• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

SuSeFirewall2 Problem.. Finde den Fehler nicht! /-:

BlackRock

Newbie
Mahlzeit!

Ich Hab hier ein kleines Netzwerk..

1.Router(SUSE9.1 nur Konsole)
2.Win2K Server (HTTP, FTP, MySQL, Teamspeak...)
3.Mein PC...
4.Andere PCs


Also, den Router (1.) Hab ich soweit per iptables eingerichtet und das läuft auch Super!
Die Firewall läuft soweit auch Super!
Das Problem, ist nur, das einige Ports nicht rein und raus kommen!

Ich Hab mir zwar schon andere confs. Angesehen und das Forum stundenlang durchstöbert.
Ich weis leider nicht, wo mein Fehler ist.

Anbei mal meine Configs:

boot.local:
Code:
rcnamed start
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 6881:6999 -j DNAT --to-destination 10.0.0.11
iptables -t nat -A PREROUTING -i eth0 -p UDP --dport 6881:6999 -j DNAT --to-destination 10.0.0.11
iptables -t nat -A PREROUTING -i eth0 -p UDP --dport 6112 -j DNAT --to-destination 10.0.0.11
iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 4662 -j DNAT --to-destination 10.0.0.11
iptables -t nat -A PREROUTING -i eth0 -p UDP --dport 4672 -j DNAT --to-destination 10.0.0.11
iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 4661 -j DNAT --to-destination 10.0.0.11
iptables -t nat -A PREROUTING -i eth0 -p UDP --dport 4665 -j DNAT --to-destination 10.0.0.11
iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 4711 -j DNAT --to-destination 10.0.0.11


SuSEfirewall2
Code:
FW_QUICKMODE="no"
FW_DEV_EXT="eth0"    (hier stet in meiner conf. die MAC)
FW_DEV_INT="eth1"    (hier stet in meiner conf. die MAC)
FW_DEV_DMZ=""
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_TCP="4661 4662 4711 6881:6999 http https pop3 pop3s smtp"
FW_SERVICES_EXT_UDP="6881:6999 6112 4672 4665"
FW_SERVICES_EXT_IP=""
FW_SERVICES_EXT_RPC=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_DMZ_RPC=""
FW_SERVICES_INT_TCP="6881:6999 4662 4661 4711 http ftp "
FW_SERVICES_INT_UDP="6881:6999 6112 4672 4665"
FW_SERVICES_INT_IP=""
FW_SERVICES_INT_RPC=""
FW_SERVICES_QUICK_TCP=""
FW_SERVICES_QUICK_UDP=""
FW_SERVICES_QUICK_IP=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP="no"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"
FW_SERVICE_AUTODETECT="yes"
FW_SERVICE_DNS="no"
FW_SERVICE_DHCLIENT="no"
FW_SERVICE_DHCPD="no"
FW_SERVICE_SQUID="no"
FW_SERVICE_SAMBA="no"
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_KERNEL_SECURITY="yes"
FW_ANTISPOOF="no"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_FW_TRACEROUTE="yes"
FW_ALLOW_FW_BROADCAST="yes"
FW_IGNORE_FW_BROADCAST="no"
FW_ALLOW_CLASS_ROUTING="no"
FW_CUSTOMRULES=""
FW_REJECT="no"
FW_HTB_TUNE_DEV=""
FW_IPv6=""
FW_IPv6_REJECT_OUTGOING="yes"
FW_IPSEC_TRUST="no"
FW_IPSEC_MARK=""
FW_LOG=""



Bin ich mit der Annahme richtig, dass ich etwas total Falsch gemacht Hab!?

Kann mir jemand ein Antivirus Prog. Empfählen, dass man auf dem Linux System als Server und auf den anderen PCs als Client ver. Installieren kann?
Ich fand zwar schon welsche (antivir), aber ich Hab keine Lust 500Euro für die Server Lizenz zu bezahlen...

MFG: BlackRock/L0b0
 
A

Anonymous

Gast
:lol: der einfachste aller fehler (passiert mir auch immer)
iptables -A FORWARD deine_parameter_hier -j ACCEPT
--> du routest zwar, jedoch ohne das routen selbst durch zu lassen
:shock:
und: wenn man ein linux-firewall-system hat, sollte man am besten nicht sowas wie suse dafür verwenden.... ich würde dir debian ans herz legen....oder adamantix, das sind Betriebssysteme die spezielle für sowas entwickelt wurden, weil normale distris hin und wieder mal eine sicherheitslücke haben, die nicht hätte sein müssen. Bei Debian & co wird genau so etwas vermieden... zumindest wird es auf ein minimum beschränkt
 
OP
B

BlackRock

Newbie
Sorry, ich weis nicht wo der Fehler sein soll....! :cry: :x

Adamantix Lade ich mir gerade runter...
Dürften ja ca. die gleichen Files sein.....

Was den Fehler betrift, zeigt mir bitte genau wo der Fehler ist.
Ich stehe total aufem Schlauch!
 
A

Anonymous

Gast
äh......kannst du lesen??? also echt, du musst einfach nur meinen post lesen, das wichtige steht oben.

guck dir mal das an:
http://www.pl-forum.de/t_netzwerk/iptables.html
 
OP
B

BlackRock

Newbie
Sorry Leute, aber ich werd fast Irre...

Könnte mir BITTE jemand sagen, was ich wo eintragen muss um:

1. TCP und UDP Ports von außen rein zu lassen und diese an einen Bestimmten PC weiter zu leiten?
2. TCP und UDP Ports vom Lan nach draußen durch zu lassen?

Die ganzen Seiten und anderen Kram hab ich schon gelesen und kapier mittlerweile Garnichtsmehr.
Bitte helft mir, ich weis echt Nichtmär weiter...
 
Anonymous schrieb:
iptables -A FORWARD deine_parameter_hier -j ACCEPT
--> du routest zwar, jedoch ohne das routen selbst durch zu lassen
OK-Du bist total cool, das ist genau der Fehler, der auch mir seit 2 Tagen den Schlaf raubt - ABER was heisst "Deine Parameter hier"
????
 
Übrigens:

das dieser Thread hier abbricht ist einigermassen Symptomatisch für die Szene:
Mister Superschlau hat mit Versuch und Irrtum herausbekommen, wie´s irgendwie geht und findet es ab dann total witzig, Leuten, die Hilfe brauchen ein paar Andeutungen hinzuschmeissen und sie idiotischerweise zu fragen, ob sie lesen können, wenn es nicht gleich Klick macht.

Damit hilft man sich gegenseitig ziemlich optimal :evil: :evil:
 

TomcatMJ

Guru
Versuchs mal mit
Code:
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_dynaddr
iptables -A FORWARD -i ppp0 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
sofern dein DSL-Device ppp0 sowie deine LAN-Netzwerkschnittstelle eth0 heisst.
Der obige Code filtert im übrigen rein gar nix weg,daher sollte dann entweder der Code ensprechend um Filterfunktionen erweitert werden um Trojaner und ähnlich lästiges Gesocks auszubremsen oder eben eine sonstige Firewall auf den Clients laufen....hier ein komplettes ruleset für solche Zwecke zu posten dürfte den Rahmen dieses Forums jedoch ziemlich sprengen*G*.Leicht einzustellen geht sowas wenn man es nicht alles händig auf der Konsole machen will mit diversen Firewallscripten oder Tools wie knetfilter oder Webmin.

Bis denne,
Tom
[/code]
 

TomcatMJ

Guru
Nachtrag zum Code oben falls es wegen Paketgrößen zu Problemen mit manchen Websites kommt:
Code:
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Hab mich damit auch Anfangs einige Zeit rumgeärgert bis ichs rausfand*G*

Bis denne,
Tom
 
Oben