Martin Breidenbach
Ultimate Guru
Auf der Konsole eintippen...
-
Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.
SUSE Linux 9.3 SuseFirewall eMail bzw.Port-Problem
- Ersteller susenewcomer
- Erstellt am
OP
susenewcomer
Newbie
bin ich da richtig? Da siehts aber anders aus:
> dirs
/usr/sbin
> iptables -L -vn
Chain INPUT (policy ACCEPT 85644 packets, 30M bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 105K packets, 43M bytes)
pkts bytes target prot opt in out source destination
> dirs
/usr/sbin
> iptables -L -vn
Chain INPUT (policy ACCEPT 85644 packets, 30M bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 105K packets, 43M bytes)
pkts bytes target prot opt in out source destination
OP
susenewcomer
Newbie
ich hab mal bei
susefirewall2 > Masquerading >
Computers/networks allowed to access the internet directly
die IP meines Win2000-Servers, wo David drauf läuft, eingetragen, dann geht der Mail-Verkehr einwandfrei
Ist das ein Hinweis auf den Fehler?
Ist jetzt der Server komplett nach aussen offen? Was tun?
susefirewall2 > Masquerading >
Computers/networks allowed to access the internet directly
die IP meines Win2000-Servers, wo David drauf läuft, eingetragen, dann geht der Mail-Verkehr einwandfrei
Ist das ein Hinweis auf den Fehler?
Ist jetzt der Server komplett nach aussen offen? Was tun?
OP
susenewcomer
Newbie
Jetzt hab ich die IP wieder rausgenommen und wie vorher 0/0 rein
also: FW_MASQ_NETS="0/0"
und es funktioniert der Mail-Verkehr immer noch.
Hat dafür jemand ne Erklärung?
Ach ja, ins Internet gehts jetzt auch wieder ohne Proxy (???)
also: FW_MASQ_NETS="0/0"
und es funktioniert der Mail-Verkehr immer noch.
Hat dafür jemand ne Erklärung?
Ach ja, ins Internet gehts jetzt auch wieder ohne Proxy (???)
Martin Breidenbach
Ultimate Guru
Wenn Du in der SuSEFirewall2 etwas geändert hast... hast Du Änderungen mit Yast oder einem Editor vorgenommen ? Falls letzteres... welche Schritte hast Du dann unternommen damit das System davon auch was mitbekommt ?
OP
susenewcomer
Newbie
ich hatte das alles mit YAST gwemacht
Martin Breidenbach
Ultimate Guru
OK dann werden nach Änderungen diese auch übernommen 
Was ist denn jetzt eigentlich der Unterschied zu vorher ?
Was ist denn jetzt eigentlich der Unterschied zu vorher ?
Ja, 0/0 heisst Dein gesamtes internes Netz darf per Masquerading ins Internet. Alternativ kannst Du da auch 10.102.198.2/255.0.0.0 eingeben (zweiter Parameter haengt von Deiner lokalen Netzmaske ab und kann anders sein) Dann kann nur Dein David direkt ins Netz.susenewcomer schrieb:
Bist Du sicher dass iptables -L -vn keine Ausgabe auf dem 9.3 gibt? Das heisst eigentlich dass auf dem Suse 9.3 keine FW aktiv ist :roll:
OP
susenewcomer
Newbie
Erst mal vielen Dank für Eure Hilfe - bin heilfroh dass wir wieder vernünftig arbeiten können!
Der Unterschied zu vorher - den ich bis jetzt erkennen kann - ist
statt FW_MASQ_DEV="" jetzt FW_MASQ_DEV="$FW_DEV_EXT"
Ausserdem, wenn ich jetzt nochmal die Iptables mit
iptables -L -vn checke (nach der beschriebenen Änderung von FW_MASQ_NETS="0/0" ), erhalte ich jede Menge Ausgaben. Ich poste das mal komplett, weil ich nicht weiss was ich weglassen kann (sorry - ist ewig lang):
> iptables -L -vn
Chain INPUT (policy DROP 9 packets, 882 bytes)
pkts bytes target prot opt in out source destination
1577 252K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
16451 13M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 input_int all -- * * 0.0.0.0/0 0.0.0.0/0 policy match dir in pol ipsec proto 50
486 39958 input_int all -- eth1 * 0.0.0.0/0 0.0.0.0/0
325 47585 input_ext all -- dsl0 * 0.0.0.0/0 0.0.0.0/0
5 540 input_ext all -- eth2 * 0.0.0.0/0 0.0.0.0/0
27 5907 input_dmz all -- eth0 * 0.0.0.0/0 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-IN-ILL-TARGET '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
122 5852 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
0 0 forward_int all -- * * 0.0.0.0/0 0.0.0.0/0 policy match dir in pol ipsec proto 50
1105 173K forward_int all -- eth1 * 0.0.0.0/0 0.0.0.0/0
1526 1501K forward_ext all -- dsl0 * 0.0.0.0/0 0.0.0.0/0
0 0 forward_ext all -- eth2 * 0.0.0.0/0 0.0.0.0/0
0 0 forward_dmz all -- eth0 * 0.0.0.0/0 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWD-ILL-ROUTING '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 9 packets, 882 bytes)
pkts bytes target prot opt in out source destination
1577 252K ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
18582 13M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-OUT-ERROR '
Chain forward_dmz (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- * dsl0 0.0.0.0/0 0.0.0.0/0 state NEW icmp type 8
0 0 ACCEPT icmp -- * eth2 0.0.0.0/0 0.0.0.0/0 state NEW icmp type 8
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED icmp type 0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 12
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 14
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 18
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3 code 2
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 5
0 0 LOG all -- * * 10.102.198.64/27 10.102.198.0/27 limit: avg 3/min burst 5 state NEW LOG flags 6 level 4 prefix `SFW2-FWDdmz-ACC-FORW '
0 0 ACCEPT all -- * * 10.102.198.64/27 10.102.198.0/27 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT all -- * * 10.102.198.0/27 10.102.198.64/27 state RELATED,ESTABLISHED
0 0 ACCEPT all -- * dsl0 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT all -- dsl0 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-FWDdmz-DROP-DEFLT '
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDdmz-DROP-DEFLT '
0 0 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDdmz-DROP-DEFLT '
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-FWDdmz-DROP-DEFLT-INV '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain forward_ext (2 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED icmp type 0
0 0 ACCEPT icmp -- * eth0 0.0.0.0/0 0.0.0.0/0 state NEW icmp type 8
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 12
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 14
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 18
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3 code 2
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 5
0 0 LOG all -- * * 10.102.198.64/27 10.102.198.0/27 limit: avg 3/min burst 5 state NEW LOG flags 6 level 4 prefix `SFW2-FWDext-ACC-FORW '
0 0 ACCEPT all -- * * 10.102.198.64/27 10.102.198.0/27 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT all -- * * 10.102.198.0/27 10.102.198.64/27 state RELATED,ESTABLISHED
0 0 ACCEPT all -- * dsl0 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
1526 1501K ACCEPT all -- dsl0 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT '
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT '
0 0 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT '
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT-INV '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain forward_int (2 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- * dsl0 0.0.0.0/0 0.0.0.0/0 state NEW icmp type 8
0 0 ACCEPT icmp -- * eth2 0.0.0.0/0 0.0.0.0/0 state NEW icmp type 8
0 0 ACCEPT icmp -- * eth0 0.0.0.0/0 0.0.0.0/0 state NEW icmp type 8
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 12
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 14
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 18
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3 code 2
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 5
0 0 LOG all -- * * 10.102.198.64/27 10.102.198.0/27 limit: avg 3/min burst 5 state NEW LOG flags 6 level 4 prefix `SFW2-FWDint-ACC-FORW '
0 0 ACCEPT all -- * * 10.102.198.64/27 10.102.198.0/27 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT all -- * * 10.102.198.0/27 10.102.198.64/27 state RELATED,ESTABLISHED
1102 173K ACCEPT all -- * dsl0 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT all -- dsl0 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT '
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT '
0 0 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT '
3 156 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT-INV '
3 156 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain input_dmz (1 references)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = broadcast
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 4
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 12
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 14
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 18
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3 code 2
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 5
0 0 LOG all -- * * 10.102.198.64/27 0.0.0.0/0 limit: avg 3/min burst 5 state NEW LOG flags 6 level 4 prefix `SFW2-INdmz-ACC-TRUST '
0 0 ACCEPT all -- * * 10.102.198.64/27 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpts:1024:65535 flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INdmz-ACC-HiTCP '
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1024:65535
5 550 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 state NEW udp dpts:1024:65535 LOG flags 6 level 4 prefix `SFW2-INdmz-ACC-HiUDP '
5 550 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpts:1024:65535
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INdmz-DROP-DEFLT '
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INdmz-DROP-DEFLT '
22 5357 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INdmz-DROP-DEFLT '
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-INdmz-DROP-DEFLT-INV '
22 5357 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain input_ext (2 references)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = broadcast
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 4
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 12
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 14
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 18
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3 code 2
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 5
0 0 LOG all -- * * 10.102.198.64/27 0.0.0.0/0 limit: avg 3/min burst 5 state NEW LOG flags 6 level 4 prefix `SFW2-INext-ACC-TRUST '
0 0 ACCEPT all -- * * 10.102.198.64/27 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT 47 -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT esp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:10000 flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10000
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:1723 flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723
1 48 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:80 flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
2 96 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:443 flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:22 flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
109 5576 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:445 state NEW
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:4662 state NEW
0 0 reject_func tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 state NEW
6 336 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpts:1024:65535 flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-HiTCP '
6 336 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1024:65535
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:177
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:4500
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:500
79 35499 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 state NEW udp dpts:1024:65535 LOG flags 6 level 4 prefix `SFW2-INext-ACC-HiUDP '
79 35499 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpts:1024:65535
127 6236 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
1 56 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
1 78 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
1 56 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT-INV '
134 6618 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain input_int (2 references)
pkts bytes target prot opt in out source destination
486 39958 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain reject_func (1 references)
pkts bytes target prot opt in out source destination
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset
0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-proto-unreachable
Ist das so ok und die Firewall wirksam?
Der Unterschied zu vorher - den ich bis jetzt erkennen kann - ist
statt FW_MASQ_DEV="" jetzt FW_MASQ_DEV="$FW_DEV_EXT"
Ausserdem, wenn ich jetzt nochmal die Iptables mit
iptables -L -vn checke (nach der beschriebenen Änderung von FW_MASQ_NETS="0/0" ), erhalte ich jede Menge Ausgaben. Ich poste das mal komplett, weil ich nicht weiss was ich weglassen kann (sorry - ist ewig lang):
> iptables -L -vn
Chain INPUT (policy DROP 9 packets, 882 bytes)
pkts bytes target prot opt in out source destination
1577 252K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
16451 13M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 input_int all -- * * 0.0.0.0/0 0.0.0.0/0 policy match dir in pol ipsec proto 50
486 39958 input_int all -- eth1 * 0.0.0.0/0 0.0.0.0/0
325 47585 input_ext all -- dsl0 * 0.0.0.0/0 0.0.0.0/0
5 540 input_ext all -- eth2 * 0.0.0.0/0 0.0.0.0/0
27 5907 input_dmz all -- eth0 * 0.0.0.0/0 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-IN-ILL-TARGET '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
122 5852 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
0 0 forward_int all -- * * 0.0.0.0/0 0.0.0.0/0 policy match dir in pol ipsec proto 50
1105 173K forward_int all -- eth1 * 0.0.0.0/0 0.0.0.0/0
1526 1501K forward_ext all -- dsl0 * 0.0.0.0/0 0.0.0.0/0
0 0 forward_ext all -- eth2 * 0.0.0.0/0 0.0.0.0/0
0 0 forward_dmz all -- eth0 * 0.0.0.0/0 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWD-ILL-ROUTING '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 9 packets, 882 bytes)
pkts bytes target prot opt in out source destination
1577 252K ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
18582 13M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-OUT-ERROR '
Chain forward_dmz (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- * dsl0 0.0.0.0/0 0.0.0.0/0 state NEW icmp type 8
0 0 ACCEPT icmp -- * eth2 0.0.0.0/0 0.0.0.0/0 state NEW icmp type 8
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED icmp type 0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 12
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 14
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 18
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3 code 2
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 5
0 0 LOG all -- * * 10.102.198.64/27 10.102.198.0/27 limit: avg 3/min burst 5 state NEW LOG flags 6 level 4 prefix `SFW2-FWDdmz-ACC-FORW '
0 0 ACCEPT all -- * * 10.102.198.64/27 10.102.198.0/27 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT all -- * * 10.102.198.0/27 10.102.198.64/27 state RELATED,ESTABLISHED
0 0 ACCEPT all -- * dsl0 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT all -- dsl0 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-FWDdmz-DROP-DEFLT '
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDdmz-DROP-DEFLT '
0 0 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDdmz-DROP-DEFLT '
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-FWDdmz-DROP-DEFLT-INV '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain forward_ext (2 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED icmp type 0
0 0 ACCEPT icmp -- * eth0 0.0.0.0/0 0.0.0.0/0 state NEW icmp type 8
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 12
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 14
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 18
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3 code 2
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 5
0 0 LOG all -- * * 10.102.198.64/27 10.102.198.0/27 limit: avg 3/min burst 5 state NEW LOG flags 6 level 4 prefix `SFW2-FWDext-ACC-FORW '
0 0 ACCEPT all -- * * 10.102.198.64/27 10.102.198.0/27 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT all -- * * 10.102.198.0/27 10.102.198.64/27 state RELATED,ESTABLISHED
0 0 ACCEPT all -- * dsl0 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
1526 1501K ACCEPT all -- dsl0 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT '
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT '
0 0 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT '
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT-INV '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain forward_int (2 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- * dsl0 0.0.0.0/0 0.0.0.0/0 state NEW icmp type 8
0 0 ACCEPT icmp -- * eth2 0.0.0.0/0 0.0.0.0/0 state NEW icmp type 8
0 0 ACCEPT icmp -- * eth0 0.0.0.0/0 0.0.0.0/0 state NEW icmp type 8
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 12
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 14
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 18
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3 code 2
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 5
0 0 LOG all -- * * 10.102.198.64/27 10.102.198.0/27 limit: avg 3/min burst 5 state NEW LOG flags 6 level 4 prefix `SFW2-FWDint-ACC-FORW '
0 0 ACCEPT all -- * * 10.102.198.64/27 10.102.198.0/27 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT all -- * * 10.102.198.0/27 10.102.198.64/27 state RELATED,ESTABLISHED
1102 173K ACCEPT all -- * dsl0 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT all -- dsl0 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT '
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT '
0 0 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT '
3 156 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT-INV '
3 156 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain input_dmz (1 references)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = broadcast
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 4
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 12
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 14
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 18
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3 code 2
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 5
0 0 LOG all -- * * 10.102.198.64/27 0.0.0.0/0 limit: avg 3/min burst 5 state NEW LOG flags 6 level 4 prefix `SFW2-INdmz-ACC-TRUST '
0 0 ACCEPT all -- * * 10.102.198.64/27 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpts:1024:65535 flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INdmz-ACC-HiTCP '
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1024:65535
5 550 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 state NEW udp dpts:1024:65535 LOG flags 6 level 4 prefix `SFW2-INdmz-ACC-HiUDP '
5 550 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpts:1024:65535
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INdmz-DROP-DEFLT '
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INdmz-DROP-DEFLT '
22 5357 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INdmz-DROP-DEFLT '
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-INdmz-DROP-DEFLT-INV '
22 5357 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain input_ext (2 references)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = broadcast
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 4
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 12
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 14
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 18
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3 code 2
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 5
0 0 LOG all -- * * 10.102.198.64/27 0.0.0.0/0 limit: avg 3/min burst 5 state NEW LOG flags 6 level 4 prefix `SFW2-INext-ACC-TRUST '
0 0 ACCEPT all -- * * 10.102.198.64/27 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT 47 -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT esp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:10000 flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10000
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:1723 flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723
1 48 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:80 flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
2 96 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:443 flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:22 flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
109 5576 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:445 state NEW
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:4662 state NEW
0 0 reject_func tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 state NEW
6 336 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpts:1024:65535 flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-HiTCP '
6 336 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1024:65535
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:177
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:4500
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:500
79 35499 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 state NEW udp dpts:1024:65535 LOG flags 6 level 4 prefix `SFW2-INext-ACC-HiUDP '
79 35499 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpts:1024:65535
127 6236 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
1 56 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
1 78 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
1 56 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT-INV '
134 6618 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain input_int (2 references)
pkts bytes target prot opt in out source destination
486 39958 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain reject_func (1 references)
pkts bytes target prot opt in out source destination
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset
0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-proto-unreachable
Ist das so ok und die Firewall wirksam?
Ziemlich viel Holz :roll:
Also: Die FW ist aktiv und blocked. Allerdings verstehe ich nicht ganz, warum so viele Ports auf der FW von aussen frei sind. Port 22 ok, aber warum 443, 80, 1723, 10000 ...? Ich dachte die Server liegen in der DMZ. Dann duerfen die nur bei den forwardings rules auftauchen. Dort sind aber wieder nur die HighPorts freigeschaltet.
zeigt, dass Du ein Subnetz hast das direkt ins Internet kommt. Es sollte also wieder alles gehen wie vorher.
Der Aufbau der Rules macht fuer mich keinen Sinn. So wie es aussieht ist Dein InternetServer die FW, nicht irgendwelche Rechner in der DMZ. Ist das beabsichtigt?
Ausserdem wuerde ich nicht Dein gesamtes internes Netz per forwarding ins Internet lassen sondern nur diejenigen, die es benoetigen. Der Rest sollte aus Sicherheitsgruenden ueber einen socks oder Proxy gehen.
Also: Die FW ist aktiv und blocked. Allerdings verstehe ich nicht ganz, warum so viele Ports auf der FW von aussen frei sind. Port 22 ok, aber warum 443, 80, 1723, 10000 ...? Ich dachte die Server liegen in der DMZ. Dann duerfen die nur bei den forwardings rules auftauchen. Dort sind aber wieder nur die HighPorts freigeschaltet.
Code:
0 0 ACCEPT all -- * * 10.102.198.64/27 10.102.198.0/27 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT all -- * * 10.102.198.0/27 10.102.198.64/27 state RELATED,ESTABLISHEDDer Aufbau der Rules macht fuer mich keinen Sinn. So wie es aussieht ist Dein InternetServer die FW, nicht irgendwelche Rechner in der DMZ. Ist das beabsichtigt?
Ausserdem wuerde ich nicht Dein gesamtes internes Netz per forwarding ins Internet lassen sondern nur diejenigen, die es benoetigen. Der Rest sollte aus Sicherheitsgruenden ueber einen socks oder Proxy gehen.
OP
susenewcomer
Newbie
Ich hab das damals nicht eingerichtet (war Kollege der sich auskennt!?)
Wieso 443 + 80 frei sind, weiss ich nicht - wozu sind die?
1723 soll für die VPN/IPsec sein, die für mein Notebook zum externen Zugriff aufs Firmennetz übers Internet eingerichtet werden sollte (und da fing der Schlamassel vermutlich an)
10000 hatte er für die Fernadmin der Firewall (nehm ich wieder raus)
Der Rechner um den es hier geht, ist der Internet-Server, läuft unter Suse 9.3 und ist gleichzeitig Firewall (susefirewall2) und steht in der externen Zone.
Also sollte ich nur den Win2000-Server aus der internen Zone mit FW_MASQ_NETS="102.198.2/255.0.0.0" direkt ins Internet lassen, die anderen Clients über die Firewall (10.102.198.1), die gleichzeitig Proxy ist. Dazu muss ich dann die 10.102.198.1 als Gateway eintragen.
Hab ich das so richtig verstanden?
Die IPs von .1 bis .33 sind meine internen, die über .64 fürs Notebook/VPN gedacht, .34 ist der ISDN-Router in der DMZ
Wieso 443 + 80 frei sind, weiss ich nicht - wozu sind die?
1723 soll für die VPN/IPsec sein, die für mein Notebook zum externen Zugriff aufs Firmennetz übers Internet eingerichtet werden sollte (und da fing der Schlamassel vermutlich an)
10000 hatte er für die Fernadmin der Firewall (nehm ich wieder raus)
Der Rechner um den es hier geht, ist der Internet-Server, läuft unter Suse 9.3 und ist gleichzeitig Firewall (susefirewall2) und steht in der externen Zone.
Also sollte ich nur den Win2000-Server aus der internen Zone mit FW_MASQ_NETS="102.198.2/255.0.0.0" direkt ins Internet lassen, die anderen Clients über die Firewall (10.102.198.1), die gleichzeitig Proxy ist. Dazu muss ich dann die 10.102.198.1 als Gateway eintragen.
Hab ich das so richtig verstanden?
Die IPs von .1 bis .33 sind meine internen, die über .64 fürs Notebook/VPN gedacht, .34 ist der ISDN-Router in der DMZ
Hast Du einen Webserver auf dem Server? Das sind die 2 Ports http und https.susenewcomer schrieb:
Was verstehst Du unter Internet-Server? Hast Du da Programme laufen, die fuer das Internet Services anbieten? So wie ich Dich verstehe nicht.
Was ist mit der DMZ? Hast Du eine? So wie ich Dich verstehe nein. Was haengt an eth0?
Ja, wuerde ich machen. Ausserdem muessen Deine Surfer aber auch die Proxyadresse in ihren Browsern eintragen. Wenn Du allerdings Internetspiele hast wirst Du nicht umhinkommen doch direktes Forwarding zu erlauben.
Irgendwie habe ich das Gefuehl da sind Leichendefinitionen :roll: in der FW. Die solltest Du rausnehmen.
OP
susenewcomer
Newbie
Nicht bewusst, hat wohl der Kollege eingerichtet, wird auch nicht genutzt > also kann ich beides entfernen.
Hab mich falsch ausgedrückt. Hab keine solchen Progs.
Soll heissen: Der Rechner ist die Verbindung ins Internet.
So wie ich das in der Firewall-Config. sehe, hab ich eine DMZ, in der ist eth0. Hier hängt der ISDN-Router dran. Über den gehen wir im Firmennetz durch den Aufruf bestimmter IPs über eine kostenpflichtige Wählverbindung in einen geschützten Händlerbereich und Bestellsystem
Wie find ich die? In Webmin müsste das doch alles unter Susefirewall2 zu finden sein, oder?
So wie ich das in der Firewall-Config. sehe, hab ich eine DMZ, in der ist eth0. Hier hängt der ISDN-Router dran. Über den gehen wir im Firmennetz durch den Aufruf bestimmter IPs über eine kostenpflichtige Wählverbindung in einen geschützten Händlerbereich und Bestellsystem
[/quote]
Eine DMZ wird normalerweise fuer Rechner benutzt die InternetServices anbieten. Dass man dadurch in ein anderes Netz von lokal geht hoert sich fuer mich ziemlich merkwuerdig an ... Wird das Netz xvon Dir ueber das Internet fuer andere geroutet?
Ich denke Dein Kollege weiss (hoffentlich
) am besten wie Deine Topologie aussieht und sollte Dir Deine Rules entsprechend aendern. Das wird die einfachste Loesung sein.
OP
susenewcomer
Newbie
Nein, ist nicht der Fall.
Den gibt es bei uns leider nicht mehr, deshalb musste ich Euch bemühen.
Vielen Dank noch mal für die Unterstützung.
Jetzt funktionierts ja erstmal wieder, irgendwie werd ich den Rest (auch ohne ausreichendes Linux-Wissen ) schon noch hinbiegen.
Wenn Du Dir die Muehe machst Deine Topologie hier detailiert zu beschreiben kriegen wir das schon hin. Das wird aber etwas dauern 8) bis alle Unklarheiten beseitigt sind.susenewcomer schrieb:Vielen Dank noch mal für die Unterstützung.
OP
susenewcomer
Newbie
Hi Framp,
Klasse !
Ich geb mir Mühe und versuchs mal:-- Cat5-Netzwerk mit 1 Switch 100Mbit
-- Windows 2000 Server - hier laufen die gemeinsam genutzten Progs
-- ca. 8 Workstations, überwiegend mit Win XP Prof.
-- PC AMD 1600 mit Suse 9.3 Linux, mit einer Netzwerkschnittstelle 10/100 onBoard und 2 Netzwerkkarten 10/100
-- 1 Notebook - mit dem möchte ich von unterwegs über Internet (oder notfalls Modem) auf den Win2000-Server zugreifen (hier wurde bereits versucht eine VPN einzurichten. Die funktionierte aber anscheinend nur bis aus den Linux-Rechner, den WIN2000-Server konnte ich aber nicht erreichen).
Der Linux-Rechner ist wie folgt angeschlossen:
eth2 - Netzwerk onBoard - Ext-Zone - steckt am DSL-Modem
eth1 - Netzwerkkarte - Int-Zone - steckt am Switch (hier sind die Clients dran)
eth0 - Netzwerkkarte - DMZ-Zone - steckt am ISDN-Router
Der ISDN-Router ist die Verbindung zu einem "geschützten" Herstellernetz/Bestellsystem. Der Router darf nur ansprechen, wenn die entsprechende Website bzw. IP angesprochen wird, da hier immer eine kostenpflichtige ISDN-Verbindung aufgebaut wird. (Das funktioniert auch problemlos).
Was hab ich alles Wichtiges vergessen?
OP
susenewcomer
Newbie
:? meinst Du oben den Bútton neben Profil? Da steht:
Du hast keine neuen Nachrichten
Du hast keine neuen Nachrichten