• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

9.3 als router firewallproblem

Z

zettberlin

Hallo Leute,
habe in den letzten drei Tagen versucht, einen Dell-Laptop mit SUSE 9.1 und ein ibook G4 über einen SUSE 9.3-PC mit AVM-ISDN-Karte in Internetz zu bringen.
ping funktioniert, ssh ebenfalls Samba geht vom Router zum ibook auch, nur das forwarding macht Theater:

ping vom ibook oder Dell auf google.com tut nichts, ping auf die IP eines TelekomDNS sagt 6 Pakete gesendet, keins empfangen - kurz:

ich gehe davon aus, das die Firewall auf dem Router die Pakete, die von den Clients angefordert werden, wegfiltert.

Weiss jemand, wie ich da vorgehen kann?
Mit YAST habe ich schon alles prbiert (auch das Abschalten der Firewall - ohne Erfolg)
 
Martin Breidenbach

Martin Breidenbach

Ahnung vom Mac hab ich exakt gar keine. Eventunell kann da der Yehudi was zu sagen - der hat nen Mac und geht über SuSE ins Internet.

Grundsätzlich gilt das:

http://www.linux-club.de/viewtopic.php?t=13317
 
TomcatMJ

TomcatMJ

Hi!
probiers doch mal mit dem Minimalistischen Lösungsansatz aus den ich in diesem Thread http://www.linux-club.de/viewtopic.php?t=32033 gepostet hatte.
Wenn du davor die Susefirewall abschaltest und einmal auf der Konsole
Code: 
iptables -F
eingibst dürfte die Filterung der ICMP-Pakete (=Ping-Antworten und ähnliche Routingrelevante/Erreichbarkeitsrelevante Nachrichten ) ausgeknipst sein und zumindest ungefilterte Weiterleitung vom LAN ins Internet und Weiterleitung der Rückantworten sollte damit dann gehen.
Für weitere Optionen kann ich echt nur Webmin empfehlen,damit gehts wirklich sauber einzustellen wenn man weiss welche Ports und Unterprotokolle man wo haben will und welche wo nicht.(Tip:In Webmin das Linux Firewall Modul dazu benutzen, Filterung bis runter auf MAC-Adressebene ist damit drin)

Bis denne,
Tom
 
OP
Z

zettberlin

TomcatMJ schrieb:
Hi!
probiers doch mal mit dem Minimalistischen Lösungsansatz aus den ich in diesem Thread http://www.linux-club.de/viewtopic.php?t=32033 gepostet hatte.
Wenn du davor die Susefirewall abschaltest und einmal auf der Konsole
Code: 
iptables -F
Zum Vergrößern anklicken....

Danke Tom, das hatte ich mir gestern schon mal angesehen, habe allerdings nicht ganz mitgeschnitten, wie/wo ich das hier:
TomcatMJ schrieb:
SuSEfirewall2
Code:

FW_QUICKMODE="no"
FW_DEV_EXT="eth0" (hier stet in meiner conf. die MAC)
FW_DEV_INT="eth1" (hier

etcetcetc
Zum Vergrößern anklicken....

einstellen kann, ich habe hier echt keine zentrale KOnfigurationsdatei für die SuSE-Firewall gefunden, wo stellt man eigentlich iptables ein??
 
TomcatMJ

TomcatMJ

Ähm,also das letzte da war wohl falsch gequotet,das stammte nicht von mir da ich hier gar keine SuSE Firewall nutze sondern ein eigenes script das mit iptables-save/iptables-restore arbeitet und die Rulesets auswertet die man über Webmin mit dem Linux-Firewallmodul erstellen kann nutzt. man kann auch direkt im Webmin anklicken das die Webmin-Firewall beim booten starten soll,dann muss man jedoch die Suse-Firewall deaktivieren da sich sonst wohl alles beissen dürfte (wie bei Virenscannern unter Windoof die sich gegenseitig als Viren identifizieren*G*)...
Einstellungen für die SuSE-Firewall kannst du manuell entweder über den Sysconfig-Editor in Yast, in den entsprechenden Dateien im /etc/sysconfig Verzeichnis oder eben über das eigentlich vorgesehene Yast-Modul machen. Für Webmin gibts übrigens auch ein Drittanbietermodul für die SuSE-Firewall,habs aber nie genutzt da ich lieber genau wissen will was da alles gefiltert wird und was nicht:)

Bis denne,
Tom
 
OP
Z

zettberlin

TomcatMJ schrieb:
Ähm,also das letzte da war wohl falsch gequotet,das stammte nicht von mir da ich hier gar keine SuSE Firewall nutze
Zum Vergrößern anklicken....

OK wohl ein Missverständnis...

Habe das ganze jetzt noch ein bisschen eingegrenzt, der Kernel gibt aus, das Pakete, die Ping von einem der Clients abschickt korrekt ankommen und auch weitergeleitet werden, allerdings wird die Antwort gedropt:

May 30 02:00:57 zettsusenova kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=ippp0 SRC=192.168.1.64 DST=194.25.0.60 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=22502 PROTO=ICMP TYPE=8 CODE=0 ID=681 SEQ=3
May 30 02:00:58 zettsusenova kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=ippp0 SRC=192.168.1.64 DST=194.25.0.60 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=22503 PROTO=ICMP TYPE=8 CODE=0 ID=681 SEQ=4

uswusw...

Kann mir BITTE jemnad sagen, wie ich das verhindern kann?
:cry:
 
OP
Z

zettberlin

Martin Breidenbach schrieb:
Was verwendest Du ? SuSEFirewall2 ?
Zum Vergrößern anklicken....

Martin Breidenbach schrieb:
Du kannst ja mal die SuSEFirewall2 Datei hier posten (bitte OHNE die ganzen Kommentarzeilen).
Zum Vergrößern anklicken....

Bitteschön:

-----schnipp------


FW_DEV_EXT="ippp0"


FW_DEV_INT="eth-id-00:0e:2e:08:68:84 eth0"


FW_DEV_DMZ=""

FW_ROUTE="yes"


FW_MASQUERADE="yes"


FW_MASQ_DEV="$FW_DEV_EXT"


FW_MASQ_NETS=""


FW_PROTECT_FROM_INT="no"


FW_SERVICES_EXT_TCP="ssh"


FW_SERVICES_EXT_UDP="ipsec-nat-t isakmp"


FW_SERVICES_EXT_IP="esp"


FW_SERVICES_EXT_RPC=""


FW_SERVICES_DMZ_TCP=""


FW_SERVICES_DMZ_UDP=""


FW_SERVICES_DMZ_IP=""


FW_SERVICES_DMZ_RPC=""


FW_SERVICES_INT_TCP=""


FW_SERVICES_INT_UDP=""


FW_SERVICES_INT_IP=""


FW_SERVICES_INT_RPC=""


FW_SERVICES_DROP_EXT=""


FW_SERVICES_REJECT_EXT="0/0,tcp,113"


FW_SERVICES_ACCEPT_EXT=""


FW_TRUSTED_NETS=""


FW_ALLOW_INCOMING_HIGHPORTS_TCP=""


FW_ALLOW_INCOMING_HIGHPORTS_UDP=""


FW_FORWARD=""


FW_FORWARD_MASQ=""


FW_REDIRECT=""


FW_LOG_DROP_CRIT="yes"


FW_LOG_DROP_ALL="yes"


FW_LOG_ACCEPT_CRIT="yes"


FW_LOG_ACCEPT_ALL="no"


FW_LOG_LIMIT=""


FW_LOG=""


FW_KERNEL_SECURITY="yes"


FW_STOP_KEEP_ROUTING_STATE="no"


FW_ALLOW_PING_FW="yes"


FW_ALLOW_PING_DMZ="no"


FW_ALLOW_PING_EXT="no"


FW_ALLOW_FW_SOURCEQUENCH=""


FW_ALLOW_FW_BROADCAST_EXT=""


FW_ALLOW_FW_BROADCAST_INT=""


FW_ALLOW_FW_BROADCAST_DMZ=""


FW_IGNORE_FW_BROADCAST_EXT="yes"


FW_IGNORE_FW_BROADCAST_INT="yes"


FW_IGNORE_FW_BROADCAST_DMZ="yes"


FW_ALLOW_CLASS_ROUTING=""


FW_CUSTOMRULES=""



FW_REJECT=""


FW_HTB_TUNE_DEV=""


FW_IPv6=""


FW_IPv6_REJECT_OUTGOING=""


FW_IPSEC_TRUST="no"


FW_ZONES=""

--------schnapp-------------

Und, wo stimmts nicht?
 
OP
Z

zettberlin

Martin Breidenbach schrieb:
Dann lies Dir mal die Beschreibung zu "FW_ALLOW_PING_EXT" durch. Das sollte Dir einen Hinweis geben ;)
Zum Vergrößern anklicken....

ich hab´den Wert auf "yes" gesetzt und den ganzen Kasten neu gestartet. Ergebnis=0 - das Problem bleibt das gleiche:

May 30 19:25:15 zettsusenova kernel: SFW2-INext-DROP-DEFLT IN=ippp0 OUT= MAC= SRC=85.74.138.136 DST=212.144.219.159 LEN=78 TOS=0x00 PREC=0x00 TTL=116 ID=38705 PROTO=UDP SPT=1031 DPT=137 LEN=58
May 30 19:25:22 zettsusenova kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=ippp0 SRC=192.168.1.64 DST=194.25.2.129 LEN=69 TOS=0x00 PREC=0x00 TTL=63 ID=18303 PROTO=UDP SPT=49376 DPT=53 LEN=49
 
Martin Breidenbach

Martin Breidenbach

Nee, das ist nicht das Gleiche.

Weiter oben wurde in der Tat ein Ping (ICMP) geblockt.

Hier wird in der ersten Zeile ein Versuch geblockt aus dem Internet Port 137 = Microsoft Netzwerk anzusprechen was sicher erwünschtes Verhalten ist.

Die zweite Zeile ist aufschlußreicher. Da blockt er eine ausgehende DNS-Abfrage (Port 53) an einen DNS-Server von T-Online (194.25.2.129).

Die Frage ist jetzt - wieso macht der Drecksack das. Da muß ich nochmal drüber meditieren.

Es gibt eine Website die solche Meldungen entschlüsselt. Ich weiß den Link nicht auswendig - ist hier im Forum aber schon gepostet worden.
 
OP
Z

zettberlin

Martin, Du bist die No 1 :) :) :) :) :)
Der Eintrag für das Masquerading hat´s tatsächlich gebracht :D :D

vielen Dank - 3 Tage in der Hölle sind vorüber:
http://www.linuxuse.de/snds/sos/satans_harfenzarathustra.mp3

jetzt kann allerdings noch darüber geredet werden, warum YAST das nicht korrekt eingestellt hat :!: :?: :!:

bis bald... :)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben