Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Kein zugriff auf Druckserver mit laufenden Susefirewall2

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

Antworten
Benutzeravatar
Katoon
Newbie
Newbie
Beiträge: 28
Registriert: 24. Aug 2004, 15:05
Kontaktdaten:

Kein zugriff auf Druckserver mit laufenden Susefirewall2

Beitrag von Katoon »

Hi Leute,

unter 9.1 lauft es ohne FW zu deaktivieren und wenn ich in

Code: Alles auswählen

/etc/Susefirewall2
nach schau steht das ich Port 535 offen habe.

Beim 9.2 (andere Rechner!) habe ich Port 535 als auch 631 (CUPS) geöffnet, aber kann trotzdem nicht auf Druckserver drucken.

Sobald ich

Code: Alles auswählen

rcsusefirewall stop
eingeben wird gedruckt.

Meine Frage: was mache ich falsch, bsw. kann ich was anders machen?

EDIT: Kann es sein, weil ich nur eine NIC im Rechner habe und dies steht als externe in Firewall konfig, dass es nicht Funktioniert?
Nukem36
Hacker
Hacker
Beiträge: 337
Registriert: 28. Okt 2004, 08:58
Wohnort: Im schwarzen Walde

Beitrag von Nukem36 »

Hallo Katoon!

hatte denselben Effekt mit folgender Ursache:

in der Firewallkonfiguration war interne/externe Schnittstelle nicht i.o. Kontrolliere das mal über YaST->Firewall.

Externe Schnittstelle muß z.B. ISDN sein (ippp0) und interne deine Netzwerkkarte in der Regel /dev/eth0.

Wenn Du wegen Sicherheit keine Bedenken hast: kontrollieren, daß die Firewall im Internen Netz nicht schützen soll, dann sind die Ports die Du brauchst auch benutzbar ("Vor internem Netzwerk schützen")

Bis denn
Nukem36
Sie brauchen einen neuen Monitor? Dann bitte hier (X) bohren!
Benutzeravatar
Katoon
Newbie
Newbie
Beiträge: 28
Registriert: 24. Aug 2004, 15:05
Kontaktdaten:

Beitrag von Katoon »

Hi Nukem36,
Danke fürs Antwort.
Wenn ich unter YAST-Firewall gehe, steht beim externe : auto und interne : eth0. (Da ich keine externe Netzwerk habe, aber Yast eine externe Netzwerk verlangt.) Schutz vor interne Netzwerk ist auch nicht an, aber trotzdem Funktioniert es nicht mit FW.

Ich denke ich muss in config Datei die Einstellungen ändern und nicht in Yast, oder?
Nukem36
Hacker
Hacker
Beiträge: 337
Registriert: 28. Okt 2004, 08:58
Wohnort: Im schwarzen Walde

Beitrag von Nukem36 »

Hi Katoon,

hmm.. wie sieht dann deine Umgebung aus? Hast Du einen DSL- Anschluß und gehst Du über eth0 auf den DSL-Router? Wenn Du andernfalls nur ein internes Netzwerk hast, würde die Firewall m.E. wenig Sinn machen.

Wenn aber alles über eth0 geht (Internet und interner Traffic) gibt es 2 Möglichkeiten:

- 2. Netzwerkschnittstelle einbauen und in der Firewall als externe (eth1) definieren, um Internet und DSL sauber zu trennen

- erstellen einer passenden ipchains Richtlinie über die Konfigurationsdatei der Firewall. Steht m.W. in /etc/suseconfig/SuSEfirewall2 ...) Musst Du nachlesen.

Das Einstellen der ipchains ist nicht ganz trivial! Sieh mal hier im Forum nach.

Bei der Variante 2 musst Du beachten, daß die Firewall auf eth0 nur Pakete deines Netzes, z.B. 192.168.5.0 durchlässt, sonst hast Du ein u.U. ein Sicherheitsloch in Richtung Internet. Ich würde Variante 1 realisieren (dabei an IP-Forwarding denken!) das ist einfacher umzusetzen und schützt den gesamtes interne Netz (hinter deiner Linux-Maschine) über die Firewall. Die Linux Maschine dient dann als Gateway ins Internet. Diese Konfiguration verwende ich bei vielen Kunden mit Windows Kisten als Arbeitsstationen und einem zentralen Linux-Server mit Firewall als Internet-Gateway. Funktioniert sehr gut und benötigt kein Feintuning mit ipchains!

Ich hoffe das hilft etwas weiter

Nur zur Vollständigkeit: beschreibe mal deinen Netzwerkaufbau mit IP-Adressen. Wenn Du nur ein lokales Netz hast (ohne Schnittstelle in Richtung Internet) brauchst Du u.U,, keine Firewall!)

Bis denn
Nukem36
Sie brauchen einen neuen Monitor? Dann bitte hier (X) bohren!
Benutzeravatar
Katoon
Newbie
Newbie
Beiträge: 28
Registriert: 24. Aug 2004, 15:05
Kontaktdaten:

Beitrag von Katoon »

Hi Nukem36,


Ich gehe über Router ins Internet und so brauche ein Firewall. Mein Netzaufbau ist wie folgt....

DSL-Router mit Switch IP: 192.168.0.1
Rechner 1 mit Suse 9.1 IP: 192.168.0.2, mit Firewall geht das Drucken.
Rechner 2 mit Suse 9.2 IP: 192.168.0.3 oder DHCP von Router, mit Firewall kein Druck möglich.

Ich habe auch Suse 9.2 auf eine Laptop die wenn FW lauft kein NFS Freigaben bekommen (aber das ist ein andere Problem!)

Wenn ich auf der Router ein Firewall habe, brauche ich trotzdem ein Firewall auf alle Rechner?
carsten
Guru
Guru
Beiträge: 1632
Registriert: 27. Jan 2004, 13:27
Wohnort: Mittelhessen

Beitrag von carsten »

Wenn der Router ne anstaendige FW hat braucht der PC keine mehr.
Intel DB65ALB3, Chipsatz B65, Celeron G540, 4GB, 1x1TB System, 2x 2TB SATA RAID1, SuSE 13.2 (noch)
Benutzeravatar
Katoon
Newbie
Newbie
Beiträge: 28
Registriert: 24. Aug 2004, 15:05
Kontaktdaten:

Beitrag von Katoon »

carsten hat geschrieben:Wenn der Router ne anstaendige FW hat braucht der PC keine mehr.
Hi Carsten,
was meinst du mit anständige FW?

Ich benutze ein D-Link DI 624, hat das ein anständige FW oder nicht?
Nukem36
Hacker
Hacker
Beiträge: 337
Registriert: 28. Okt 2004, 08:58
Wohnort: Im schwarzen Walde

Beitrag von Nukem36 »

High Katoon,

das das Druchen auf dem 1. Rechner geht ist kein Wunder, da die Firewall auf diesem Rechner (localhost) für den dort lokalen Drucker nicht wirkt. Wie Du dein Netz beschreibst sehe ich keinen Bedarf, auf jedem Rechner eine Firewall zu betreiben. Du brauchst eine zentrale Firewall. Ob die D-Link qualitativ reicht? Google mal nach dem Teil.

Wenn die D-Link nicht reicht und Du eine zusätzliche Fireall brauchst, musst Du Dir jeden Rechner vornehmen und die erforderlichen Ports in beiden Rechnern (beginnend mit dem 1.) und in beiden Richtungen öffnen (ipchains). Da steckt schon ein gewisser Aufwand dahinter. Guckstdu SuSE Knowledgebase wie das geht (ipchains).

Deshalb mein Vorschlag einen der Rechner mit einer 2. Netzwerkkarte auszurüsten, die in Richtung D-Link verbunden ist und routet. Die Kiste muß dann allerdings immer laufen, damit die restlichen Rechner - bei denen als default Gateway die IP des "Linux-Routers" angeben - ins Internet kommen.

Im lokalen Lan über die erste Netzwerkkarte kannst Du dann meiner Meinung nach überall die Firewalls abschalten. Dann fkt. deine Druckerein im lokalen Lan überall.

Bis denn

Nukem36
Sie brauchen einen neuen Monitor? Dann bitte hier (X) bohren!
carsten
Guru
Guru
Beiträge: 1632
Registriert: 27. Jan 2004, 13:27
Wohnort: Mittelhessen

Beitrag von carsten »

ipchains ist ein bischen alt. iptables ist das Stichwort.

Ob das D-Link ausreicht musst du selber wissen. Das steht und faellt mit deinen Anspruechen.
Wenn nicht, wie beschrieben einen PC zur FW erklaeren und den Switch erst dahinter setzen, also intern und extern strikt trennen
Intel DB65ALB3, Chipsatz B65, Celeron G540, 4GB, 1x1TB System, 2x 2TB SATA RAID1, SuSE 13.2 (noch)
Benutzeravatar
Katoon
Newbie
Newbie
Beiträge: 28
Registriert: 24. Aug 2004, 15:05
Kontaktdaten:

Beitrag von Katoon »

OK danke ihr beiden, vermutlich nehme ich das mit dem Rechner zwischen I-Net und Switch.

Nochmals danke
Antworten