• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

2 Probleme mit SuSEfirewall2 unter 9.0

pasha

Newbie
Hi Linux-Fans,

Ich hab hier 2 kleine Problemchen und ich hoffe, jemand hat vielleicht ne Idee dazu:

(OS ist SuSE 9.0 mit allen Patches)

#1:
Es läuft ein Squid in der Version 2.5 Stable3, 'FW_SERVICE_SQUID' steht auf 'yes' --> läuft zwar alles wie es soll, jedoch erhalte ich seit eh und je beim booten die Meldung: 'Warning: FW_SERVICE_SQUID specified, but no Squid found running'. Habs schon mit diversen runleveln probiert, aber diese suspekte Meldung ist einfach nicht wegzubekommen.


#2:
Gestern habe ich die Firewall mal via online-update aktualisiert. Seitdem bekomme ich beim booten die Meldung: 'FW_MASQ_NETS' must be tcp or udp (port missing) *sinngemäss*. Es ist völlig egal, ob ich da z.B. '0/0' (wie vorher, und es lief damit) drinn stehen habe, oder irgendwelche wilde Regeln alla '192.168.10.0/24,0/0,tcp,21'; die Fehlermeldung erscheint immer.
Was kann ich da tun? Ist das ein bug?

Wäre schön, wenn jemand von euch paar Tips hätte 8) .

pasha
 

Dragon

Newbie
Ich würde nicht die SuSEfirewall2 nutzen da diese verbugt ist. Ich empfehle dir das Tool fwbuiler du erhälst es unter:

  • http://www.fwbuilder.org/

Mit dem GUI Tool kannst du die Firewall konfigurieren. Im Anschluß wird ein Script mit iptables Regeln erstellt. Dieses kannst mit einem CRONJOB einbinden.
Wenn du weiterhin die SuSEfirewall2 nutzen solltest muß die Portweiterleitung unter Punkt 9 so konfiguriert werden:
FW_SERVICES_EXT_TCP="21"
FW_FORWARD_MASQ="0/0,192.168.10.x,tcp,21"
Du kannst nicht die IP-Adresse 192.168.10.0 verwenden da dieses die Netz-Adresse ist. Nie die 0 und 255 in einem Class C Netzwerk, da die 0 für die Netzadresse und die 255 für den Broadcast reserviert ist.
Hast du schon versucht den Squid früher zu starten?
 
OP
pasha

pasha

Newbie
Thx für die fixe Antwort:

Das 'MASQ' Problem ist damit auch schon gelöst. Ich hab an der falschen Stelle nach dem Fehler gesucht und dein Posting hat mich drauf gebracht ;).

Der Fehler lag in den 'FW_FORWARD_MASQ' Definitionen (das Update hat da was durcheinander gebracht), und nicht wie ich angenommen hab in den 'MASQ_NETS'.
Die '192.168.10.0' war auf die MASQ_NETS Definitionen bezogen, nicht auf die FW_FORWARD_MASQ (da hab ich schon die Client IPs drinn stehen und nicht die Netzaddresse ;)).
Anyway, funzt jetzt einwandfrei, was diesen Fehler betrifft (das Tool schau ich mir mal an).

Den Squid hab ich versucht früher zu starten, bringt aber nix. Hast ne Idee dazu?

Wie gesagt, Danke schonmal für den Lösungshint des einen Problems! 8)
 

moenk

Administrator
Teammitglied
Nehmen wir doch mal die hier, die funktioniert:
Code:
FW_QUICKMODE="no"
FW_DEV_EXT="ppp0"
FW_DEV_INT="eth0"
FW_DEV_DMZ=""
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_SERVICES="no"
FW_SERVICES_EXT_TCP="ssh"
FW_SERVICES_EXT_UDP=""
FW_SERVICES_EXT_IP=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_INT_TCP=""
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_SERVICES_QUICK_TCP=""
FW_SERVICES_QUICK_UDP=""
FW_SERVICES_QUICK_IP=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP="no"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS"
FW_SERVICE_AUTODETECT="yes"
FW_SERVICE_DNS="yes"
FW_SERVICE_DHCLIENT="no"
FW_SERVICE_DHCPD="yes"
FW_SERVICE_SQUID="yes"
FW_SERVICE_SAMBA="yes"
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT="192.168.210.0/24,0/0,tcp,80,3128"
FW_LOG_DROP_CRIT="no"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="no"
FW_LOG_ACCEPT_ALL="no"
FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW"
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_FW_TRACEROUTE="yes"
FW_ALLOW_FW_SOURCEQUENCH="yes"
FW_ALLOW_FW_BROADCAST="no"
FW_IGNORE_FW_BROADCAST="yes"
FW_ALLOW_CLASS_ROUTING="no"
FW_CUSTOMRULES=""
FW_REJECT="no"
FW_HTB_TUNE_DEV=""
Beispiel für Squid transparent im Netz 192.168.210.* und Samba für das lokale Netz.
 
OP
pasha

pasha

Newbie
Vom Grundsatz her ist das exakt meine Konfiguration.
Du forced den internen http-Traffic über den Squid, was bei mir nicht der Fall ist (und der einzige nennenswerte Unterschied zwischen unseren FWs ist) --> hab das grad auch mal so eingerichtet, ändert jedoch leider nichts an der Meldung beim booten.

Noch ein paar nähere Infos: Die Meldung taucht in Phase 2 der FW auf. Squid startet default in 3 und 5. Ich hab testweise squid auch schon mal zusätzlich in 2 starten lassen, hilft jedoch nix *rätsel*.

Google schweigt sich darüber auch aus...

Am Ende liegts vielleicht an der Squid Version.... :?: :roll:

Nochmals thx für eure Hilfe, ihr seid wirklich ein fixes Völkchen (um die Uhrzeit schon Tips, Respekt ;)).
 

Dragon

Newbie
du must den Squid vor der Firewall starten d.h. schau mal in dem Verzeichnis /etc/init.d/rc3.d/ und /etc/init.d/rc5/ dort kannst du sehen in welcher Reihenfolge die einzelnen Dienste starten. Hier würde ich den Squid vor die Firewall setzen.
 
OP
pasha

pasha

Newbie
K, hab jetzt in den runlevels 3 und 5 (in denen squid eingetragen ist) mal die Reihenfolge von squid von S18 auf S13 geändert (jeweils vor Phase 2 der Firewall).
Nun bekomm ich folgende Meldung, wo vorher die mit dem Squid stand:

doneStarting Firewall Initialization (phase 2 of 3) iptables v1.2.8: invalid UDP port/service `1026->127.0.0.1' specified
Try `iptables -h' or 'iptables --help' for more information.
done

Nun bin ich noch ratloser *grins*.
 

Dragon

Newbie
Erst sagt die Firewall das kein Squid gefunden wird. Ok vieleicht weil er noch nicht gestartet wurde. Startet man ihn vor der Firewall kommt unbekannter Port 1026.

Hmmm, ich glaub ich geh erst mal einen Kaffe trinken, ich versteh das auch nicht.
 
Oben