Firewall macht dicht?

Hallo Leute,
ich habe ein Problem mit meiner Susefirewall2. Wenn die Firewall up ist, dann geht hier gar nix mehr. Ich kann zwar die lokalen Netzwerkkarten im Rechner auf dem die Firewall läuft anpingen, aber IP-Adressen aus dem Internet sind weder vom Firewallrechner noch von Rechnern aus meinem privaten Netzwerk erreichbar. Internetzugriff ist also nicht möglich:-(. Ist die Firewall down, kann ich fleißig pingen, aber die Clients haben natürlich keinen Internetzugang weil ja kein Routing erfolgt.:-(
Konfiguration erfolgte von Yast2 aus (dachte, das sollte ja idiotensicher sein...) , habe die Schnittstellen ippp0 für extern und eth0 für intern vergeben. Dienste habe ich (noch) keine freigegeben, denn am Web- und FTP-Server bastle ich noch.
Ansonsten habe ich ein X vor:
Traceroute erlauben
Daten weiterleiten und Masquerading durchführen
Alle laufenden Dienste schützen
Bin mir ziemlich sicher, daß sich das Problem zwischen Bildschirm und Stuhllehne befindet ,vielleicht könnte ihr mir ja mal einen Tipp geben, denn in den Scripten in /etc/sysconfig/scripts/SuSEfirewall2 bzw. in /sbin/SuSEfirewall2 habe ich nicht wirklich was gefunden (vielleicht auch übersehen???)
Vielen Dank

Karsten

Poste doch bitte mal die von allen Kommentaren befreite Datei /etc/sysconfig/SuSEfirewall2, dann schauen wir uns das mal an.

Welche SuSE-Version benutzt Du? In einigen Versionen sind auch Bugs drin.
Such doch bitte einmal in der SuSE Support-Datenbank nach dem Stichwort "Firewall" und schau auf der Update-Seite nach, ob es ein Bugfix für Deine Version gibt..

Hast Du überhaupt die SuSEfirewall2 aktiviert? Falls Du SuSE < 8.1 hast, ist die personal firewall zusätzlich aktiviert?

Moins...
also, ich habe die Suse 9.0,und die trägt die Firewall in den Bootvorgang ein (jedenfalls erscheint während des Booten 3 mal eine Meldung, daß Phase 1,2 und 3 initialisiert wird (mit done)). Also sollte sie doch laufen,oder? Was die Updates/Bugfixes betrifft....ich habe eigentlich gedacht, daß YOU mir immer bescheid gibt, wenn was neues da ist. habe YOU eigentlich nach Systeminstallation laufen lassen, steht jetzt auf automatisch prüfen. Hat auch gelegentlich gemeldet, dann habe ich Update gefahren. Habe jetzt alles auf der Downloadsite nocheinmal runtergeladen und installiert - Sollte also up to date sein.
Das Schlimme an der Sache ist ja, daß der ganze Kram schon einmal lief, dann Plattencrash->Neuinstalllation (auf neuer Platte) tja...und dann halt nicht. Kann mich aber nicht erinnern, daß ich in den Config-Files 'rumgefuscht hatte. War eigentlich nur in Yast2 drin und es lief damals wunderbar. Hier das config-File:
FW_QUICKMODE="no"
FW_DEV_EXT="ippp0"
FW_DEV_INT="eth0"
FW_DEV_DMZ=""
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_TCP=""
FW_SERVICES_EXT_UDP=""
FW_SERVICES_EXT_IP=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_INT_TCP=""
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_SERVICES_QUICK_TCP=""
FW_SERVICES_QUICK_UDP=""
FW_SERVICES_QUICK_IP=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP="no"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS"
FW_SERVICE_AUTODETECT="yes"
FW_SERVICE_DNS="yes"
FW_SERVICE_DHCLIENT="no"
FW_SERVICE_DHCPD="no"
FW_SERVICE_SQUID="no"
FW_SERVICE_SAMBA="no"
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW"
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
# END of /etc/sysconfig/SuSEfirewall2
FW_ALLOW_FW_TRACEROUTE="yes"
FW_ALLOW_FW_SOURCEQUENCH="yes"
FW_ALLOW_FW_BROADCAST="no"
FW_IGNORE_FW_BROADCAST="yes"
FW_ALLOW_CLASS_ROUTING="no"
FW_CUSTOMRULES=""
FW_REJECT="no"
FW_HTB_TUNE_DEV=""
Da bin ich ja mal gespannt, wo mein Fehler liegt...

Welchen Netzwerkrahmen benutzt Du? Netzwerkrahmen= die ersten 3 Ziffern der IP-Adresse, z.B. 192.168.1.xxx

Setz mal FW_MASQ_NETS auf den IP-Rahmen, den Du benutzt, z.B. 192.168.1.0/24

Dann probiere mal FW_SERVICES_INT_TCP = "80" und FW_SERVICES_INT_UDP = "80". Das schaltet den Port 80=http frei.

Du gehst mit der ISDN-Karte online?
Gehe bitte in das Verzeichnis /etc/ppp/ip-up.d und gebe ein:
ln -s ./SuSEfirewall2 /sbin/SuSEfirewall2

Dadurch wird in dem Augenblick, wo die ISDN-Karte ihre dynamische IP-Adresse zugewiesen bekommen hat, das Firewall-Script erneut gestartet. Dadurch wird der Firewall die neue dynamische IP mitgeteilt.

Der letzte Befehl ist leider ohne Gewähr, ich weiss nicht, wo bei SuSE 9 das Firewall-Script (SuSEfirewall2) gelagert ist, und auch nicht, wie es heisst.

Hallo...
irgendwie wird mir das langsam unheimlich...
alos ich habe den Netzwerkrahmen eingetragen, den ich nutze und ich habe die Port 80 ausdrücklich frei geschaltet. Aber das funzt immer noch nicht.
Ich gehe nicht mit einer ISDN-Karte ins Internet, sondern über eine Netzwerkkarte (eth1) und über ippp0 als externes Device für die Firewall. Steht jedenfalls in Yast2, das man das so angeben soll, wenn man T-DSL hat. Meine interne Netzwerkkarte ist eth0, verwechselt habe ich die beiden auch nicht, denn es sind 2 verschiedene Chipsätze (einmal 8029 einmal 8139)
Hast Du noch eine Idee, woran das liegen könnte?

mfg Karsten

Jetzt komm ich dahinter. An Deiner Netzwerkkarte eth1 hängt ein DSL-Modem und Du hast T-DSL.

Wer hat Dir denn erzählt, dass Du ippp0 eintragen sollst, wenn Du DSL hast?
das Gerät heisst "ppp0"!!!

ippp0 heisst das Device wenn du Internet über ISDN fährst.

Also trage ein:
FW_DEV_EXT = "ppp0"

Hallo...
ja was soll ich jetzt sagen...Layer 8 Problem...
Wer lesen kann ist klar im Vorteil
Wie nicht anders zu erwarten, habe Device geändert und schupps...schon ging es wieder.
So, jetzt wo ich mich bis auf die Kochen blamiert habe, werde ich mich erstmal dankbar im Hintergrund halten und versuchen, daß nächste mal erst genauer zu lesen, bevor sich wieder Leute mit meinen Problemen beschäftigen müssen.

Danke nochmal

Karsten

Na wunderbar. Problem gelöst.