Suse Firewall FW_SERVICES_REJECT_EXT Problem

68k · 3 Okt. 2008

Hallo zusammen

Wenn ich auf unserem Server mich selbst als FTP-User ausschliessen will und im File SUSEfirewall2 folgende Zeile eingebe, kann ich trotzdem noch mit FTP verbinden. Irgendeine Idee warum? Firewallkonfig wurde neu geladen.

FW_SERVICES_REJECT_EXT "0/0,tcp,113 192.168.1.11,ftp 192.168.1.11,fsp"

Ich bin für jeden Tipp dankbar!

Gruss
Felix

Tooltime · 3 Okt. 2008

a) Hier werden Shellvariablen definiert, es fehlt das =.
b) Das IP-Protokoll (TCP/UDP) muss angegeben werden.

FW_SERVICES_REJECT_EXT="192.168.1.11,tcp,ftp 192.168.1.11,udp,ftp"

68k · 3 Okt. 2008

Hallo Tooltime

Danke!
Das "=" war drin, habe es beim Forumseintrag vergessen. Nun habe ich es wie folgt versucht (andere IP, von zuhause aus):
FW_SERVICES_REJECT_EXT="0/0,tcp,113 84.226.131.186,tcp,ftp 84.226.131.186,udp,ftp"

Aber leider nach wie vor FTP Zugang vorhanden ...
Komisch!

Gruss
Felix

spoensche · 3 Okt. 2008

Ist deine IP möglicherweise noch bei FW_TRUSTED_NETS oder ähnlichem vorhanden, wo durch du weiterhin Zugriff auf den FTP hast.?

Poste mal die Ausgabe von

Code:

iptables -L INPUT

. Gut möglich das noch FTP- Data (Port 20) offen ist.

framp · 3 Okt. 2008

Ist machnmal ziemlich lästig herauszufinden warum etwas geblocked bzw durchgelassen wird. Dazu gibt es in der SuSEFirelwall2 config Einstellungen wie log_deny, log_all usw (genau syntax musst Du nachsehen). Normalerweise werden nur die critical gelogged. Mir hat es immer geholfen, das logging FW_LOG_DROP_ALL="no"
auf yes zu setzen. Dann sieht man genau was rejected bzw durchgelassen wird (port, ip, etc). Würde ich an Deiner Stelle mal tun (Aber nicht vergessen wieder auszuschalten denn sonnst läuft Dein firewall log ziemlich schnell voll ;-) )

Tooltime · 3 Okt. 2008

Mich würde zusätzlich noch die Ausgabe von

iptables -nL input_ext

interessieren.

68k · 6 Okt. 2008

iptables -L INPUT:
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTAB
LISHED
input_ext all -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 3/min bu
rst 5 LOG level warning tcp-options ip-options prefix `SFW2-IN-ILL-TARGET '
DROP all -- anywhere anywhere

iptables -nL input_ext:
Chain input_ext (1 references)
target prot opt source destination
DROP all -- 0.0.0.0/0 0.0.0.0/0 PKTTYPE = broadcast
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 4
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 11
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 12
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 14
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 18
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3 code 2
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 5
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:21 flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:497 flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:497
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:53 flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:80 flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:443 flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:22 flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
reject_func tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 state NEW
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:68
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:69
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
LOG icmp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
LOG udp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT-INV '
DROP all -- 0.0.0.0/0 0.0.0.0/0

Gruss
Felix

spoensche · 6 Okt. 2008

Laut

68k schrieb:
reject_func tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 state NEW

werden nur Anfragen vom Port 113 gerejected. Poste mal bitte noch die Ausgabe von dem Befehl den dir Tooltime an die Hand gegeben hat. Evtl. ist FTP ja in dieser Chain vorhanden.

Tooltime · 6 Okt. 2008

Ich habe das mal nachgestellt.

/etc/sysconfig/SuSEfirewall2

FW_SERVICES_REJECT_EXT="0/0,tcp,113 192.168.1.11,tcp,ftp 192.168.1.11,udp,ftp"

iptables -nL input_ext (aufs wesentliche reduziert)

Chain input_ext (3 references)
target prot opt source destination
...
reject_func tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 state NEW
reject_func tcp -- 192.168.1.11 0.0.0.0/0 tcp dpt:21 state NEW
reject_func udp -- 192.168.1.11 0.0.0.0/0 udp dpt:21 state NEW
...

Da bei dir offensichtlich nur

reject_func tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 state NEW

angekommen ist, schätze ich das die Shellvariable nicht sauber definiert ist. Mein Beispiel mit kopieren und einfügen übernommen? Und ausversehen folgendes dabei raus gekommen

FW_SERVICES_REJECT_EXT="0/0,tcp,113" "192.168.1.11,tcp,ftp 192.168.1.11,udp,ftp"

ein Paar Anführungszeichen zuviel?

Wenn du nichts findest dann zeige uns mal den entsprechenden Abschnitt (FW_SERVICES_REJECT_EXT) aus /etc/sysconfig/SuSEfirewall2. Und bitte mit kopieren und einfügen übertragen, nicht das beim abtippen der Fehler vergessen oder ausversehen korrigiert wird.

framp · 6 Okt. 2008

Code:

cat /etc/sysconfig/SuSEfirewall2 | grep -v "^#" | grep -v "^$"

listet komprimiert den Inhalt der SuSEFirewall2

68k · 7 Okt. 2008

Danke, nett das ihr euch mit meinem blöden Problem auseinandersetzt!

@Tooltime:

Code:

FW_SERVICES_REJECT_EXT="0/0,tcp,113 84.226.131.186,tcp,ftp 84.226.131.186,udp,ftp"

@framp:

Code:

FW_DEV_EXT="eth-id-00:02:e3:24:58:eb eth-id-00:11:d8:60:75:e0"
FW_DEV_INT=""
FW_DEV_DMZ=""
FW_ROUTE="no"
FW_MASQUERADE="no"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INT="no"
FW_SERVICES_EXT_TCP="21 497 domain http https ssh"
FW_SERVICES_EXT_UDP="bootpc bootps domain tftp"
FW_SERVICES_EXT_IP="TCP"
FW_SERVICES_EXT_RPC=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_DMZ_RPC=""
FW_SERVICES_INT_TCP=""
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_SERVICES_INT_RPC=""
FW_SERVICES_DROP_EXT=""
FW_SERVICES_REJECT_EXT="0/0,tcp,113 192.168.1.11,domain"
FW_SERVICES_ACCEPT_EXT=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
FW_ALLOW_INCOMING_HIGHPORTS_UDP=""
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG_LIMIT=""
FW_LOG=""
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_FW_SOURCEQUENCH=""
FW_ALLOW_FW_BROADCAST_EXT=""
FW_ALLOW_FW_BROADCAST_INT=""
FW_ALLOW_FW_BROADCAST_DMZ=""
FW_IGNORE_FW_BROADCAST_EXT="yes"
FW_IGNORE_FW_BROADCAST_INT="no"
FW_IGNORE_FW_BROADCAST_DMZ="no"
FW_ALLOW_CLASS_ROUTING=""
FW_CUSTOMRULES=""
FW_REJECT=""
FW_HTB_TUNE_DEV=""
FW_IPv6=""
FW_IPv6_REJECT_OUTGOING=""
FW_IPSEC_TRUST="no"
FW_ZONES=""

spoensche · 7 Okt. 2008

@68k: Warum stehen die Werte die du im Post an Tooltime gerichtet hast nicht mit der Ausgabe von framp' s Kommando überein? Eigentlich sollten die beiden ja gleich sein, was da bei dir aber nicht der Fall ist.

Dann fällt mir noch folgender Fehler auf:

Code:

FW_SERVICES_EXT_TCP="21 497 domain http https ssh"
FW_SERVICES_EXT_UDP="bootpc bootps domain tftp"

Bei *EXT_TCP fehlt der FTP- Datenport (20) und bei *EXT_UDP fehlen die Ports für den FTP ganz.

Tooltime · 7 Okt. 2008

Na was fehlt hier wohl?

FW_SERVICES_REJECT_EXT="0/0,tcp,113 192.168.1.11,domain"

192.168.1.11,tcp,domain oder 192.168.1.11,udp,domain

68k · 28 Okt. 2008

Nur mal ein kleines Feedback. Es funktioniert jetzt wenigstens mal mit den DNS Auflösungen sperren. Mit dem FTP muss ich noch schauen, im Moment habe ich aber leider seeehhhhr viel anders zu erledigen.
Aber erst mal vielen Dank euch allen!
Gruss
Felix

Suse Firewall FW_SERVICES_REJECT_EXT Problem

68k

Newbie

Tooltime

Advanced Hacker

68k

Newbie

spoensche

Moderator

framp

Moderator

Tooltime

Advanced Hacker

68k

Newbie

spoensche

Moderator

Tooltime

Advanced Hacker

framp

Moderator

68k

Newbie

spoensche

Moderator

Tooltime

Advanced Hacker

68k

Newbie