• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Firewall blockt Netzwerk

C

concubius

Newbie
Hallo,

habe mal eine Frage zu den Firewall / Netzwerkeinstellungen.
Und zwar haben wir hier einen Windows-Server auf dem unsere Daten lagern. Leider muss ich immer die Firewall ausscahlten um drauf zu zugreifen :(

Habe auch schon versucht die Ports in der Firewall zu öffnen nur leider klappt es einfach nicht. Ich habe in den Regeln, die Ports 135, 137,138,139 & 445 als TCP ind UDP freigeschalten. Trotzdem klappt nicht :(
Kann mir einer Noob-freundlich helfen?

lg con
 
framp

framp

Moderator
Teammitglied
Poste doch mal die Ausgabe von
Code: 
cat /etc/sysconfig/SuSEfirewall2 | grep -v  "^#" | grep -v "^$"
 
OP
C

concubius

Newbie
hoffe es reicht bei ausgeschaltener firewall?

Code: 
FW_DEV_EXT="any eth0"
FW_DEV_INT=""
FW_DEV_DMZ=""
FW_ROUTE="no"
FW_MASQUERADE="no"
FW_MASQ_DEV="zone:ext"
FW_MASQ_NETS="0/0"
FW_NOMASQ_NETS=""
FW_PROTECT_FROM_INT="no"
FW_SERVICES_EXT_TCP="139 445 5801 5901"
FW_SERVICES_EXT_UDP="138 139 netbios-ns"
FW_SERVICES_EXT_IP=""
FW_SERVICES_EXT_RPC=""
FW_CONFIGURATIONS_EXT=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_DMZ_RPC=""
FW_CONFIGURATIONS_DMZ=""
FW_SERVICES_INT_TCP=""
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_SERVICES_INT_RPC=""
FW_CONFIGURATIONS_INT=""
FW_SERVICES_DROP_EXT=""
FW_SERVICES_REJECT_EXT="0/0,tcp,113"
FW_SERVICES_ACCEPT_EXT="192.168.2.99,tcp,445 192.168.2.99,udp,445 192.168.2.99,tcp,139 192.168.2.99,udp,139 192.168.2.99,tcp,135 192.168.2.99,udp,135 192.168.2.99,tcp,137 192.168.2.99,udp,137 192.168.2.99,tcp,138 192.168.2.99,udp,138"
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
FW_ALLOW_INCOMING_HIGHPORTS_UDP=""
FW_FORWARD=""
FW_FORWARD_REJECT=""
FW_FORWARD_DROP=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG_LIMIT=""
FW_LOG=""
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_FW_SOURCEQUENCH=""
FW_ALLOW_FW_BROADCAST_EXT="netbios-ns netbios-dgm"
FW_ALLOW_FW_BROADCAST_INT="no"
FW_ALLOW_FW_BROADCAST_DMZ="no"
FW_IGNORE_FW_BROADCAST_EXT="yes"
FW_IGNORE_FW_BROADCAST_INT="no"
FW_IGNORE_FW_BROADCAST_DMZ="no"
FW_ALLOW_CLASS_ROUTING=""
FW_CUSTOMRULES=""
FW_REJECT=""
FW_REJECT_INT="yes"
FW_HTB_TUNE_DEV=""
FW_IPv6=""
FW_IPv6_REJECT_OUTGOING=""
FW_IPSEC_TRUST="no"
FW_ZONES=""
FW_USE_IPTABLES_BATCH=""
FW_LOAD_MODULES=""
FW_FORWARD_ALWAYS_INOUT_DEV=""
FW_SERVICES_ACCEPT_INT=""
FW_SERVICES_ACCEPT_DMZ=""
 
S

spoensche

Moderator
Teammitglied
Code: 
FW_SERVICES_EXT_TCP="139 445 5801 5901"
FW_SERVICES_EXT_UDP="138 139 netbios-ns"

Bei TCP fehlt noch der Port 138 und netbios-ns. Dann sollte das gehen.

Alternativ kannst du auch über yast->Sicherheit und Benutzer->Firewall->Erlaubte Dienste->Erweitert die entsprechenden Ports eintragen.
 
OP
C

concubius

Newbie
Hallo,

danke erstmal, aber leider hat das auch noch nicht geholfen :(
Vielleicht höng ich gleich nochmal eine andere Frage dran. Ist es möglich via direct-streaming Musik zum laufen zu bekommen vom Server?
 
S

spoensche

Moderator
Teammitglied
Poste mal bitte die Ausgabe von:

Code: 
cat /var/log/firewall

Du kannst Musik mit Streaming öffnen.
 
framp

framp

Moderator
Teammitglied
Vorher noch
Code: 
FW_LOG_DROP_ALL="yes"
in /etc/sysconfig/SuSEFirewall2 setzen.

Dann Testen. Und dann bitte
Code: 
tail -n 30 /var/log/firewall
und nicht cat benutzen :roll:

Nach dem Test aber wieder auf no setzen !
 
OP
C

concubius

Newbie
Hallo,

danke nochmal :)

hier die interessanten Log-Files:

Code: 
Apr 22 01:06:12 Meiner kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:0c:76:71:06:8a:00:13:77:5c:23:6c:08:00 SRC=192.168.2.62 DST=192.168.2.99 LEN=90 TOS=0x00 PREC=0x00 TTL=128 ID=14504 PROTO=UDP SPT=137 DPT=1063 LEN=70
Apr 22 01:06:18 Meiner kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:0c:76:71:06:8a:00:13:d4:ab:eb:89:08:00 SRC=192.168.2.20 DST=192.168.2.99 LEN=90 TOS=0x00 PREC=0x00 TTL=128 ID=13372 PROTO=UDP SPT=137 DPT=1063 LEN=70
Apr 22 01:06:18 Meiner kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:0c:76:71:06:8a:00:13:d4:ab:eb:89:08:00 SRC=192.168.2.20 DST=192.168.2.99 LEN=90 TOS=0x00 PREC=0x00 TTL=128 ID=13373 PROTO=UDP SPT=137 DPT=1063 LEN=70
Apr 22 01:06:19 Meiner kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:0c:76:71:06:8a:00:13:d4:ab:eb:89:08:00 SRC=192.168.2.20 DST=192.168.2.99 LEN=90 TOS=0x00 PREC=0x00 TTL=128 ID=13374 PROTO=UDP SPT=137 DPT=1063 LEN=70

lg con
 
S

spoensche

Moderator
Teammitglied
@framp das mit tail hätte ich wissen sollen:( danke für den denk anstoss.

Also wenn ich framp richtig verstanden habe sollst du nach dem Test erst
Code: 
FW_LOG_DROP_ALL="no"
in /etc/sysconfig/SuSEFirewall2 setzen und danach

Code: 
tail -n 30 /var/log/firewall
ausführen.
 
framp

framp

Moderator
Teammitglied
Fällt mir leider jetzt erst auf: Diese
Code: 
FW_SERVICES_EXT...
Dinge schalten nur den Zugriff von Aussen auf Deine Services frei. Du bietest aber keine SambaDienste an sondern Du willst - so wie ich verstehe - von Dir nach draussen auf Samba Dienste des Windows Servers zugreifen.

Die FW erlaubt immer Zugriffe von Innen nach Aussen. ... da ist irgendwas anderes krumm...

Dem Log nach kommt derjenige von Aussen nicht zu Dir rein. Wenn der IP Request aber von Dir ausgeht kommen die Antworten immer rein.

@spoensche Hast Du eine Idee was da krumm ist?
 
S

spoensche

Moderator
Teammitglied
Also sp auf Anhieb fällt mir nichts ein, wo es hängen könnte. Aber vielleicht hilft es ja, wenn er die
Code: 
FW_SERVICES_EXT
mal leer läst und versucht auf den Server zuzugreifen. Evtl. befördert
Code: 
tail -n 30 /var/log/firewall
ja dann was zu Tage.

Also dieses Problem ist schon wirklich richtig seltsam. Aber wir werden da schon eine Lösung finden denk ich.
 
framp

framp

Moderator
Teammitglied
Die Definitionen mit _EXT bringen absolut nichts da sie nur Services des eigen Rechner freigeben nach draussen.

Ich habe das mal bei mir unter VMWARE nachgestellt und die iptables Rules angesehen. Es ist so, dass alle Antworten auf Requests, die vom eigenen Rechner kommen, anstandslos durchgelassen werden.

Poste doch mal den output von 'iptables -L -vn'.
 
OP
C

concubius

Newbie
Hallo,

sry, hab grad bissl viel um dir Ohren, aer hier die Ausgabe der iptables:

Code: 
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 
   78  3900 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0   
 4889 3372K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
  256 31523 input_ext  all  --  eth0   *       0.0.0.0/0            0.0.0.0/0   
    0     0 input_ext  all  --  eth1   *       0.0.0.0/0            0.0.0.0/0   
    0     0 input_ext  all  --  *      *       0.0.0.0/0            0.0.0.0/0   
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-IN-ILL-TARGET '
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0   

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWD-ILL-ROUTING '

Chain OUTPUT (policy ACCEPT 1 packets, 52 bytes)
 pkts bytes target     prot opt in     out     source               destination 
   78  3900 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0   
 5235 1214K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED
    1    52 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-OUT-ERROR '

Chain forward_ext (0 references)
 pkts bytes target     prot opt in     out     source               destination 

Chain input_ext (3 references)
 pkts bytes target     prot opt in     out     source               destination 
  171 13950 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = broadcast udp dpt:137
   59 13063 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = broadcast udp dpt:138
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = broadcast
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 4
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8
    4   192 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 tcp dpt:135 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
    6   288 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:135
    0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 tcp dpt:138 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:138
    0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 tcp dpt:139 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:139
    1    48 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 tcp dpt:445 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
    1    48 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:445
    0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 tcp dpt:5801 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5801
    0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 tcp dpt:5901 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5901
    0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 tcp dpt:137 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:137
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:135
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:138
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:139
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:445
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:5801
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:5901
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:137
    0     0 LOG        tcp  --  *      *       192.168.2.99         0.0.0.0/0           tcp dpt:445 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-ACC '
    0     0 ACCEPT     tcp  --  *      *       192.168.2.99         0.0.0.0/0           tcp dpt:445
    0     0 LOG        udp  --  *      *       192.168.2.99         0.0.0.0/0           udp dpt:445 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-ACC '
    0     0 ACCEPT     udp  --  *      *       192.168.2.99         0.0.0.0/0           udp dpt:445
    0     0 LOG        tcp  --  *      *       192.168.2.99         0.0.0.0/0           tcp dpt:139 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-ACC '
    0     0 ACCEPT     tcp  --  *      *       192.168.2.99         0.0.0.0/0           tcp dpt:139
    0     0 LOG        udp  --  *      *       192.168.2.99         0.0.0.0/0           udp dpt:139 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-ACC '
    0     0 ACCEPT     udp  --  *      *       192.168.2.99         0.0.0.0/0           udp dpt:139
    0     0 LOG        tcp  --  *      *       192.168.2.99         0.0.0.0/0           tcp dpt:135 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-ACC '
    0     0 ACCEPT     tcp  --  *      *       192.168.2.99         0.0.0.0/0           tcp dpt:135
    0     0 LOG        udp  --  *      *       192.168.2.99         0.0.0.0/0           udp dpt:135 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-ACC '
    0     0 ACCEPT     udp  --  *      *       192.168.2.99         0.0.0.0/0           udp dpt:135
    0     0 LOG        tcp  --  *      *       192.168.2.99         0.0.0.0/0           tcp dpt:137 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-ACC '
    0     0 ACCEPT     tcp  --  *      *       192.168.2.99         0.0.0.0/0           tcp dpt:137
    0     0 LOG        udp  --  *      *       192.168.2.99         0.0.0.0/0           udp dpt:137 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-ACC '
    0     0 ACCEPT     udp  --  *      *       192.168.2.99         0.0.0.0/0           udp dpt:137
    0     0 LOG        tcp  --  *      *       192.168.2.99         0.0.0.0/0           tcp dpt:138 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-ACC '
    0     0 ACCEPT     tcp  --  *      *       192.168.2.99         0.0.0.0/0           tcp dpt:138
    0     0 LOG        udp  --  *      *       192.168.2.99         0.0.0.0/0           udp dpt:138 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-ACC '
    0     0 ACCEPT     udp  --  *      *       192.168.2.99         0.0.0.0/0           udp dpt:138
    0     0 LOG        tcp  --  *      *       192.168.2.99         0.0.0.0/0           tcp dpt:138 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-ACC '
    0     0 ACCEPT     tcp  --  *      *       192.168.2.99         0.0.0.0/0           tcp dpt:138
    0     0 LOG        udp  --  *      *       192.168.2.99         0.0.0.0/0           udp dpt:138 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-ACC '
    0     0 ACCEPT     udp  --  *      *       192.168.2.99         0.0.0.0/0           udp dpt:138
    0     0 LOG        tcp  --  *      *       192.168.2.99         0.0.0.0/0           tcp dpt:5801 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-ACC '
    0     0 ACCEPT     tcp  --  *      *       192.168.2.99         0.0.0.0/0           tcp dpt:5801
    0     0 LOG        udp  --  *      *       192.168.2.99         0.0.0.0/0           udp dpt:5801 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-ACC '
    0     0 ACCEPT     udp  --  *      *       192.168.2.99         0.0.0.0/0           udp dpt:5801
    0     0 LOG        tcp  --  *      *       192.168.2.99         0.0.0.0/0           tcp dpt:5901 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-ACC '
    0     0 ACCEPT     tcp  --  *      *       192.168.2.99         0.0.0.0/0           tcp dpt:5901
    0     0 LOG        udp  --  *      *       192.168.2.99         0.0.0.0/0           udp dpt:5901 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-ACC '
    0     0 ACCEPT     udp  --  *      *       192.168.2.99         0.0.0.0/0           udp dpt:5901
    0     0 reject_func  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:113 state NEW
    7   448 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 PKTTYPE = multicast LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
    7   448 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = multicast
    0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 tcp flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
    0     0 LOG        icmp --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
    0     0 LOG        udp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
   10  3646 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT-INV '
   12  3726 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0   

Chain reject_func (1 references)
 pkts bytes target     prot opt in     out     source               destination 
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with tcp-reset
    0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-proto-unreachable

Danke!

lg sophia
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben