Konfiguration Firewall

Hallo zusammen,

ich möchte ein kleines lokales WLAN Netzwerk einrichten,
indem ich auch auf einen CUPS Server drucken kann.
Ich habe auf 2 PC's SuSE Linux (9.1/9.2) installiert.
Die WLAN Karten sind mit einem DSL-Router verbunden.
Ich habe auf beiden Rechnern den Port 631 für CUPS in den
Einstellungen der Firewall freigegeben.
Wenn ich die Rechner mit nmap gegenseitig Scanne sehe ich aber
nicht dass der Port 631 open wäre !!!!
Erst wenn ich die Firewall komplett abschalte ist der Port zu sehen.
Woran liegt das ? Wie muss ich die Firewall konfigurieren, ohne
sie gleich ganz abzuschalten ?
Vielleicht kann mir ja jemand helfen ?

m.f.g. mactilion

Hallo,

Ich habe auf beiden Rechnern den Port 631 für CUPS in den
Einstellungen der Firewall freigegeben.

Zum Vergrößern anklicken....

wie hast Du das denn gemacht?
Hast Du die SuSE-Firewall benutzt, oder selbst gehackt?

Um zu sehen, welche Firewall-Regeln gerade aktiv sind, kannst Du "iptables -L" in der Konsole als root eingeben.
Vielleicht hilft das ja schon...

BT

Hey ich habe das mit den Ports für mich mit Firestarter gelößt

http://www.linux-club.de/viewtopic.php?t=27507&highlight=

Gruß
Arnd

Hey,

also ich habe unter SuSE mit Yast die Firewall konfiguriert,
und im Bereich Experten-Einstellungen die TCP/IP Port 631
bzw. UDP Port 613 freigegeben.
Scheint aber irgend wie keine auswirkungen zu haben.

Sorry,

muss vorher natürlich UDP Port 631 heissen.

und wenn Du "iptables -L" eingibst?
wird dann angezeigt, dass der Port offen ist?

BT

Hey,

also wenn ich iptables -L eingeben bekomme ich überhaupt
keine Info's über Ports oder so.

inux92:/home/ds # iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
input_ext all -- anywhere anywhere
input_int all -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-IN-ILL-TARGET '
DROP all -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
LOG icmp -- anywhere anywhere limit: avg 3/min burst 5 icmp time-exceeded LOG level warning tcp-options ip-options prefix `SFW2-OUT-TRACERT-ATTEMPT '
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp port-unreachable
ACCEPT icmp -- anywhere anywhere icmp fragmentation-needed
ACCEPT icmp -- anywhere anywhere icmp network-prohibited
ACCEPT icmp -- anywhere anywhere icmp host-prohibited
ACCEPT icmp -- anywhere anywhere icmp communication-prohibited
DROP icmp -- anywhere anywhere icmp destination-unreachable
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-OUT-ERROR '
usw.

Damit kann ich nicht viel anfangen, sagt Dir das was ????

m.f.g. mactilion

Wenn ich die Rechner mit nmap gegenseitig Scanne sehe ich aber
nicht dass der Port 631 open wäre !!!!

Zum Vergrößern anklicken....

wenn keine Druck-Aktion läuft, wird der Port auch nicht offen sein.


das ist halt ne dynamische Firewall...

...aber meine Äusserungen sind ein weinig auf den blauen Dunst, ich kenne die Konfiguration der FW nicht.

BT

BlueTurtle schrieb:

Wenn ich die Rechner mit nmap gegenseitig Scanne sehe ich aber
nicht dass der Port 631 open wäre !!!!

Zum Vergrößern anklicken....

wenn keine Druck-Aktion läuft, wird der Port auch nicht offen sein.

Code:

ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

das ist halt ne dynamische Firewall...

...aber meine Äusserungen sind ein weinig auf den blauen Dunst, ich kenne die Konfiguration der FW nicht.

BT

Zum Vergrößern anklicken....

Der letzte Satz ist korrekt, das andere ist Unsinn. Wenn Cups eingerichtet ist und ein Druckdaemon läuft, dann ist auch der Port mit nmap zu erreichen und sichtbar.

Ein einfacher Test hätte dir das gezeigt.

Die SuSEFirewall wird am besten über Datei /etc/sysconfig/SuSEFirewall2 eingerichtet. Um den Port 631 auf dem Rechner selbst freizugeben, sollte
dieser Port in die Variable FW_SERVICES_INT_TCP eingetragen werden. Im fogenden Beispiel sind die tcp Ports 22 und 631 auf dem Rechner auf dem die Firewall läuft freigeschaltet, dass heißt von außen erreichbar.

Mit freundlichen Grüßen
gaw

Vielen Dank für den Tipp,
werde ich ausprobieren !!!

m.f.g. mactilion

Hey nochmal,

bei mir steht folgender Eintrag:
FW_SERVICES_EXT_TCP="631 http https pop3 pop3s smtp ssh"

Müsste eigentlich passen oder ???

m.f.g. mactilion

mactilion schrieb:

Ich habe auf beiden Rechnern den Port 631 für CUPS in den Einstellungen der Firewall freigegeben.

Zum Vergrößern anklicken....

Hast du mehrere Druckserver im Einsatz? Ansonsten mußt du nur den Port 631 auf dem Rechner freigeben der auch als Druckserver dienen soll.

Hast du mal kontrolliert ob der cupsd überhaupt gestartet wird? Hast du in der conf-Datei eingestellt welche Rechner auf Cups zugreifen (drucken) dürfen?

mactilion schrieb:

Hey nochmal,

bei mir steht folgender Eintrag:
FW_SERVICES_EXT_TCP="631 http https pop3 pop3s smtp ssh"

Müsste eigentlich passen oder ???

m.f.g. mactilion

Zum Vergrößern anklicken....

Ich glaube nicht, dass es das ist was du möchtest. Mit dieser Einstellug erlaubst du das der Rechner auf dem die Firewall läuft und der quasi mit einer externen Netzwerkkarte eine Verbindung ins Internet unterhält, von aussen zugegriffen werden kann. Beispielsweise auf einem Rechner der über dsl mit dem Internet verbunden läuft zusätzlich ein Emailserver, ein Webserver und ein Druckserver und vom Internet soll darauf zugegriffen werden können.

Wenn sich der Rechner innerhalb eines LAN befindet und nur eine Netztwerkkarte besitzt mit dem er an das LAN angeschlossen hat besitzt er nur eine interne Schnittstelle. Wenn andere Rechner aus dem LAN auf diesen Rechner zugreifen sollen dann muss dass in FW_SERVICES_INT stehen.

Mit freundlichen Grüßen
gaw