SUSE9.2 FW_SERVICE_SQUID ../SAMBA fehlen, was nun ?

Hallo,
habe heute Suse9.2 installiert mit Samba und Squid, kann das System bezügl. Firewall / Proxy aber nicht so zum laufen bringen wie ich es bei Suse 9.0 eingerichtet hatte.
Beim Vergleich der Firewall Einstellungen ist mir aufgefallen daß FW_SERVICE_SAMBA und FW_SERVICE_SQUID bei 9.2 nicht mehr existieren, die ich bei 9.0 beide auf YES gestellt hatte.
Kann mir jemand sagen was diese beiden bewirkt hatten bzw. welche Ports / Services ich nun evtl. explizit angeben muß damit ich dasselbe erreiche ?

Hallo,

benutzt du den Rechner als Gateway für die Anderen?

Diese Einträge bewirken, dass die Ports freigeschaltet werden wenn die Firewall läuft.

Squid läuft auf dem Port, den du dafür vorgesehen hast.
Standart ist 3128 oder 8080.
Siehe squid.conf

Samba

AFAIK netbios-{dgm|ns|ssn}:
(protocol: client.port -> server.port)
tcp/udp: 138 -> 138
tcp/udp: 137 -> 137
tcp/udp: 1024-65535 -> 139

Aus Sicherheitsgründen ist es aber nicht ratsam den Server direkt am Router zu haben bzw. an der Verbindung zur Außenwelt.

Hat der Router zumindest eine eigene NAT-Firewall?

Wenn ja, warum willst du die Firewall überhaupt laufen lassen?
Oder benötigst du Sie für Weiterleitung von POP, SMTP deiner anderen Rechner da der Squid kein POP macht und du den einen Rechner immer als Gateway benutzt?

PS:schreib die Einträge doch in die firewall einfach rein die fehlen!

Gruß Crazy

Hallo crazyrolf,
danke für die Antwort. Was ich hier betreibe ist ein Athlon 2000 auf dem das SUSE 9.2 Linux läuft, der hat DSL Anschluß, und meinen alten Pentium mit Windows98 habe ich übers interne ungeschützte Netz noch dranhängen, hauptsächlich weil ich noch ein paar Windows Applikationen nutzen will, damit die große Festplatte im neuen Rechner beiden nutzt...
Um Linux, Netzwerk, Firewall u.ä. kennenzulernen habe ich mir was zusammengestellt gehabt mit Suse 9.0 so daß der Pentium über Samba und das interne Netz einen Teil der Festplatte nutzen kann (das funktioniert auch mit 9.2), ich kann auf dem Pentium bisher mit Suse9.2 noch nicht ins Internet (www) sowohl direkt (port80) als auch über squid (3128) hatte das mit dem Suse9.0 funktioniert.
Es leuchtet mir ein daß es besser wäre nicht alles auf dem Router installiert zu haben, aber weitere Rechner habe ich nicht und meine Sicherheitsansprüche sind nicht soooo hoch. Ich finde es gut daß ein Portscanner von außen ziemlich erfolglos war, daher hätte ich die Firewall gern drin.
Was ich nicht weiß ist welche Ports für welche services in welcher Richtung benutzt werden und was ich deshalb bei FW_SERVICES_INT_TCP, FW_SERVICES_INT_UDP, ... eintragen sollte damit es komplett ist.
Bisher habe ich FW_SERVICES_INT_TCP so eingetragen:
20,21,smtp,pop3,139,3128 und das ist vermutlich unvollständig. Werde nun erstmal die anderen Ports die Du genannt hast eintragen.
Vielen Dank und Gruß aus Stuttgart,
mooskopf

hallo,

also wo hast du was wie dranhängen?

Hat der Atlon 2 Netzwerkkarten, so dass der Windowsrechner an der einen hängt und an der Anderen der DSL-Router (mit NAT ?) oder nur Modem oder was?

Oder hast du beide Rechner am Router hängen oder Switch?

Ein wenig genauer wäre schon nicht schlecht um dein Problem zu lösen.

Dann brauche ich noch die Netzwerkeinstellungen von beiden Rechnern und wie schon gesagt, wie sie womit verbunden sind.

Läuft dein Squid auch?

Gruß Crazy

Hallo,
gute Nachrichten, Fehler gefunden in Squid.conf, jetzt kann "der Alte" auch surfen und zwar nur über den Proxy, wie es sein soll.
Danke für die Antworten und die Bereitschaft mir zu helfen das Problem insgesamt zu lösen, hatte ja ursprünglich nur nach einer Erklärung für die beiden "verlorenen" Firewalleinstellungen gesucht um damit weiterzuwursteln ...
Genauere Daten falls es noch interessiert was ich hier mache:
- Athlon mit Suse 9.2
- externe Schnittstelle in der Suse-Firewall (dsl0) ist eine rechnerinterne FritzCardDSL SL die direkt am DSL-Splitter angeschlossen ist (kein Router, kein NAT dazwischen)
- Netzwerkkarte ist eth-id-00:.... (DLINK Einsteckkarte), dort hängt der Windows98 Pentium Rechner dran.
- Pentium
IP = 192.168.0.1
Gateway = 192.168.0.2
DNS Server fest eingetragen 217.237.151.161
- Athlon
IP = 192.168.0.2/255.255.255.0
IP Weiterleitung aktiviert

squid.conf geänderte Zeilen sind jetzt so:
...
acl ditzlocal src 192.168.0.0/16
http_access allow ditzlocal
http_access allow localhost
# And finally deny all other access to this proxy
http_access deny all
...
ich meine zwar das so gehabt zu haben, aber jetzt wo ich die Datei neu angelegt habe ist sie irgendwie anders, evtl. hatte es auch etwas mit dem inzwischen durchgeführten Online-Update von Squid zu tun, wer weiß ...

Gruß,
Andreas

crazyrolf schrieb:

Hallo,

Hat der Router zumindest eine eigene NAT-Firewall?

Wenn ja, warum willst du die Firewall überhaupt laufen lassen?


Gruß Crazy

Zum Vergrößern anklicken....

... das passt jetzt vielleicht nicht ganz zum Thema, aber wenn ich das richtig verstehe, ist es nicht notwendig die SuseFirewall laufen zu lassen, wenn man einen Router mit NAT Firewall hat?

Hab ich das so richtig verstanden?

(Ich hab einen Firewallrouter mit NAT(NETGEAR DG834GB) und hinter ihm im Netzwerk einen Server, auf dem SAMBA läuft und auf den ich vom Internet zugreifen will, sonst nur Windows Maschienen)


Gruß Robotron

Hallo,

wenn du eine NAT im Router hast, und alle Ports zu sind, kannst du die Firewall auf dem PC dahinter aus lassen.
Es sei denn, du musst den Rechner auch vor dem internen Netz schützen.
Du willst aber vom Internet aus auf deinen PC zugreifen, dass heißt, du musst einen Port offen lassen, da du ja sonst nicht auf den Rechner vom Internet aus zugreifen kannst, musst du auch die Firewall auf dem Rechner einschalten und konfigurieren.

Crazy

PS: Es gibt nartürlich auch andere Gründe eine Firewall zu haben.
Wenn du z.B. deinen Rechner als Gateway benutzt und einen Proxy wie Squid laufen hast, den die anderen Rechner benutzen sollen um auf das Internet zuzugreifen. squid macht z.B. kein pop oder smtp, deshalb musst du diese Dienste über einen Tunnel der Firewall leiten.

usw.

crazy

@crazyrolf

... ich dank dir für deine Antwort.

Also vor dem internen Netz muss ich den Rechner nicht schützen, da alles nur privat und zu Testzwecken ist und als Geteway läuft der Router und Proxy hab ich auch keinen laufen, da seh ich keinen Sinn drin.

Nun um vom Internet über VNC zu zugreifen, hab ich bei der Firewall den Port 5801 und 5900 geöffnet, das funktioniert auch ganz gut, wenn ich aber dann die Firewall von SUSE noch aktiviere, hab ich leider keinen Zugriff mehr auf Samba, von den Windows- und Linuxrechnern.

Was ja auch mein größtes Problem ist, trotz das ich alles Ports in der Firewall geöffnet habe. Da bastle ich nun auch schon seid Wochen rum, ohne Ergebnis.

Vielleicht hast du ja noch einen Tip für mich?

Gruß Robotron

Hallo,

sicher musst du die Ports im Router öffnen, sonst geht nix logo.

Problem ist, dass ein Angreifer über diese offenen Ports auf deinen Rechner könnte!
Da hilft es dann nix wenn du die SuSEfirewall2 einschaltest und hier die Ports auch auf machst, dann kannst du sie gleich aus lassen.
Bring ja nur was wenn die zu sind.
Um da was anständiges zu machen müsstest du deinen Rechner mit 2 Netzwerkkarten ausrüsten.
eth0 würde dann am Router hängen und eth1 am Switch für deine anderen Rechner.
Alle Rechner müssten dann über den, der am Router hängt in das Internet. Logo das der dann immer an sein muss.
Jetzt könntest du die Firewall so einrichten, dass zumindest alle Rechner hinter dem, der am Router hängt geschützt wären.
Ein Zugang vom Internet aus auf einen Rechner ist immer eine Gefahr.
Es gibt sicher noch eine Menge anderer Lösungen, kommt halt immer auf die Ansprüche an die Sicherheit an.
100% Sicher ist fast nix.
Also so wie du das da hast, macht es keinen Sinn die Firewall einzuschalten und dann alle Ports auf zu machen.
Sicher geht das, auch das samba und die anderen Dienste noch erreichbar sind, aber was bringt das wenn du die Ports auf machst?
Sobald diese offenen Ports von außen zu erreichen sind bringt das nix!
Kein Schutz!

Frage warum willst du deinen Rechner von Außen erreichen?
Vielleicht kann man das anders machen.

poste mal die /etc/sysconfig/SuSEfirewall2

Gruß Crazy

Danke noch mal für die gute Ausführung zu meinem Problem.

Ich würde den Rechner gern von außen erreichen, damit ich, wenn ich unterwegs bin, auch mal schauen kann ob alles noch läuft, oder falls ich irgendwelche Daten vergessen hab, auf diese noch Zugriff habe.


PS: Weist du zufällig, warum die eMail Benachrichtung, bei einer Antwort im Forum nicht funktioniert?

keine ursache.

keine ahnung warum das bei dir nicht gehen sollte, hast du das nicht angeklickt beim erstellen deines beitrages?

oder im profil falsche emailaddi angegeben?

gruß crazy