dann SuSEfirewall2.txt in SuSEfirewall2 um, und führe evtl. noch ein:
dos2unix SuSEfirewall2
aus. Vergebe dann noch die korrekten Berechtigungen (chmod 0644 SuSEfirewall2 | chown root:root SuSEfirewall2), und starte den Rechner neu. ;)

Gruß

Erstmal Danke für die Mühe...

..aber gebracht hat es leider nichts. Habe das Script nun ersetzt, umbenannt und die rechte geändert, aber er bleibt immer noch ca 10 min. bei phase 2 hängen.
Das Problem bestand ja auch schon bevor ich das Script gelöscht habe und mit Yast über die Firewalleinstellungen neu generieren ließ.
Merkwürdigerweise funktionierte ja auch mit dem von mir geposteten config-script alles einwandfrei - ich hatte mit meinem Zweitrechner Zugriff auf das Internet.
Das einzige Problem ist nach wie vor die lange Startzeit bei aktiviertem 'Dial On Demand'.

Ich habe bei den Yast-Providereinstellungen 'Dial On Demand' aktiviert, 'Während Verbindung DNS ändern' deaktiviert und bei Nameserver den 1. und 2. DNS meines Providers eingetragen. Ich hoffe das ist so richtig.

Vermutlich ist es doch noch ein Bug in der Firewall. Funktioniert das ganze denn bei jemanden mit aktiviertem 'Dial on Demand' ?

Hier funzt es einwandfrei - Dial-On-Demand mit FritzCard DSL.

Am Anfang gab es ein Problem, so daß es auch zu den von Dir beschriebenen Time-Outs kam. Da lag es an falschen Einstellungen, und deshalb meine Annahme, daß es bei Dir genauso sei.

Du hast aber nicht mit dem runlevel Editor rumgespielt, oder? ;)

Gruß

Doch , ich habe named in den Levels 3 und 5 aktiviert so wie es in einem Thread hier beschrieben war, wegen Connection Sharing.
Und dvb habe ich ebenfalls in 3 und 5 aktiviert, da ich auch noch VDR nutze.

Wenn ich bei YAST auf Konfiguration der Netzwerkkarte --> Rechnername und Nameserver anwähle kommt immer folgende Meldung:
------------------------------------------------------------
Die Resolver-Konfigurationsdatei (/etc/resolv.conf) wurde vorübergehend von ifup-ippp verändert. Sie haben zwei Optionen:
Modifizieren Sie die aktuelle (geänderte!) Version der Datei
Drücken Sie nun 'Akzeptieren' und fahren Sie mit der Bearbeitung anderer (nicht Resolver) Daten fort. Sie können später zu diesem Dialog zurückehren, wenn obiger Dienst beendet ist.
----------------------------------------------------------

Was ist dieses ifup-ippp und kann es damit was zu tun haben?
Und muss ich bei der Netzwerkkarte noch was unter Routing einstellen? Da steht jetzt der Standardgateway auf 0.0.0.0 und IP-Weiterleiten ist deaktiviert.

Wenn es bei Dir wie folgt ausschaut, habe ich keine Idee mehr ....

Jeweils /etc/init.d/
rc2.d:
K21SuSEfirewall2_init
S01SuSEfirewall2_init

rc3.d:
K11SuSEfirewall2_final
K13SuSEfirewall2_setup
K21SuSEfirewall2_init
S01SuSEfirewall2_init
S09SuSEfirewall2_setup
S11SuSEfirewall2_final

rc4.d:
K11SuSEfirewall2_final
K13SuSEfirewall2_setup
K21SuSEfirewall2_init
S01SuSEfirewall2_init
S09SuSEfirewall2_setup
S11SuSEfirewall2_final

rc5.d:
K11SuSEfirewall2_final
K13SuSEfirewall2_setup
K21SuSEfirewall2_init
S01SuSEfirewall2_init
S09SuSEfirewall2_setup
S11SuSEfirewall2_final

Gruß

Ja, diese Symlinks sind neben vielen anderen alle in den Ordnern enthalten.

Während du gepostet hast habe ich oben noch einen Nachtrag gemacht. Kann es damit zusammenhängen oder ist das alles korrekt so?

IP Weiterleitung sollte aktiviert sein ...
Die /etc/resolv.conf laße ich für die Dauer der Verbindung ebenfalls ersetzen.

Gruß

OK, dann erstmal Danke für die Hilfe!

Werde dann wohl erstmal damit leben, ich fahre den Rechner ja ohnehin meist nur einmal am Tag hoch, da ich ihn über Nacht ausschalte.

Vielleicht bringt SuSe ja nochmal 'nen Update für die Firewall. Habe von einem Bekannten gehört, dass er das Problem auch hat. Vielleicht ist es nur bei ISDN so.

Gruss
Ezteban