• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

SuSE 7.3 Prof Firewall2 Problem

n00b

Newbie
Nabend,

habe letztens auf meinem etwas älteren PC SuSE Linux 7.3 Prof. installiert , dieser PC soll in Zukunft als Router dienen.

eth0 = 192.168.22.0 geht an das DSL Modem
eth1 = 192.168.1.99 geht in ein Switch

Nach der installation habe ich über Yast2 -> ADSL mein Zugandsdaten eingetragen,
das MTU & MRU auf 1492 gestzt und in der rc.config START_SMPPPD auf "Yes" gesetzt
und IP_FORWARDING auf "Yes" gesetzt.

Somit funktionierte der Internetanschluß schonmal ohne Probleme, da der PC als Router laufen soll habe ich über Yast2 das paket Firewall2 installiert und die Datei firewall2.rc.config
wiefolgt angepasst:

FW_DEV_EXT="ppp0 eth0"
FW_DEV_INT="eth1"
FW_DEV_DMZ=""
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FM_DEV_EXT"
FW_MASQ_NETS="192.168.1/99"
FW_PROTECT_FROM_INTERNAL="yes"
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_TCP=""
FW_SERVICES_EXT_UDP=""
FW_SERVICES_EXT_IP=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_INT_TCP=""
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_TRUSTED_NETS="192.168.1/99
FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="dns"
FW_SERVICES_AUTODETECT="no"
FW_SERVICES_DNS="no"
FW_SERVICES_DHCLIENT="no"
FW_SERVICES_DHCPD="no"
FW_SERVCES_SQUID="no"
FW_SERVICES_SAMBA="no"
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCPET_ALL="no"
FW_KERNEL_SECRUITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"

FW_ALLOW_FW_TRACEROUTE="yes"
FW_ALLOW_FW_SOURCEQUENCH="yes"
FW_ALLOW_FW_BROADCAST="no"
FW_IGNORE_FW_BROADCAST="yes"
FW_ALLOW_CLASS_ROUTING="no"

zum Schluß noch START_FW2="yes" in die rc.config.

Nach einem reboot kam ich dann nicht mehr ins Internet :(

Die Verbindung scheint irgendwie zu stehen unter KInternet

wird mir folgendes angezeigt...

Defaultroute ok.
Gateway Adresse: 111.222.333.444
Eigene Adresse: 111.222.333.444

Allerdings wird mir bei Nameserver nichts angezeigt, also keine Adresse!
Schalte ich die Firewall2 wieder ab mit START_FW2="no" klappt alles wieder!

was ist da los das das nicht funktioniert ?

MfG n00b
 

trooperle

Newbie
Tach,
hmm du hast nicht zufällig drüber nachgedacht, Suse 9 zu verwenden? Da könnte man was leichter im eigenen system nachsehen. Aber egal.

Wichtig wäre: Verwendet Suse 7.3 iptables?
Wie kriegst Du das raus:
Starte die Firewall und dann in einer root-shell

iptables -L
wenn da nix steht oder er das kommando nicht findet, dann hast du die "alte" version, ansonsten eben iptables.

Aber zu Deiner Konfig:
Was mich wunder ist:

FW_SERVICES_DNS="no"

Ich kenn die Suse-FW nicht soo gut, aber setz das mal auf yes, evtl blockt er dadurch DNS.

Versuch alternativ mal folgende Tests
Firewall-Starten.
Ping vom Client auf deinen Router
Ping vom Cient auf z.B. www.linux-club.de
nslookup www.linux-club.de

jeweils mal in /var/log/messages ( oder eine von den anderen logs? ) nachsehen, ob da was sinngemäßes steht wie " access denied "

Aber noch was anderes:

Von wo aus geht der Zugrif nicht: Vom Router oder vom Client?

Vielleicht kommst du damit schon etwas weiter
Trooperle
 
OP
N

n00b

Newbie
Also bei iptables -L kommt was allerding nur 3 Zeilen,
es betrifft den Linux PC der kommt noch nicht mal mehr ins Inetz :(
es sieht aus als wenn alles geblockt wird!

FW_SERVICES_DNS="no" <- das bezieht sich darauf wenn auf meinem PC nen Nameserver läuft also der von aussen erreichbar sein soll,
soweit ich das weiß.

Gibt es da keine anderen möglichkeiten ?
Also so ne Art extra Firewall die nicht bei Linux so dabei ist ? Wie ZoneAlarm unter Windows :?:

MfG n00b
 
Hat 7.1 denn denn nen 2.4.x-Kernel? Denn nur da ist iptables drin...

Nachtrag: hab in der Suse-support-Datenbank gestöbert; Suchwort 7.1, alle Wörter: massig Infos auch zu Firewalls, aber 7.1 hat im Standard erstmal 2.2.18, also nix mit FW2/iptables. das nutzt noch ipchains, was ganz anders geht.

schau dich mal bei Suse um.
Grüße
 

towo

Moderator
Teammitglied
FW_DEV_EXT="ppp0 eth0"

Falsch, das muß heissen:

FW_DEV_EXT="ppp0"

FW_MASQ_NETS="192.168.1/99"

Falsch, das muß heissen:

FW_MASQ_NETS="192.168.0.0/24" oder wie Dein Netz halt aussieht!

FW_PROTECT_FROM_INTERNAL="yes"

Nein, so:

FW_PROTECT_FROM_INTERNAL="no"

FW_TRUSTED_NETS="192.168.1/99

Nein, siehe oben außerdem brauchst Du das gar nicht!

Allerdings wird mir bei Nameserver nichts angezeigt, also keine Adresse!
Schalte ich die Firewall2 wieder ab mit START_FW2="no" klappt alles wieder!

was ist da los das das nicht funktioniert ?

Was steht denn in /etc/resolv.conf?
 
OP
N

n00b

Newbie
so habe ein paar veränderungen seit gestern vorgenommen:

eth0=192.168.22.1 -> dsl modem
eth1=192.168.1.5 -> lan

FW_DEV_EXT="ppp0"
FW_MASQ_NETS="192.168.1.0/24
FW_PROTECT_FROM_INTERNAL="no"
FW_TRUSTED_NETS=""

alles andere wie oben

jetzt sieht es so aus das die clienten (2 win2k pc´s) ins internet kommen
aber der linuxpc nicht mehr es wird immer noch unter kinternt gesagt das die verbindung zum nameserver fehlgeschalgen ist.

int /etc/resolv.conf stehe die beiden nameserver

ja das ist natürlich mist so es läuft auf dem linuxpc nicht mal mehr ddclient zum updaten meines dyndns namens.

in der xconsole kommt immer was wie...

SuSE-FW-UNALLOWED-TARGETIN =ppp0 ......................

das ist der aktuelle stand
jetzt muß ich erstmal wieder zur arbeit

hoffe mir kann einer helfen :roll:

MfG n00b
 
OP
N

n00b

Newbie
weiss den hier auch keiner nen rat ?
irgendwie macht die firewall alles dicht selbst wenn ich der firewall2.rc.conf
bei..

FW_SERVICES_EXT_TCP="53"
FW_SERVICES_EXT_UDP="53"
FW_SERVICES_EXT_IP=""

FW_SERVICES_INT_TCP="53"
FW_SERVICES_INT_UDP="53"
FW_SERVICES_INT_IP=""

eintrage sind diese porst immer noch geschlossen, die firewall blockiert einfach alles was den linuxpc selbst angeht !

die clients kommen ins inet!

man das ist ja mal wieder was

plz help

MfG n00b
------------------------------

also in xconsole kommt folgendes

SuSE-FW-UNALLOWED-TARGATIN=ppp0 OUT= MAC= SRC=217.5.112.145 DST=80.130.215.206 LEN=147 TOS=0x00 PREC=0x00 TTL=57 ID=38213 PROTO=UDP SPT=53 DPT=1108 LEN=127

SuSE-FW-UNALLOWED-TARGATIN=ppp0 OUT= MAC= SRC=194.25.2.129 DST=80.130.215.206 LEN=147 TOS=0x00 PREC=0x00 TTL=111 ID=0 PROTO=UDP SPT=53 DPT=1110 LEN=127

so in der art sieht es aus und halt immer mehr untereinander

SRC=217.5.112.145 & SRC=194.25.2.129 sind meine nameserver von der telekom
DST=80.130.215.206 meine aktuelle IP
 

moenk

Administrator
Teammitglied
Für Linux als Router kann ich IPC-Cop empfehlen: http://www.linuxday.at/linuxday03/HTL%20II
 
OP
N

n00b

Newbie
mmhhh das kann doch nicht sein das das mit linux 7.3 prof. nicht funktioniert, auserdem...
sollen wenn alles läuft da auch noch sachen wie nen ftp & aj drauf laufen.

das ist doch bestimmt nur ein kleiner fehler oder so, weil die clients kommen ja ins inet!

trotzdem thx :)

MfG n00b
 

trooperle

Newbie
Die Meldung lässt darauf schliessen, das er zwar die Anfragen an die DNS-Server rauslässt, aber die Antworten nicht reindürfen.

Schau mal in der Doku zur Firewall, ob du irgendwo sagen kannst, das bestimmte Rechner ( eben die IP's der NAmeserver ) auf UDP-Port 53 auch was an deinen Rechner schicken dürfen.

Sinngemäßg müsstest du ja z.B. nen Webserver vom Internet aus erreichbar machen können, genauso sollte das mit den Nameservern gehn.

Probier aber nochmal folgendes:
Hol dir über die Clients die IP-Adresse von z.B. www.linux-club.de

dann mach von der linux-büchse nen ping auf die IP-Adresse.
Damit kannst du sehen, ob dein linux-pc gar nicht ins internet kommt, oder ob er "nur" keine dns-anfragen hinkriegt. Denn dann könntest du ins netz, müsstest aber jeweils die IP-Adressen kennen :)


Alternativ immer noch der Vorschlag: Steig auf ne neuere Linux-Version oder wenigstens auf ip-tables um, ich denke damit kennen sich mehr Leute aus. Ich kann das bei mir leider nicht nachstellen -> hab kenne niemanden, der das hat.

Trooperle
 
Oben