Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

SuSEfirewall2 problem

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

Antworten
XXL1
Newbie
Newbie
Beiträge: 26
Registriert: 21. Feb 2004, 18:12

SuSEfirewall2 problem

Beitrag von XXL1 »

Also ich lass ein rechner mit suse 9.3 routen und alles funtioniert bis auf die sache, dass von aussen nicht auf FREIGEGEBENE Ports wie z.b 80 ,mein apache server nicht zugegriffen werden kann. Dieses Problem besteht bei allen server programmen die ich laufen lasse d.h Game-,Voice-,Mail-Server.
Bitte um Hilfe. Danke schonmal für die hoffentlich zahlreichen posts!
Benutzeravatar
Martin Breidenbach
Ultimate Guru
Ultimate Guru
Beiträge: 5632
Registriert: 26. Mai 2004, 21:33
Wohnort: N 50.17599° E 8.73367°

Beitrag von Martin Breidenbach »

Na dann poste mal Deine SuSEFirewall2 und das BITTE ohne die Kommentare (sonst wird das kilometerlang).
Nicht Böse sein ! Der Onkel macht doch nur Spaß !
XXL1
Newbie
Newbie
Beiträge: 26
Registriert: 21. Feb 2004, 18:12

Beitrag von XXL1 »

Das is mein Config:

Code: Alles auswählen

FW_DEV_EXT="dsl0"
FW_DEV_INT="eth-id-00:c1:26:0f:f8:d1"
FW_DEV_DMZ="eth-id-00:e0:7d:92:8e:84"
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INT="no"
FW_SERVICES_EXT_TCP="80 domain https pop3 pop3s smtp"
FW_SERVICES_EXT_UDP="bootpc bootps domain ipsec-nat-t isakmp"
FW_SERVICES_EXT_IP="esp"
FW_SERVICES_EXT_RPC=""
FW_SERVICES_DMZ_TCP="5801 5901 80 domain https imap imaps ipp ldap ldaps microsoft-ds netbios-dgm netbios-ns netbios-ssn pop3 pop3s rsync smtp ssh"
FW_SERVICES_DMZ_UDP="bootpc bootps domain ipp ipsec-nat-t isakmp netbios-ns ntp tftp"
FW_SERVICES_DMZ_IP="esp"
FW_SERVICES_DMZ_RPC="fypxfrd mountd nfs nfs_acl nlockmgr portmap status ypbind yppasswdd ypserv"
FW_SERVICES_INT_TCP="80 domain microsoft-ds netbios-dgm netbios-ns netbios-ssn smtp"
FW_SERVICES_INT_UDP="domain netbios-ns"
FW_SERVICES_INT_IP=""
FW_SERVICES_INT_RPC="mountd nfs nfs_acl nlockmgr portmap status"
FW_SERVICES_DROP_EXT=""
FW_SERVICES_REJECT_EXT="0/0,tcp,113"
FW_SERVICES_ACCEPT_EXT=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
FW_ALLOW_INCOMING_HIGHPORTS_UDP=""
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG_LIMIT=""
FW_LOG=""
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_FW_SOURCEQUENCH=""
FW_ALLOW_FW_BROADCAST_INT="netbios-ns"
FW_IGNORE_FW_BROADCAST_EXT="no"
FW_IGNORE_FW_BROADCAST_INT="no"
FW_IGNORE_FW_BROADCAST_DMZ="no"
FW_ALLOW_CLASS_ROUTING=""
FW_CUSTOMRULES=""
FW_REJECT=""
FW_HTB_TUNE_DEV=""
FW_IPv6=""
FW_IPv6_REJECT_OUTGOING=""
FW_IPSEC_TRUST="no"
FW_ZONES=""
Hoffe das hilft schonmal weiter! Danke für die schnelle Antwort :)
Benutzeravatar
Martin Breidenbach
Ultimate Guru
Ultimate Guru
Beiträge: 5632
Registriert: 26. Mai 2004, 21:33
Wohnort: N 50.17599° E 8.73367°

Beitrag von Martin Breidenbach »

Hmm.... der Konfiguration nach hast Dein Linux-Router drei Netzwrekkarten und Du hast eine DMZ. Laufen die Dienste jetzt auf einem Rechner in der DMZ oder auf der Firewall ?
Nicht Böse sein ! Der Onkel macht doch nur Spaß !
XXL1
Newbie
Newbie
Beiträge: 26
Registriert: 21. Feb 2004, 18:12

Beitrag von XXL1 »

FW_DEV_DMZ="eth-id-00:e0:7d:92:8e:84" <-- daran ist dsl0 angeschlossen. Es existiert sozusagen kein dmz netz. und ja die dienste laufen in der dmz, ebendalls auf der firewall!
Benutzeravatar
Martin Breidenbach
Ultimate Guru
Ultimate Guru
Beiträge: 5632
Registriert: 26. Mai 2004, 21:33
Wohnort: N 50.17599° E 8.73367°

Beitrag von Martin Breidenbach »

XXL1 hat geschrieben:FW_DEV_DMZ="eth-id-00:e0:7d:92:8e:84" <-- daran ist dsl0 angeschlossen. Es existiert sozusagen kein dmz netz. und ja die dienste laufen in der dmz, ebendalls auf der firewall!
Das ist m.E. so nicht korrekt. Bei der Konfiguration hast Du ganz einfach keine DMZ. Dienste die auf dem Firewall-Rechner laufen laufen auf dem Firewall-Rechner und nicht in einer DMZ.
Nicht Böse sein ! Der Onkel macht doch nur Spaß !
XXL1
Newbie
Newbie
Beiträge: 26
Registriert: 21. Feb 2004, 18:12

Beitrag von XXL1 »

Da geb ich dir gerne recht das *eigentlich* kein dmz netzwerk vorhanden ist . Sozusagen nur auf dem lokalen Adressbereich der Karte. und dort sind die Dienste zugegebenermaßen überflüssigerweise nochmal freigegeben. Dies ist aber nicht weiter wichtig, ob das Netzwerk nun existiert oder nicht! trotzdem sry wenn ich mich unklar ausgedrückt habe. Hoffe das noch weitere Vorschläge folgen werden. Danke für die Bemühungen bis zu diesem Punkt!
Benutzeravatar
Martin Breidenbach
Ultimate Guru
Ultimate Guru
Beiträge: 5632
Registriert: 26. Mai 2004, 21:33
Wohnort: N 50.17599° E 8.73367°

Beitrag von Martin Breidenbach »

Also, fassen wir mal zusammen:

- Du hast keine DMZ.

- Du hast in der SuSEFirewall2 Dienste für eine DMZ konfiguriert.

- Dienste lassen sich nicht von außen ansprechen.

- Wir wissen nicht warum

Mein Ansatz wäre erst mal die offensichtlichen Fehler aus dem Firewallskript rauszumachen und dann weiterzusuchen. Das muß nicht zur Lösung führen aber schaden kann's doch auch nicht.

Aber Du kannst das gerne machen wie Du willst, ist ein freies Land :D
Nicht Böse sein ! Der Onkel macht doch nur Spaß !
XXL1
Newbie
Newbie
Beiträge: 26
Registriert: 21. Feb 2004, 18:12

Beitrag von XXL1 »

ich sehe zwar nicht wie ich die karte sonst konfigurieren soll aber hilf mir mal weiter und sag mir die offensichtichen fehler etwas genauer. Ich kann die karte die an dsl0 angeschlossen ist als dmz oder intern konfigurieren was rätst du mir.....

Danke weiterhin auch wen ndu etwas aggresiv reagierst :)
XXL1
Newbie
Newbie
Beiträge: 26
Registriert: 21. Feb 2004, 18:12

Beitrag von XXL1 »

musste die karte nur als intern konfigurieren dann gehts, aber kann das nicht sicherheitslücken nach sich ziehen?
Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4323
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

Beitrag von framp »

XXL1 hat geschrieben:musste die karte nur als intern konfigurieren dann gehts, aber kann das nicht sicherheitslücken nach sich ziehen?
Wenn Du Deine dsl Karte als interne Karte definierst ist es so als haettest Du keinen FW zwischen dem Internet und Deinem internet Netz :!:
Das solltest Du schnellstens wieder aendern :!:
XXL1
Newbie
Newbie
Beiträge: 26
Registriert: 21. Feb 2004, 18:12

Beitrag von XXL1 »

naja die karte is als intern der anschluss sprich dsl0 ist extern konfiguriert! aber danke für hinweis!
Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4323
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

Beitrag von framp »

Dann habe ich Dich missverstanden. :roll:
Bei mir ist
FW_DEV_EXT="dsl0 nic1 nic2 nic3"
und
FW_DEV_INT="nic0"
wobei nic1 das dsl nic ist, nic2 der WLAN AP & nic3 lan-party nic.

Zugegebenermassen ist mir nicht so ganz klar wo der Unterschied zwischen dem dsl Anschluss und dem dsl nic ist. Ich finde es jedenfalls schluessiger beides extern zu haben.

Anyhow wuerde ich den ganzen sinnlosen DMZ Kram beseitigen. Eine FW sollte uebersichtlich sein und das ist sie nicht wenn man eine DMZ benutzt die keine ist.
Benutzeravatar
starter
Newbie
Newbie
Beiträge: 41
Registriert: 10. Mär 2006, 10:45

Beitrag von starter »

hab da auch grad noch ne frage zu...

stellt sich bei euch die interne NIC nicht nach nem reboot wieder auf extern? Das ist ganz schöne nervig, denn dann geht ja ssh usw nicht mehr und ich kann erstmal en monitor und tastatur ranschaffen. Wie bekomme ich das hin, dass sich das der kerl nach nem neustart merkt?
Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4323
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

Beitrag von framp »

starter hat geschrieben:Wie bekomme ich das hin, dass sich das der kerl nach nem neustart merkt?
=> http://www.linux-club.de/viewtopic.php? ... istentname
Benutzeravatar
starter
Newbie
Newbie
Beiträge: 41
Registriert: 10. Mär 2006, 10:45

Beitrag von starter »

bestens
thx
Antworten