• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Firewall beim routing und bluetoothzugriff zu sicher :(

Hallo,

Ich habe ein großes Problem mit meiner Firewall. Sie ist einfach zu sicher.
Ich arbeite mit Suse 10.0.
Ich habe auf der Kiste einen WlanAccessPoint, mitsamt DHCP Server laufen. Wenn die Firewall aus ist, bekommt der Laptop/Handy eine IP, Gateway und alles sonstige und man kann ins Internet. Wenn die Firewall an ist, geht der Internetzugriff nicht.

Ähnliches Problem besteht mit Bluetooth. Sobald die Firewall aus ist, kann ich das Handy (Nokia N80) mit dem PC verbinden. Wenn die Firewall wieder aktiviert wird, funktioniert auch das nicht mehr. Man erhält dann dauernd die Meldung, das die Verbindung unterbrochen wurde (timed out).
Folgende Dienste sind in der Firewall freigegeben:
DHCP-Server
DNS-Server
HTTP-Server
Samba-Server

Ich finde auch kein Auswahlmöglichkeit den Dienst Bluetooth oder routing/Webmin freizugeben.

Da ich nicht ohne Firewall arbeiten möchte und ich es eine zweitklassige Lösung finde die Firewall jedesmal manuel zu aktivieren/deaktivieren, hoffe ich jetzt auf euch, das irgendjemand eine Lösung parat hat.
Würde mich freuen.

Mit freundlichen Grüßen
Rentner
 

framp

Moderator
Teammitglied
Poste mal die Ausgaben von ifconfig und cat /etc/sysconfig/SuSEfirewall2 | grep -v "^#" | grep -v "^$"
 
OP
R

rentner-wk

Newbie
Hey
Hier ist der Auszug von "ifconfig":
Code:
eth0      Protokoll:Ethernet  Hardware Adresse 00:0C:76:90:D5:FA
          inet Adresse:192.168.178.222  Bcast:192.168.178.255  Maske:255.255.255.0
          inet6 Adresse: fe80::20c:76ff:fe90:d5fa/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:664948 errors:0 dropped:0 overruns:0 frame:0
          TX packets:589906 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 Sendewarteschlangenlänge:1000
          RX bytes:521358750 (497.2 Mb)  TX bytes:124416546 (118.6 Mb)
          Interrupt:185 Basisadresse:0xef00

lo        Protokoll:Lokale Schleife
          inet Adresse:127.0.0.1  Maske:255.0.0.0
          inet6 Adresse: ::1/128 Gültigkeitsbereich:Maschine
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:342 errors:0 dropped:0 overruns:0 frame:0
          TX packets:342 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 Sendewarteschlangenlänge:0
          RX bytes:22264 (21.7 Kb)  TX bytes:22264 (21.7 Kb)

wifi0     Protokoll:UNSPEC  Hardware Adresse 00-09-5B-68-E9-52-00-00-00-00-00-00-00-00-00-00
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:18 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 Sendewarteschlangenlänge:1000
          RX bytes:0 (0.0 b)  TX bytes:2061 (2.0 Kb)
          Interrupt:193 Speicher:ffffc2000107e000-ffffc2000107f000

wlan0     Protokoll:Ethernet  Hardware Adresse 00:09:5B:68:E9:52
          inet Adresse:10.0.0.7  Bcast:10.255.255.255  Maske:255.0.0.0
          inet6 Adresse: fe80::209:5bff:fe68:e952/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:18 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 Sendewarteschlangenlänge:0
          RX bytes:0 (0.0 b)  TX bytes:1917 (1.8 Kb)
          Interrupt:193 Speicher:ffffc2000107e000-ffffc2000107f000



Der Befehl " cat /etc/sysconfig/SuSEfirewall2 | grep -v "^#" | grep -v "^$" " hat folgendes ergeben:
Code:
FW_DEV_EXT="eth-id-00:0c:76:90:d5:fa"
FW_DEV_INT="wlan-id-00:09:5b:68:e9:52"
FW_DEV_DMZ=""
FW_ROUTE="yes"
FW_MASQUERADE="no"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INT="no"
FW_SERVICES_EXT_TCP="27015 6881 6882 6883 6884 6885 6886 6887 6888 6889 6969 80
8080 domain epmap http microsoft-ds netbios-dgm netbios-ns netbios-ssn"
FW_SERVICES_EXT_UDP="27015 30000 30001 30002 30003 30004 30005 3478 5070 5072 68
81 6882 6883 6884 6885 6886 6887 6888 6889 6969 80 8080 bootps domain netbios-dg
m netbios-ns"
FW_SERVICES_EXT_IP=""
FW_SERVICES_EXT_RPC=""
FW_SERVICES_DMZ_TCP="8080"
FW_SERVICES_DMZ_UDP="80 8080"
FW_SERVICES_DMZ_IP=""
FW_SERVICES_DMZ_RPC=""
FW_SERVICES_INT_TCP="27015 6881 6882 6883 6884 6885 6886 6887 6888 6889 6969 80
microsoft-ds netbios-dgm netbios-ns netbios-ssn"
FW_SERVICES_INT_UDP="27015 6881 6882 6883 6884 6885 6886 6887 6888 6889 6969 80
bootps netbios-ns"
FW_SERVICES_INT_IP=""
FW_SERVICES_INT_RPC=""
FW_SERVICES_DROP_EXT=""
FW_SERVICES_REJECT_EXT="0/0,tcp,113"
FW_SERVICES_ACCEPT_EXT=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
FW_ALLOW_INCOMING_HIGHPORTS_UDP=""
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG_LIMIT=""
FW_LOG=""
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_FW_SOURCEQUENCH=""
FW_ALLOW_FW_BROADCAST_EXT="bootps netbios-ns netbios-dgm"
FW_ALLOW_FW_BROADCAST_INT="10.0.0.255 bootps netbios-ns netbios-dgm"
FW_ALLOW_FW_BROADCAST_DMZ=""
FW_IGNORE_FW_BROADCAST_EXT="yes"
FW_IGNORE_FW_BROADCAST_INT="no"
FW_IGNORE_FW_BROADCAST_DMZ="no"
FW_ALLOW_CLASS_ROUTING=""
FW_CUSTOMRULES=""
FW_REJECT=""
FW_HTB_TUNE_DEV=""
FW_IPv6=""
FW_IPv6_REJECT_OUTGOING=""
FW_IPSEC_TRUST="no"
FW_ZONES=""
FW_USE_IPTABLES_BATCH=""
FW_LOAD_MODULES=""

Ich hoffe du kannst damit etwas anfangen.

Grüße Rentner
 

framp

Moderator
Teammitglied
Code:
FW_MASQUERADE="no"
Läuft auf dem Router ein Proxy oder Socks? Wenn nicht muß das auf yes stehen :wink: .

Zu Bluetooth kann ich leider nichts sagen :cry: .

Ein paar Dinge die mir noch aufgefallen sind :roll: :

Code:
FW_SERVICES_EXT_TCP="27015 6881 6882 6883 6884 6885 6886 6887 6888 6889 6969 80
8080 domain epmap http microsoft-ds netbios-dgm netbios-ns netbios-ssn"
FW_SERVICES_EXT_UDP="27015 30000 30001 30002 30003 30004 30005 3478 5070 5072 68
81 6882 6883 6884 6885 6886 6887 6888 6889 6969 80 8080 bootps domain netbios-dg
m netbios-ns"
Du bist Dir im Klaren dass durch diese Zeilen die genannten Ports vom Internet aus offen sind?
Code:
FW_SERVICES_DMZ_TCP="8080"
FW_SERVICES_DMZ_UDP="80 8080"
Das bringt nichts da FW_DEV_DMZ nicht gesetzt ist.
 
OP
R

rentner-wk

Newbie
Hallo,
vielen Dank für die Antwort.
Erstmal ja, es läuft ein Proxyserver (squid) auf dem Rechner, habe ihn mit Webmin eingerichtet.
Aber ich hab wie gesagt keine Möglichkeit gesehn diesen per Yast der Firewall freizugeben.

Das mit den Ports ist schon gewollt, ist halt auch ein Arbeitsrechner, auf dem auch sachen wie Azureus laufen :) Also das ist schon gewollt.
Allerdings denke ich mal das die Ports erstmal nur fürs private Netzwerk offen sind, da zwischen dem Internet und dem Netzwerk sich noch ein Router befindet.
 

framp

Moderator
Teammitglied
Ändere doch mal
Code:
FW_LOG_DROP_ALL="no"
in "yes". Dann restarte die SuSEFW2 und beobachte mal die Firewall Meldungen mit 'tail -f /var/log/firewall' wenn Du mit dem Labtop ins Internet gehen willst. Poste mal die Meldungen. Da sieht man dann genau was die FW blocked.
 
OP
R

rentner-wk

Newbie
Hey,

danke für den Tipp, hab im Moment ein wenig Streß, werde es aber heute Abend mal ausprobieren und das Ergebnis bekannt geben.

MfG
Rentner
 
OP
R

rentner-wk

Newbie
Hey,

Habe es jetzt mal so gemacht, wie Du es mir vorgeschlagen hast. Obwohl der Laptop, alle wichtigen Sachen, wie Gateway, DNS, IP bekommen hat, kommt man nicht ins Internet, und auch ein ping auf Google war nicht erfolgreich.
Hier mal die Auswertung von "tail -f /var/log/firewall":

Nov 7 17:38:17 Tux kernel: SFW2-IN-ILL-TARGET IN=wlan0 OUT= MAC= SRC=10.0.0.7 DST=224.0.0.251 LEN=100 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=80
Nov 7 17:38:17 Tux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.178.222 DST=224.0.0.251 LEN=107 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=87
Nov 7 17:38:33 Tux kernel: SFW2-IN-ILL-TARGET IN=wlan0 OUT= MAC= SRC=10.0.0.7 DST=224.0.0.251 LEN=100 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=80
Nov 7 17:38:33 Tux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.178.222 DST=224.0.0.251 LEN=107 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=87
Nov 7 17:39:05 Tux kernel: SFW2-IN-ILL-TARGET IN=wlan0 OUT= MAC= SRC=10.0.0.7 DST=224.0.0.251 LEN=100 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=80
Nov 7 17:39:05 Tux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.178.222 DST=224.0.0.251 LEN=107 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=87
Nov 7 17:44:58 Tux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.178.222 DST=224.0.0.251 LEN=107 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=87
Nov 7 17:44:58 Tux kernel: SFW2-IN-ILL-TARGET IN=wlan0 OUT= MAC= SRC=10.0.0.7 DST=224.0.0.251 LEN=100 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=80
Nov 7 17:45:30 Tux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.178.222 DST=224.0.0.251 LEN=107 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=87
Nov 7 17:45:30 Tux kernel: SFW2-IN-ILL-TARGET IN=wlan0 OUT= MAC= SRC=10.0.0.7 DST=224.0.0.251 LEN=100 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=80
Nov 7 17:49:05 Tux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:04:0e:a9:af:ec:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=1580 DF OPT (94040000) PROTO=2
Nov 7 17:49:40 Tux kernel: SFW2-IN-ILL-TARGET IN=wlan0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0e:35:63:c5:ef:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=3394 PROTO=UDP SPT=68 DPT=67 LEN=308
Nov 7 17:49:41 Tux kernel: SFW2-IN-ILL-TARGET IN=wlan0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0e:35:63:c5:ef:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=335 TOS=0x00 PREC=0x00 TTL=128 ID=3401 PROTO=UDP SPT=68 DPT=67 LEN=315
Nov 7 17:49:41 Tux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.178.222 DST=224.0.0.251 LEN=71 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=51
Nov 7 17:49:41 Tux kernel: SFW2-IN-ILL-TARGET IN=wlan0 OUT= MAC= SRC=10.0.0.7 DST=224.0.0.251 LEN=71 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=51
Nov 7 17:49:41 Tux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.178.222 DST=224.0.0.251 LEN=71 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=51
Nov 7 17:49:41 Tux kernel: SFW2-IN-ILL-TARGET IN=wlan0 OUT= MAC= SRC=10.0.0.7 DST=224.0.0.251 LEN=71 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=51
Nov 7 17:49:41 Tux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.178.222 DST=224.0.0.251 LEN=71 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=51
Nov 7 17:49:41 Tux kernel: SFW2-IN-ILL-TARGET IN=wlan0 OUT= MAC= SRC=10.0.0.7 DST=224.0.0.251 LEN=71 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=51
Nov 7 17:49:41 Tux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.178.222 DST=224.0.0.251 LEN=107 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=87
Nov 7 17:49:42 Tux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.178.222 DST=224.0.0.251 LEN=107 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=87
Nov 7 17:50:01 Tux kernel: SFW2-IN-ILL-TARGET IN=wlan0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0e:35:63:c5:ef:08:00 SRC=10.0.0.10 DST=10.255.255.255 LEN=217 TOS=0x00 PREC=0x00 TTL=128 ID=3670 PROTO=UDP SPT=138 DPT=138 LEN=197
Nov 7 17:50:12 Tux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.178.222 DST=224.0.0.251 LEN=107 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=87
Nov 7 17:50:21 Tux kernel: SFW2-IN-ILL-TARGET IN=wlan0 OUT= MAC=00:09:5b:68:e9:52:00:0e:35:63:c5:ef:08:00 SRC=10.0.0.10 DST=10.0.0.7 LEN=68 TOS=0x00 PREC=0x00 TTL=128 ID=3951 PROTO=UDP SPT=1035 DPT=53 LEN=48
Nov 7 17:50:44 Tux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.178.222 DST=224.0.0.251 LEN=107 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=87
Nov 7 17:50:44 Tux kernel: SFW2-IN-ILL-TARGET IN=wlan0 OUT= MAC= SRC=10.0.0.7 DST=224.0.0.251 LEN=100 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=80
Nov 7 17:51:01 Tux kernel: SFW2-IN-ILL-TARGET IN=wlan0 OUT= MAC=00:09:5b:68:e9:52:00:0e:35:63:c5:ef:08:00 SRC=10.0.0.10 DST=10.0.0.7 LEN=59 TOS=0x00 PREC=0x00 TTL=128 ID=4441 PROTO=UDP SPT=1037 DPT=53 LEN=39
Nov 7 17:51:10 Tux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:04:0e:a9:af:ec:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=1836 DF OPT (94040000) PROTO=2
Nov 7 17:51:20 Tux kernel: SFW2-IN-ILL-TARGET IN=wlan0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0e:35:63:c5:ef:08:00 SRC=10.0.0.10 DST=10.255.255.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=4690 PROTO=UDP SPT=137 DPT=137 LEN=58

Ich hoffe Du kannst hiermit etwas anfangen.

Mit freundlichen Grüßen
Rentner
 

framp

Moderator
Teammitglied
Code:
FW_MASQUERADE="no"
muss auf "yes" sein. Hätte ich eigentlich auch schon vorher sehen können :oops:
 
OP
R

rentner-wk

Newbie
Hey,

vielen Dank für den Tipp, werde ich heute Abend direkt einmal ausprobieren und dann das Ergebnis verkünden :D
 
OP
R

rentner-wk

Newbie
Hallo,

also ich hab es jetzt mal so gamacht, wie du es gesagt hast, aber daran scheint es nicht nur gelegen zu haben, ich bekomme jetzt die Meldung, das der Gateway nicht erreichbar ist.

Gibt es da sonst noch irgendwelche Tricks?

MfG
Rentner
 
OP
R

rentner-wk

Newbie
Hallo,
es tut mir leid, das ich so lange keine Rückmeldung mehr gegeben habe,
aber so wie es aussieht, sollte ich diesen Monat besser die Hände von jeglichem Rechner lassen.

Auf Grund einige Probleme, habe ich mal eben Suse (10.0) neu aufgebügelt. Auch in der Hoffnung das sich damit auch dieses Problem mit dem nicht erreichen des Gateways löst.

Leider ist es anders gekommen, als ich erhofft hatte. Jetzt funktioniert noch nichteinmal mehr der Wlan Accesspoint. Und das obwohl ich alles so eingerichtet habe, wie damals unter Suse 9.3 . Aber der Accesspoint ist einfach nicht sichtbar/ auffindbar, obwohl die SSID öffentlich ist, diesmal liegt es auch definitiv nicht an der Firewall :?

Langsam ist es echt zum verrückt werden. Naja was will man machen, ich werde mich also erstmal wieder daran begeben den AP wieder ans laufen zu bekommen. Wenn jemand einen Tipp parat hat, bin ich natürlich nicht abgeneigt, diesen aus zu probieren.
Ansonsten werde ich wieder einen Statusbericht geben, wenn alles wieder laufen sollte.

Ich danke euch für die Hilfe hier im Forum :lol:

Grüße
Rentner
 
Oben