• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

SuSEfirewall2 problem

XXL1

Newbie
Also ich lass ein rechner mit suse 9.3 routen und alles funtioniert bis auf die sache, dass von aussen nicht auf FREIGEGEBENE Ports wie z.b 80 ,mein apache server nicht zugegriffen werden kann. Dieses Problem besteht bei allen server programmen die ich laufen lasse d.h Game-,Voice-,Mail-Server.
Bitte um Hilfe. Danke schonmal für die hoffentlich zahlreichen posts!
 
OP
X

XXL1

Newbie
Das is mein Config:

Code:
FW_DEV_EXT="dsl0"
FW_DEV_INT="eth-id-00:c1:26:0f:f8:d1"
FW_DEV_DMZ="eth-id-00:e0:7d:92:8e:84"
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INT="no"
FW_SERVICES_EXT_TCP="80 domain https pop3 pop3s smtp"
FW_SERVICES_EXT_UDP="bootpc bootps domain ipsec-nat-t isakmp"
FW_SERVICES_EXT_IP="esp"
FW_SERVICES_EXT_RPC=""
FW_SERVICES_DMZ_TCP="5801 5901 80 domain https imap imaps ipp ldap ldaps microsoft-ds netbios-dgm netbios-ns netbios-ssn pop3 pop3s rsync smtp ssh"
FW_SERVICES_DMZ_UDP="bootpc bootps domain ipp ipsec-nat-t isakmp netbios-ns ntp tftp"
FW_SERVICES_DMZ_IP="esp"
FW_SERVICES_DMZ_RPC="fypxfrd mountd nfs nfs_acl nlockmgr portmap status ypbind yppasswdd ypserv"
FW_SERVICES_INT_TCP="80 domain microsoft-ds netbios-dgm netbios-ns netbios-ssn smtp"
FW_SERVICES_INT_UDP="domain netbios-ns"
FW_SERVICES_INT_IP=""
FW_SERVICES_INT_RPC="mountd nfs nfs_acl nlockmgr portmap status"
FW_SERVICES_DROP_EXT=""
FW_SERVICES_REJECT_EXT="0/0,tcp,113"
FW_SERVICES_ACCEPT_EXT=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
FW_ALLOW_INCOMING_HIGHPORTS_UDP=""
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG_LIMIT=""
FW_LOG=""
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_FW_SOURCEQUENCH=""
FW_ALLOW_FW_BROADCAST_INT="netbios-ns"
FW_IGNORE_FW_BROADCAST_EXT="no"
FW_IGNORE_FW_BROADCAST_INT="no"
FW_IGNORE_FW_BROADCAST_DMZ="no"
FW_ALLOW_CLASS_ROUTING=""
FW_CUSTOMRULES=""
FW_REJECT=""
FW_HTB_TUNE_DEV=""
FW_IPv6=""
FW_IPv6_REJECT_OUTGOING=""
FW_IPSEC_TRUST="no"
FW_ZONES=""

Hoffe das hilft schonmal weiter! Danke für die schnelle Antwort :)
 

Martin Breidenbach

Ultimate Guru
Hmm.... der Konfiguration nach hast Dein Linux-Router drei Netzwrekkarten und Du hast eine DMZ. Laufen die Dienste jetzt auf einem Rechner in der DMZ oder auf der Firewall ?
 
OP
X

XXL1

Newbie
FW_DEV_DMZ="eth-id-00:e0:7d:92:8e:84" <-- daran ist dsl0 angeschlossen. Es existiert sozusagen kein dmz netz. und ja die dienste laufen in der dmz, ebendalls auf der firewall!
 

Martin Breidenbach

Ultimate Guru
XXL1 schrieb:
FW_DEV_DMZ="eth-id-00:e0:7d:92:8e:84" <-- daran ist dsl0 angeschlossen. Es existiert sozusagen kein dmz netz. und ja die dienste laufen in der dmz, ebendalls auf der firewall!

Das ist m.E. so nicht korrekt. Bei der Konfiguration hast Du ganz einfach keine DMZ. Dienste die auf dem Firewall-Rechner laufen laufen auf dem Firewall-Rechner und nicht in einer DMZ.
 
OP
X

XXL1

Newbie
Da geb ich dir gerne recht das *eigentlich* kein dmz netzwerk vorhanden ist . Sozusagen nur auf dem lokalen Adressbereich der Karte. und dort sind die Dienste zugegebenermaßen überflüssigerweise nochmal freigegeben. Dies ist aber nicht weiter wichtig, ob das Netzwerk nun existiert oder nicht! trotzdem sry wenn ich mich unklar ausgedrückt habe. Hoffe das noch weitere Vorschläge folgen werden. Danke für die Bemühungen bis zu diesem Punkt!
 

Martin Breidenbach

Ultimate Guru
Also, fassen wir mal zusammen:

- Du hast keine DMZ.

- Du hast in der SuSEFirewall2 Dienste für eine DMZ konfiguriert.

- Dienste lassen sich nicht von außen ansprechen.

- Wir wissen nicht warum

Mein Ansatz wäre erst mal die offensichtlichen Fehler aus dem Firewallskript rauszumachen und dann weiterzusuchen. Das muß nicht zur Lösung führen aber schaden kann's doch auch nicht.

Aber Du kannst das gerne machen wie Du willst, ist ein freies Land :D
 
OP
X

XXL1

Newbie
ich sehe zwar nicht wie ich die karte sonst konfigurieren soll aber hilf mir mal weiter und sag mir die offensichtichen fehler etwas genauer. Ich kann die karte die an dsl0 angeschlossen ist als dmz oder intern konfigurieren was rätst du mir.....

Danke weiterhin auch wen ndu etwas aggresiv reagierst :)
 
OP
X

XXL1

Newbie
musste die karte nur als intern konfigurieren dann gehts, aber kann das nicht sicherheitslücken nach sich ziehen?
 

framp

Moderator
Teammitglied
XXL1 schrieb:
musste die karte nur als intern konfigurieren dann gehts, aber kann das nicht sicherheitslücken nach sich ziehen?
Wenn Du Deine dsl Karte als interne Karte definierst ist es so als haettest Du keinen FW zwischen dem Internet und Deinem internet Netz :!:
Das solltest Du schnellstens wieder aendern :!:
 
OP
X

XXL1

Newbie
naja die karte is als intern der anschluss sprich dsl0 ist extern konfiguriert! aber danke für hinweis!
 

framp

Moderator
Teammitglied
Dann habe ich Dich missverstanden. :roll:
Bei mir ist
FW_DEV_EXT="dsl0 nic1 nic2 nic3"
und
FW_DEV_INT="nic0"
wobei nic1 das dsl nic ist, nic2 der WLAN AP & nic3 lan-party nic.

Zugegebenermassen ist mir nicht so ganz klar wo der Unterschied zwischen dem dsl Anschluss und dem dsl nic ist. Ich finde es jedenfalls schluessiger beides extern zu haben.

Anyhow wuerde ich den ganzen sinnlosen DMZ Kram beseitigen. Eine FW sollte uebersichtlich sein und das ist sie nicht wenn man eine DMZ benutzt die keine ist.
 

starter

Newbie
hab da auch grad noch ne frage zu...

stellt sich bei euch die interne NIC nicht nach nem reboot wieder auf extern? Das ist ganz schöne nervig, denn dann geht ja ssh usw nicht mehr und ich kann erstmal en monitor und tastatur ranschaffen. Wie bekomme ich das hin, dass sich das der kerl nach nem neustart merkt?
 
Oben