Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Suse Firewall FW_SERVICES_REJECT_EXT Problem

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

Antworten
68k
Newbie
Newbie
Beiträge: 32
Registriert: 17. Jun 2005, 09:56
Wohnort: Zürich

Suse Firewall FW_SERVICES_REJECT_EXT Problem

Beitrag von 68k »

Hallo zusammen

Wenn ich auf unserem Server mich selbst als FTP-User ausschliessen will und im File SUSEfirewall2 folgende Zeile eingebe, kann ich trotzdem noch mit FTP verbinden. Irgendeine Idee warum? Firewallkonfig wurde neu geladen.

FW_SERVICES_REJECT_EXT "0/0,tcp,113 192.168.1.11,ftp 192.168.1.11,fsp"

Ich bin für jeden Tipp dankbar!

Gruss
Felix
Tooltime
Advanced Hacker
Advanced Hacker
Beiträge: 1202
Registriert: 28. Mai 2008, 17:49

Re: Suse Firewall FW_SERVICES_REJECT_EXT Problem

Beitrag von Tooltime »

a) Hier werden Shellvariablen definiert, es fehlt das =.
b) Das IP-Protokoll (TCP/UDP) muss angegeben werden.
  • FW_SERVICES_REJECT_EXT="192.168.1.11,tcp,ftp 192.168.1.11,udp,ftp"
68k
Newbie
Newbie
Beiträge: 32
Registriert: 17. Jun 2005, 09:56
Wohnort: Zürich

Re: Suse Firewall FW_SERVICES_REJECT_EXT Problem

Beitrag von 68k »

Hallo Tooltime

[b]Danke![/b]
Das "=" war drin, habe es beim Forumseintrag vergessen. Nun habe ich es wie folgt versucht (andere IP, von zuhause aus):
FW_SERVICES_REJECT_EXT="0/0,tcp,113 84.226.131.186,tcp,ftp 84.226.131.186,udp,ftp"

Aber leider nach wie vor FTP Zugang vorhanden ...
Komisch!

Gruss
Felix
spoensche
Moderator
Moderator
Beiträge: 7587
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Re: Suse Firewall FW_SERVICES_REJECT_EXT Problem

Beitrag von spoensche »

Ist deine IP möglicherweise noch bei FW_TRUSTED_NETS oder ähnlichem vorhanden, wo durch du weiterhin Zugriff auf den FTP hast.?

Poste mal die Ausgabe von

Code: Alles auswählen

iptables -L INPUT
. Gut möglich das noch FTP- Data (Port 20) offen ist.
Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4326
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

Re: Suse Firewall FW_SERVICES_REJECT_EXT Problem

Beitrag von framp »

Ist machnmal ziemlich lästig herauszufinden warum etwas geblocked bzw durchgelassen wird. Dazu gibt es in der SuSEFirelwall2 config Einstellungen wie log_deny, log_all usw (genau syntax musst Du nachsehen). Normalerweise werden nur die critical gelogged. Mir hat es immer geholfen, das logging FW_LOG_DROP_ALL="no"
auf yes zu setzen. Dann sieht man genau was rejected bzw durchgelassen wird (port, ip, etc). Würde ich an Deiner Stelle mal tun (Aber nicht vergessen wieder auszuschalten denn sonnst läuft Dein firewall log ziemlich schnell voll ;-) )
Tooltime
Advanced Hacker
Advanced Hacker
Beiträge: 1202
Registriert: 28. Mai 2008, 17:49

Re: Suse Firewall FW_SERVICES_REJECT_EXT Problem

Beitrag von Tooltime »

Mich würde zusätzlich noch die Ausgabe von
  • iptables -nL input_ext
interessieren.
68k
Newbie
Newbie
Beiträge: 32
Registriert: 17. Jun 2005, 09:56
Wohnort: Zürich

Re: Suse Firewall FW_SERVICES_REJECT_EXT Problem

Beitrag von 68k »

[b]iptables -L INPUT:[/b]
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTAB
LISHED
input_ext all -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 3/min bu
rst 5 LOG level warning tcp-options ip-options prefix `SFW2-IN-ILL-TARGET '
DROP all -- anywhere anywhere

[b]iptables -nL input_ext:[/b]
Chain input_ext (1 references)
target prot opt source destination
DROP all -- 0.0.0.0/0 0.0.0.0/0 PKTTYPE = broadcast
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 4
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 11
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 12
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 14
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 18
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3 code 2
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 5
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:21 flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:497 flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:497
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:53 flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:80 flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:443 flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:22 flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
reject_func tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 state NEW
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:68
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:69
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
LOG icmp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
LOG udp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT-INV '
DROP all -- 0.0.0.0/0 0.0.0.0/0

Gruss
Felix
spoensche
Moderator
Moderator
Beiträge: 7587
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Re: Suse Firewall FW_SERVICES_REJECT_EXT Problem

Beitrag von spoensche »

Laut
68k hat geschrieben: reject_func tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 state NEW
werden nur Anfragen vom Port 113 gerejected. Poste mal bitte noch die Ausgabe von dem Befehl den dir Tooltime an die Hand gegeben hat. Evtl. ist FTP ja in dieser Chain vorhanden.
Tooltime
Advanced Hacker
Advanced Hacker
Beiträge: 1202
Registriert: 28. Mai 2008, 17:49

Re: Suse Firewall FW_SERVICES_REJECT_EXT Problem

Beitrag von Tooltime »

Ich habe das mal nachgestellt.

/etc/sysconfig/SuSEfirewall2
  • FW_SERVICES_REJECT_EXT="0/0,tcp,113 192.168.1.11,tcp,ftp 192.168.1.11,udp,ftp"
iptables -nL input_ext (aufs wesentliche reduziert)
  • Chain input_ext (3 references)
    target prot opt source destination
    ...
    reject_func tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 state NEW
    reject_func tcp -- 192.168.1.11 0.0.0.0/0 tcp dpt:21 state NEW
    reject_func udp -- 192.168.1.11 0.0.0.0/0 udp dpt:21 state NEW
    ...
Da bei dir offensichtlich nur
  • reject_func tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 state NEW
angekommen ist, schätze ich das die Shellvariable nicht sauber definiert ist. Mein Beispiel mit kopieren und einfügen übernommen? Und ausversehen folgendes dabei raus gekommen
  • FW_SERVICES_REJECT_EXT="0/0,tcp,113" "192.168.1.11,tcp,ftp 192.168.1.11,udp,ftp"
ein Paar Anführungszeichen zuviel?

Wenn du nichts findest dann zeige uns mal den entsprechenden Abschnitt (FW_SERVICES_REJECT_EXT) aus /etc/sysconfig/SuSEfirewall2. Und bitte mit kopieren und einfügen übertragen, nicht das beim abtippen der Fehler vergessen oder ausversehen korrigiert wird.
Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4326
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

Re: Suse Firewall FW_SERVICES_REJECT_EXT Problem

Beitrag von framp »

Code: Alles auswählen

cat /etc/sysconfig/SuSEfirewall2 | grep -v "^#" | grep -v "^$"
listet komprimiert den Inhalt der SuSEFirewall2
68k
Newbie
Newbie
Beiträge: 32
Registriert: 17. Jun 2005, 09:56
Wohnort: Zürich

Re: Suse Firewall FW_SERVICES_REJECT_EXT Problem

Beitrag von 68k »

Danke, nett das ihr euch mit meinem blöden Problem auseinandersetzt!

@Tooltime:

Code: Alles auswählen

FW_SERVICES_REJECT_EXT="0/0,tcp,113 84.226.131.186,tcp,ftp 84.226.131.186,udp,ftp"
@framp:

Code: Alles auswählen

FW_DEV_EXT="eth-id-00:02:e3:24:58:eb eth-id-00:11:d8:60:75:e0"
FW_DEV_INT=""
FW_DEV_DMZ=""
FW_ROUTE="no"
FW_MASQUERADE="no"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INT="no"
FW_SERVICES_EXT_TCP="21 497 domain http https ssh"
FW_SERVICES_EXT_UDP="bootpc bootps domain tftp"
FW_SERVICES_EXT_IP="TCP"
FW_SERVICES_EXT_RPC=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_DMZ_RPC=""
FW_SERVICES_INT_TCP=""
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_SERVICES_INT_RPC=""
FW_SERVICES_DROP_EXT=""
FW_SERVICES_REJECT_EXT="0/0,tcp,113 192.168.1.11,domain"
FW_SERVICES_ACCEPT_EXT=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
FW_ALLOW_INCOMING_HIGHPORTS_UDP=""
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG_LIMIT=""
FW_LOG=""
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_FW_SOURCEQUENCH=""
FW_ALLOW_FW_BROADCAST_EXT=""
FW_ALLOW_FW_BROADCAST_INT=""
FW_ALLOW_FW_BROADCAST_DMZ=""
FW_IGNORE_FW_BROADCAST_EXT="yes"
FW_IGNORE_FW_BROADCAST_INT="no"
FW_IGNORE_FW_BROADCAST_DMZ="no"
FW_ALLOW_CLASS_ROUTING=""
FW_CUSTOMRULES=""
FW_REJECT=""
FW_HTB_TUNE_DEV=""
FW_IPv6=""
FW_IPv6_REJECT_OUTGOING=""
FW_IPSEC_TRUST="no"
FW_ZONES=""
spoensche
Moderator
Moderator
Beiträge: 7587
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Re: Suse Firewall FW_SERVICES_REJECT_EXT Problem

Beitrag von spoensche »

@68k: Warum stehen die Werte die du im Post an Tooltime gerichtet hast nicht mit der Ausgabe von framp' s Kommando überein? Eigentlich sollten die beiden ja gleich sein, was da bei dir aber nicht der Fall ist.

Dann fällt mir noch folgender Fehler auf:

Code: Alles auswählen

FW_SERVICES_EXT_TCP="21 497 domain http https ssh"
FW_SERVICES_EXT_UDP="bootpc bootps domain tftp"
Bei *EXT_TCP fehlt der FTP- Datenport (20) und bei *EXT_UDP fehlen die Ports für den FTP ganz.
Tooltime
Advanced Hacker
Advanced Hacker
Beiträge: 1202
Registriert: 28. Mai 2008, 17:49

Re: Suse Firewall FW_SERVICES_REJECT_EXT Problem

Beitrag von Tooltime »

Na was fehlt hier wohl?
  • FW_SERVICES_REJECT_EXT="0/0,tcp,113 192.168.1.11,domain"
192.168.1.11,tcp,domain oder 192.168.1.11,udp,domain
68k
Newbie
Newbie
Beiträge: 32
Registriert: 17. Jun 2005, 09:56
Wohnort: Zürich

Re: Suse Firewall FW_SERVICES_REJECT_EXT Problem

Beitrag von 68k »

Nur mal ein kleines Feedback. Es funktioniert jetzt wenigstens mal mit den DNS Auflösungen sperren. Mit dem FTP muss ich noch schauen, im Moment habe ich aber leider seeehhhhr viel anders zu erledigen.
Aber erst mal vielen Dank euch allen!
Gruss
Felix
Antworten