Firewall AHHHHHHHH

Hallo Leute!
Es ist doch zum Mäuse melken.
Zu aller Erst, hat mir leider die Suchfunktion hier nicht weitergebracht,
schade, sonst finde ich meist antwort hier bei euch.

Also,
habe SuSe 9.1. mit standard 2.6.4-52Kernel.
Wenn ich die Firewall2 über yast einrichte kriege ich keine Verbindung mittels ping zu einem einem Rechner.
Habe die resolv.conf auch schon dementsprechend angepasst.

Wenn das System hochfährt, sagt er mir:
Starting Firewall Initialization (phase 2 of 3)
Warning: No interface active (yet?) done

Soweit so gut, ich kann aber keine server per ping erreichen und den Nameserver findet er auch nicht. Nun das Spektakuläre:
Ich öffne eine Root-Shell und gebe einfach nur:
"SuSEfirewall2" ein. Und siehe da, ich kann ping und er findet meinen Name-Server.

Habe einfach mal eine kleine Firewall-Konfiguration zum testen eingebaut:
Please help me!

eine vermutung: es klingt so, als ob teil drei des firawallstarts nicht automatisch stattfinden. hast du alle drei teile im runleveleditor aktiviert?

horrido, roland

Hallo roland!
Also, alle 3 Teile laufen und sind auch im runleveleditor an.
Wenn ich mit kinternet verbinde dauert es ne ganze weile, bis er mir sagt, dass er den Nameserver nicht finden kann.
Ich denke mal das hängt irgendwie mit der Meldung :

" Warning: No interface active (yet?)" zusammen.
Denn wenn ich verbunden bin und dann nochmal rcSuSEfirewall2 restart mache, gibt er die meldung nicht aus. Startet die Firewall normal neu, findet den Nameserver und ich kann ganz gemütlich im web surfen. Woran kann das nur liegen?
*radlosguck*
gruss,
darkangel

Kann mir denn keiner helfen ? ;(

darkangel2k schrieb:

Wenn das System hochfährt, sagt er mir:
Starting Firewall Initialization (phase 2 of 3)
Warning: No interface active (yet?) done

Zum Vergrößern anklicken....

Hat er denn Recht, d.h. da besteht noch keine Verbindung zum Internet? Wann und wie (manuell/automatisch) wird die denn hergestellt?

Kannst du mir sagen, was in /etc/sysconfig/network/config bei der Variable FIREWALL steht?
Mit der kann festgelegt werden, dass die Firewall gestartet werden soll, wenn das Interface aktiviert wird (wenn ich das richtig interpretiert habe).

für mich klingt es als währen die netzwerkinterfaces nicht aktiv...guck mal ob bei der netzwerkarte bei startup on boot oder so da steht.

Hallo!
Bei der Interface-Konfiguration ist überall OnBoot aktiviert.
die /etc/sysconfig/network/config
hat Firewall aus "yes".
Ich starte die Verbindung immer manuell über kinternet, wenn ich online gehen will.

Gruss,
darkangel2k

Hallo,

kann es vielleicht sein, dass das System eine falsche Reihenfolge abarbeitet?

Ich hatte das Problem auch mal - weiss aber nicht mehr, bei welcher Version...

Damals war es so, dass das System zuerst die dsl-Schnittstelle initialisieren wollte, bevor die Nics überhaupt gestartet waren.
Das ging natürlich nicht...

Vieleicht liegt Dein Problem an der Reihenfolge.
Wenn er zuerst die Firewall startet, ohne dass ppp0/dsl0 bekannt ist, gehts halt nicht.
Das würde erklären, warum es nach dem manuellen Aufruf der FW funktioniert...
Er kennt das device halt noch nicht zu dem Zeitpunkt, wenn die FW startet.


BT

@BlueTurtle:
Hi! Du hast recht, das interface ist noch nicht zum start aktiv beim boot, ifconfig gibt das interface auch dann erst an, wenn ich ne verbindung mit kinternet herstelle. Ich könnte nun natürlich die Verbindung schon beim boot herstellen lassen, doch ich verwende ISDN, also nix Flatrate, das könnte also sehr teuer werden.
Gibt es dann nur für mich die möglichkeit die firewall jedesmal manuell zu starten mit "rcSuSEfirewall2 start" ?
Muss ich dann auch noch SuSEfirewall2 oder erledigt das der rc-befehl schon mit?

Gruss,
darkangel2k

Hallo,

ich habe es seinerzeit so gelöst, dass ich ein Skript geschrieben habe, dass zu erst ein nettes ausführt und dann die Firewall startet.
So war sicher gestellt, dass das System wusste, wovon die Firewall spricht...

Das ist aber nicht sehr elegant und ein grosser Nachteil ist natürlich, dass die Netzwerkschnittstellen zwei mal rauf und runter gefahren werden - dann dauert das Booten natürlich etwas länger...
Aber Du könntest das Skript ja - bevor Du ins Internet willst - einmal anwuppen lassen, vielleicht löst das Dein Problem?!

BT

@BlueTurtle:
Danke für den Hinweis.
Habe mir mittlerweile auch schon ein paar gedanken gemacht und bin dann darauf gekommen ein script zu schreiben, welches die verbindung erst mit cinternet herstellt und dann einfach ein "SuSEfirewall2 start" durchführt. Werde dafür mal ein bischen mit sudo spielen müssen, da ich die berechtigung für SuSEfirewall2 nicht auf user ändern möchte.
Was hälst du davon?
Kann man ja auch noch grafisch machen, so eine art eigenen kinternet.

Gruss
darkangel2k

Guten Morgen,

sudo scheint mir die eleganteste Lösung, da hast Du recht.

Ich machs im Moment etwas umständlicher:
habe mir zwei Paketfilter zusammen gezimmert - eine nur zum Surfen und eine zum Zocken.
Die zum Surfen wird automatisch gestartet und wenn ich "tiefer" ins Internet möchte melde ich mich kurz als root an und starte die andere Firewall.
Is auch nicht sooo elegant, aber egal...

Wie Du Dich auch immer entscheidest, viel Spass und Erfolg!

BT

Darf ich mein windoofverseuchtes (grafikorientiertes), bescheidenes Wissen zur Verfügung stellen?
Ich habe die Firewall (Suse 9.1) über das GUI Guarddog eingestellt und hatte da mal vergessen den DNS-Server frei zu geben. Ergo, war keine Verbindung nach "draussen" möglich. Schau doch da mal nach, wir sind alle nur Menschen, zumindestens die Meisten...

Crassus