Kein zugriff auf Druckserver mit laufenden Susefirewall2

Hi Leute,

unter 9.1 lauft es ohne FW zu deaktivieren und wenn ich in nach schau steht das ich Port 535 offen habe.

Beim 9.2 (andere Rechner!) habe ich Port 535 als auch 631 (CUPS) geöffnet, aber kann trotzdem nicht auf Druckserver drucken.

Sobald ich eingeben wird gedruckt.

Meine Frage: was mache ich falsch, bsw. kann ich was anders machen?

EDIT: Kann es sein, weil ich nur eine NIC im Rechner habe und dies steht als externe in Firewall konfig, dass es nicht Funktioniert?

Hallo Katoon!

hatte denselben Effekt mit folgender Ursache:

in der Firewallkonfiguration war interne/externe Schnittstelle nicht i.o. Kontrolliere das mal über YaST->Firewall.

Externe Schnittstelle muß z.B. ISDN sein (ippp0) und interne deine Netzwerkkarte in der Regel /dev/eth0.

Wenn Du wegen Sicherheit keine Bedenken hast: kontrollieren, daß die Firewall im Internen Netz nicht schützen soll, dann sind die Ports die Du brauchst auch benutzbar ("Vor internem Netzwerk schützen")

Bis denn
Nukem36

Hi Nukem36,
Danke fürs Antwort.
Wenn ich unter YAST-Firewall gehe, steht beim externe : auto und interne : eth0. (Da ich keine externe Netzwerk habe, aber Yast eine externe Netzwerk verlangt.) Schutz vor interne Netzwerk ist auch nicht an, aber trotzdem Funktioniert es nicht mit FW.

Ich denke ich muss in config Datei die Einstellungen ändern und nicht in Yast, oder?

Hi Katoon,

hmm.. wie sieht dann deine Umgebung aus? Hast Du einen DSL- Anschluß und gehst Du über eth0 auf den DSL-Router? Wenn Du andernfalls nur ein internes Netzwerk hast, würde die Firewall m.E. wenig Sinn machen.

Wenn aber alles über eth0 geht (Internet und interner Traffic) gibt es 2 Möglichkeiten:

- 2. Netzwerkschnittstelle einbauen und in der Firewall als externe (eth1) definieren, um Internet und DSL sauber zu trennen

- erstellen einer passenden ipchains Richtlinie über die Konfigurationsdatei der Firewall. Steht m.W. in /etc/suseconfig/SuSEfirewall2 ...) Musst Du nachlesen.

Das Einstellen der ipchains ist nicht ganz trivial! Sieh mal hier im Forum nach.

Bei der Variante 2 musst Du beachten, daß die Firewall auf eth0 nur Pakete deines Netzes, z.B. 192.168.5.0 durchlässt, sonst hast Du ein u.U. ein Sicherheitsloch in Richtung Internet. Ich würde Variante 1 realisieren (dabei an IP-Forwarding denken!) das ist einfacher umzusetzen und schützt den gesamtes interne Netz (hinter deiner Linux-Maschine) über die Firewall. Die Linux Maschine dient dann als Gateway ins Internet. Diese Konfiguration verwende ich bei vielen Kunden mit Windows Kisten als Arbeitsstationen und einem zentralen Linux-Server mit Firewall als Internet-Gateway. Funktioniert sehr gut und benötigt kein Feintuning mit ipchains!

Ich hoffe das hilft etwas weiter

Nur zur Vollständigkeit: beschreibe mal deinen Netzwerkaufbau mit IP-Adressen. Wenn Du nur ein lokales Netz hast (ohne Schnittstelle in Richtung Internet) brauchst Du u.U,, keine Firewall!)

Bis denn
Nukem36

Hi Nukem36,


Ich gehe über Router ins Internet und so brauche ein Firewall. Mein Netzaufbau ist wie folgt....

DSL-Router mit Switch IP: 192.168.0.1
Rechner 1 mit Suse 9.1 IP: 192.168.0.2, mit Firewall geht das Drucken.
Rechner 2 mit Suse 9.2 IP: 192.168.0.3 oder DHCP von Router, mit Firewall kein Druck möglich.

Ich habe auch Suse 9.2 auf eine Laptop die wenn FW lauft kein NFS Freigaben bekommen (aber das ist ein andere Problem!)

Wenn ich auf der Router ein Firewall habe, brauche ich trotzdem ein Firewall auf alle Rechner?

Wenn der Router ne anstaendige FW hat braucht der PC keine mehr.

carsten schrieb:

Wenn der Router ne anstaendige FW hat braucht der PC keine mehr.

Zum Vergrößern anklicken....

Hi Carsten,
was meinst du mit anständige FW?

Ich benutze ein D-Link DI 624, hat das ein anständige FW oder nicht?

High Katoon,

das das Druchen auf dem 1. Rechner geht ist kein Wunder, da die Firewall auf diesem Rechner (localhost) für den dort lokalen Drucker nicht wirkt. Wie Du dein Netz beschreibst sehe ich keinen Bedarf, auf jedem Rechner eine Firewall zu betreiben. Du brauchst eine zentrale Firewall. Ob die D-Link qualitativ reicht? Google mal nach dem Teil.

Wenn die D-Link nicht reicht und Du eine zusätzliche Fireall brauchst, musst Du Dir jeden Rechner vornehmen und die erforderlichen Ports in beiden Rechnern (beginnend mit dem 1.) und in beiden Richtungen öffnen (ipchains). Da steckt schon ein gewisser Aufwand dahinter. Guckstdu SuSE Knowledgebase wie das geht (ipchains).

Deshalb mein Vorschlag einen der Rechner mit einer 2. Netzwerkkarte auszurüsten, die in Richtung D-Link verbunden ist und routet. Die Kiste muß dann allerdings immer laufen, damit die restlichen Rechner - bei denen als default Gateway die IP des "Linux-Routers" angeben - ins Internet kommen.

Im lokalen Lan über die erste Netzwerkkarte kannst Du dann meiner Meinung nach überall die Firewalls abschalten. Dann fkt. deine Druckerein im lokalen Lan überall.

Bis denn

Nukem36

ipchains ist ein bischen alt. iptables ist das Stichwort.

Ob das D-Link ausreicht musst du selber wissen. Das steht und faellt mit deinen Anspruechen.
Wenn nicht, wie beschrieben einen PC zur FW erklaeren und den Switch erst dahinter setzen, also intern und extern strikt trennen

OK danke ihr beiden, vermutlich nehme ich das mit dem Rechner zwischen I-Net und Switch.

Nochmals danke