Hi @all.

Ich hab's trotz der Regel "never touch a running system" doch getan und hab auf Suse 8.0 upgedatet. Soweit alles im Lot. Hab allerdings noch Probleme mit meinem Firewallskript. Bei der Initialisierung kann nicht auf ppp0 zugegriffen werden.Hab schon gesehen, dass das Prozedere unter 8.0 nun wohl anders läuft.

Unter /proc/sys/net/ipv4/conf befindet sich das ppp0 nur, wenn eine Verbindung zum inet besteht.Frage: Wie müssen meine Zeilen nun aussehen? eth1 statt ppp0? Hier mal die entsprechenden Zeilen:

echo "1" > /proc/sys/net/ipv4/conf/ppp0/rp_filter
echo "0" > /proc/sys/net/ipv4/conf/ppp0/accept_redirects
echo "0" > /proc/sys/net/ipv4/conf/ppp0/accept_source_route
echo "0" > /proc/sys/net/ipv4/conf/ppp0/bootp_relay
echo "1" > /proc/sys/net/ipv4/conf/ppp0/log_martians

Könnt Ihr mir bitte auf's Pferd helfen?

Gruß,
martin

Hi Cyclone,

du kannst deine Firewall mit den Script ip-up starten.

Alternativ dazu kannst du auch die SuSEfirewall2 nehmen und als Firewall einsetzen. Hier wird ein Teil der Firewall mit dem Boot-Prozeß gestartet und der Teil, der zum Internet hin zeigt (mit ppp0) beim Aufruf von /etc/ppp/ip-up. Dies ist dort fertig konfiguriert.

Die SuSEfirewall solltest du etwas modifizieren, da unter Umständen Pakete für einen Verbindungsaufbau von aussen durchgelassen werden. Dazu mußt du nur beim "TCP Stuff" und entsprechend beim UDP-Bereich die "state"-Abfragen ändern.

Viele Grüße,
CEROG

Hallo CEROG.

Hab die Firewall von Suse nur mal überflogen. Eigentlich bin ich Purist und setze die Regeln gern explizit selbst. So kann ich, aus meiner Sicht, eher Fehler erkennen.

Wie ist denn das System von Suse aufgebaut? Wohin oder mit welchem Skript setzen die denn die Rules? Wo kann ich da eigene einsetzen?

Mit Sicherheit ist so eine Lösung zu schaffen, aber ich möchte auch gerne begreifen, wie ein System funktioniert und es nicht nur bedienen. Aus diesem Grund würde ich mich freuen, wenn mir jemand den Ablauf auf einer Suse 8 erklären könnte. Kannst Du helfen?

Gruß,
martin

Hallo cyclone,

die SuSEfirewall2 ist zugegebenermaßen ziemlich komplex aufgebaut.

Du hast drei Dateien, die die Fierwall bilden und die drei Start-Scripts.

Das Script, das die Paketfilterung macht, ist /sbin/SuSEfirewall2. Die Definition der Regeln sieht zum Beispiel so aus:
for PORT in $FW_SERVICES_EXT_TCP; do
$LAC $IPTABLES -A input_ext -j LOG ${LOG}"-ACCEPT " -p tcp --dport $PORT --syn
$LAA $IPTABLES -A input_ext -j LOG ${LOG}"-ACCEPT " -p tcp --dport $PORT
$IPTABLES -A input_ext -j "$ACCEPT" -m state --state NEW;ESTABLISHED,RELATED -p tcp --dport $PORT
done

Die Variable input_ext beschreibt die gefilterten Dienste und ist in /etc/sysconfig/SuSEfirewall2 definiert. Sie kann mit YaST2 festgelegt werden (die UDP-Ports nicht).

Mit den beiden Flags $LAC und $LAA werden die Regeln dynamisch ein- und ausgeschaltet. Grund dafür ist wohl, daß die Firewall für alle möglichen Einsatzgebiete gedacht ist. (Vertrauenswürdige Netze werden immer akzeptiert)

Da mir das Ein-und Ausschalten der Regeln zu riskant ist, habe ich diesen Teil wie folgt geändert:

for PORT in $FW_SERVICES_EXT_TCP; do
# $LAC $IPTABLES -A input_ext -j LOG ${LOG}"-ACCEPT " -p tcp --dport $PORT --syn
# $LAA $IPTABLES -A input_ext -j LOG ${LOG}"-ACCEPT " -p tcp --dport $PORT
$IPTABLES -A input_ext -j "$ACCEPT" -m state --state ESTABLISHED,RELATED -p tcp --dport $PORT
$IPTABLES -A input_ext -j REJECT -m state --state NEW,INVALID -p tcp --dport $PORT
done

Den UDP-Teil habe ich entsprechend geändert.

Zusätzlich hast du die Möglichkeit in /etc/sysconfig/scripts/SuSEfirewall2-custom eigene Regeln zu definieren.

In /etc/sysconfig/SuSEfirewall2 solltest du die Variable
FW_ALLOW_INCOMING_HIGHPORTS_TCP="ftp_data" wie angegeben setzen, damit die nicht alle unpriviliged Ports öffnen mußt, um Downloads machen zu können.

Ich hoffe, ich habe dir damit einen ersten Eindruck gegeben.
Viele Grüße,
Cerog

Hi CEROG

Für den Umgang mit der SF2 ist das sehr hilfreich. Mit Deiner Hilfe kann ich meine Regeln sicherlich einbauen.

Und wenn ich die weiterhin net mog, dann kegel ich die raus und bau mein Skript ins ip-up ein, wie Du es vorgeschlagen hast.

Dangesehr :-)
martin

hallo cyclone,

ich habe diese Firewall laufen, weil sie einige interessante Features zu haben scheint.

Langfristig habe ich allerdings vor, alles rauszuschmeissen, was ich nicht brauche, also eine Art "Downsizing" zu machen. Für's erste wird diese Firewall bei mir weiterlaufen.

Viele Grüße,
CEROG