Firewall dropped willkürlich Pakete....?????

Hallo Leute,

hoffe Ihr könnt mir helfen.
Bin nun schon seid ca. 2 Wochen mit dem folgendem Problem beschäftigt:

Zum Zustand:
wir haben hier ein Netz, welches in 3 Häuser und auch Subnetze geteilt ist:
Jedes der Häuser ist mit einem GRE-Tunnel über ein anderes Netz verbunden. Jeder dieser Tunnel-Rechner besitzt eine Suse Firewall (Suse9.3) und masqueriert jedes Paket aus dem 192.168.0.0/16 Netz.
Denn es ist auch möglich von jedem Standpunkt aus in das Netz zu gehen durch welches der Tunnel läuft, allerdings darf aus der Richtung nichts in unser Netz.

Das Problem ist nun folgendes:
Die Firewall jedes Tunnel-Rechners (sind fast gleich konfiguriert) dropped willkürlich Pakete, hier ein kleines Beispiel von zusammenhängenden Verbindungen

Nov 9 11:51:30 XXXRechnernameXXX kernel: SFW2-FWDint-ACC-FORW IN=eth0 OUT=eth0 SRC=192.168.1.41 DST=192.168.1.5 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=63162 DF PROTO=TCP SPT=1261 DPT=25 WINDOW=64320 RES=0x00 ACK URGP=0

Nov 9 11:51:30 XXXRechnernameXXX kernel: SFW2-FWDint-ACC-FORW IN=eth0 OUT=eth0 SRC=192.168.1.41 DST=192.168.1.5 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=63162 DF PROTO=TCP SPT=1261 DPT=25 WINDOW=64320 RES=0x00 ACK URGP=0

Nov 9 11:51:30 XXXRechnernameXXX kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=eth0 SRC=192.168.1.41 DST=192.168.1.5 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=63162 DF PROTO=TCP SPT=1261 DPT=25 WINDOW=64320 RES=0x00 ACK URGP=0


Kann mir bitte mal jemand dieses Verhalten erklären???

ich weiß, ich bin ungeduldig.... aber hat dieses Problem noch niemand gehabt??

Vielleicht sollte ich noch dazu schreiben, dass das Routing ohne Firewall wunderbar funktioniert... nur ist leider das Masquerading und die Firewall zu dem anderen Netz sehr wichtig...

Was mir hier auffällt ist daß in und out beidesmal eth0 ist. Mach doch mal ne Regel rein die das erlaubt. Das Problem hatte ich auch mal bei Einsatz von zwei Gateways in unterschiedliche Richtungen wo ein Gateway ggf an das andere Gateway weiterleiten sollte und dafür keine Regel hatte und dann brav gedroppt hat.

naja, das ist eins der unregelmäßigkeiten...
das netz 192.168.1.0/24 nutzt den Tunnel-Rechner mittlerweile auch als Gateway für alles... und das droppen passiert auch, wenn das paket von einem anderen Tunnel, sprich andere Netzwerkschnittstelle, aus kommt :roll: :?

PS: Ich glaub ich poste mal die Suse-Firewall, vielleicht hab ich ja auch nur irgend nen dummen fehler drin.... den 5 andere menschen seid 2 wochen nicht entdecken....

Hier die Regeln bzw Variablen:

FW_DEV_EXT="eth-id-00:04:23:b3:4c:93"
FW_DEV_INT="eth-id-00:04:23:b3:4c:92 grenlir01 grenlir02" //gre... sind die Tunnel Devices
FW_DEV_DMZ=""
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="eth-id-00:04:23:b3:4c:93"
FW_MASQ_NETS="192.168.0.0/16"
FW_PROTECT_FROM_INT="no"
FW_SERVICES_EXT_TCP="ssh 25 110 161"
FW_SERVICES_EXT_UDP="161"
FW_SERVICES_EXT_IP=""
FW_SERVICES_EXT_RPC=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_DMZ_RPC=""
FW_SERVICES_INT_TCP="ssh"
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_SERVICES_INT_RPC=""
FW_SERVICES_DROP_EXT=""
FW_SERVICES_REJECT_EXT="0/0,tcp,113"
FW_SERVICES_ACCEPT_EXT=""
FW_TRUSTED_NETS="192.168.0.0/16,icmp 192.168.0.0/16,udp 192.168.0.0/16,tcp 10.63.21.2,icmp 10.63.22.2,icmp"
FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
FW_ALLOW_INCOMING_HIGHPORTS_UDP=""
FW_FORWARD="\
192.168.0.0/16,192.168.0.0/16 \
192.168.0.0/16,10.0.0.0/8 \
192.168.0.0/16,213.23.76.0/24"
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_ALL="yes"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="yes"
FW_LOG_LIMIT=""
FW_LOG=""
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="yes"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="yes"
FW_ALLOW_PING_EXT="yes"
FW_ALLOW_FW_SOURCEQUENCH=""
FW_ALLOW_FW_BROADCAST_EXT="yes"
FW_ALLOW_FW_BROADCAST_INT="yes"
FW_ALLOW_FW_BROADCAST_DMZ="yes"
FW_IGNORE_FW_BROADCAST_EXT="no"
FW_IGNORE_FW_BROADCAST_INT="no"
FW_IGNORE_FW_BROADCAST_DMZ="no"
FW_ALLOW_CLASS_ROUTING="no"
FW_CUSTOMRULES=""
FW_REJECT=""
FW_HTB_TUNE_DEV=""
FW_IPv6=""
FW_IPv6_REJECT_OUTGOING=""
FW_IPSEC_TRUST="no"
FW_ZONES=""

maxes schrieb:

FW_ALLOW_CLASS_ROUTING="no"

Zum Vergrößern anklicken....

Setz den doch mal testweise auf 'yes' - das soll Routing zwischen internen Interfaces ermöglichen

ne das hats auch nicht gebracht....

hab das ganze jetzt doch mit iptables gelöst...

dauraus lerne ich...und hoffentlich jeder andere auch:

benutze, für einen Router mit der zusätzlichen Aufgabe einer Firewall und einem Masquerading, niemals die SUSE-Firewall....!!

falls die IP-Tables von jemandem gewünscht werden, einfach mal melden!

maxes schrieb:

benutze, für einen Router mit der zusätzlichen Aufgabe einer Firewall und einem Masquerading, niemals die SUSE-Firewall....!!

Zum Vergrößern anklicken....

Da kann ich dir seit letztem WE nur zustimmen.
Nach den ersten Anzeichen eines "fastwahnsinnigwerdens" werde ich mich, auf Tipp eines guten Freundes nun mit Shorewall beschäftigen.

Koenntest Du mal kurz skizzieren was Du gemacht hast? Es soll Leute geben, die die SUFU im Forum benutzen ;-)

Die SuSEfirewall ist mit Vorsicht zu benutzen. Wenn man Standarddinge machen will liefert sie sehr schnell gute Ergebnisse ohne netfilter Kenntnisse. Wenn man speziellere Dine machen will -> entweder alles ohne SuSEFW oder in den Customrules iptables Befehle aufnehmen (netfilter Kenntnisse erforderlich). Das Problem ist nur - wo ist der Uebergang zwischen Standard und CustomMade 8)

PS: Stehen die drei Haeuser am Bienroderweg noch?

maxes schrieb:

hab das ganze jetzt doch mit iptables gelöst...

dauraus lerne ich...und hoffentlich jeder andere auch:

benutze, für einen Router mit der zusätzlichen Aufgabe einer Firewall und einem Masquerading, niemals die SUSE-Firewall....!!

falls die IP-Tables von jemandem gewünscht werden, einfach mal melden!

Zum Vergrößern anklicken....

Hallo
ich hab das gleiche Problem, Firewall blockt immer IN=eth0 OUT=eth0, kannst du bitte genau erleutern wie du das geregelt hast. Ich benutze auch eigenes iptables script.

Danke

luxman schrieb:

... ich hab das gleiche Problem ...

Zum Vergrößern anklicken....

Leider gibt es immer wieder Egoisten. Die stellen Fragen im Forum wenn Sie ein Problem haben und sharen wenn sie die Loesung haben, diese nicht mit der Community

Baeh :!: