Hallo, zusammen!
Ich bin neu hier und vor kurzem von Windows XP auf SuSE 9.2 umgestiegen. Hat so weit gut geklappt, außer mit Netzwerkzugriffe auf Windows-Rechner. Im Forum fand ich einiges, konnte aber mein Problem nicht lösen.
Folgende Situation:
Der Linux-Rechner ist zusammen mit einigen Windows-Rechnern an einem Switch angeschlossen. Dieser ist mit einem Router verbunden (verfügt über NAT), um ins Internet zu gelangen. Auf dem Linux-Rechner läuft Samba 3.0.9. Alles funktioniert, d.h. auf die freigegebene Partition kann vom LAN aus zugegriffen werden, über "Netzwerk-Browser" auf dem Desktop oder mit konquerer erreicht man die anderen Rechner. Wenn ich die Firewall einschalte, erhalte ich beim Zugriff auf das LAN folgende Fehlermeldung: "Keine Arbeitsgruppen im lokalen Netzwerk auffindbar". Die Partition ist weiterhin erreichbar. Bei der Konfiguration mit YAST mußte ich eine externe Schnittstelle angeben. Die Ports 137-139,445 sowie "Samba" habe ich freigegeben. Alle Dienste sollen geschützt werden, sowie der Rechner vor dem internen Netzwerk (deshalb betreibe ich ja den Aufwand).
Die Konfigurationsdatei (/etc/sysconfig/SuSEfirewall2) sieht so aus:
FW_QUICKMODE="no"
FW_DEV_EXT="eth-id-**:**:**:**:**:**"
FW_DEV_INT="eth-id-**:**:**:**:**:**"
FW_DEV_DMZ=""
FW_ROUTE="no"
FW_MASQUERADE="no"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS=""
FW_PROTECT_FROM_INTERNAL="yes"
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_TCP="microsoft-ds netbios-dgm netbios-ns netbios-ssn 137:138,445"
FW_SERVICES_EXT_UDP="137:138,445"
FW_SERVICES_EXT_IP=""
FW_SERVICES_EXT_RPC=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_DMZ_RPC=""
FW_SERVICES_INT_TCP="microsoft-ds netbios-dgm netbios-ns netbios-ssn"
FW_SERVICES_INT_UDP="137:138,445"
FW_SERVICES_INT_IP=""
FW_SERVICES_INT_RPC=""
FW_SERVICES_DROP_EXT=""
FW_SERVICES_REJECT_EXT="0/0,tcp,113"
FW_SERVICES_QUICK_TCP=""
FW_SERVICES_QUICK_IP=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
FW_ALLOW_INCOMING_HIGHPORTS_UDP=""
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG_LIMIT=""
FW_LOG=""
FW_KERNEL_SECURITY="yes"
FW_ANTISPOOF="no"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_FW_TRACEROUTE="yes"
FW_ALLOW_FW_SOURCEQUENCH="yes"
FW_ALLOW_FW_BROADCAST="int"
FW_IGNORE_FW_BROADCAST="no"
FW_ALLOW_CLASS_ROUTING="no"
#FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom"
FW_CUSTOMRULES=""
FW_REJECT="no"
FW_HTB_TUNE_DEV=""
FW_IPv6=""
FW_IPv6_REJECT_OUTGOING="yes"
FW_IPSEC_TRUST="no"
Nachdem es nicht funktionierte, habe ich folgendes geändert:
FW_SERVICES_INT_TCP="microsoft-ds netbios-dgm netbios-ns netbios-ssn 137:138,445"
Folgendes wird protokolliert:
Dec 13 19:48:12 server kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.100.164 DST=192.168.100.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=1084 DPT=137 LEN=58
Dec 13 19:48:12 server kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:0a:e6:98:33:73:00:0c:6e:22:35:42:08:00 SRC=192.168.100.239 DST=192.168.100.164 LEN=90 TOS=0x00 PREC=0x00 TTL=128 ID=38098 PROTO=UDP SPT=137 DPT=1084 LEN=70
Dec 13 19:48:12 server kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.100.164 DST=192.168.100.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=1 DF PROTO=UDP SPT=1084 DPT=137 LEN=58
Dec 13 19:48:12 server kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:0a:e6:98:33:73:00:0c:6e:22:35:42:08:00 SRC=192.168.100.239 DST=192.168.100.164 LEN=90 TOS=0x00 PREC=0x00 TTL=128 ID=38099 PROTO=UDP SPT=137 DPT=1084 LEN=70
Dec 13 19:48:12 server kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.100.164 DST=192.168.100.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=2 DF PROTO=UDP SPT=1084 DPT=137 LEN=58
Offensichtlich wird UDP geblockt. Wie muß ich die Firewall konfigurieren, damit es funktioniert?
Besten Dank im voraus.
Ich bin neu hier und vor kurzem von Windows XP auf SuSE 9.2 umgestiegen. Hat so weit gut geklappt, außer mit Netzwerkzugriffe auf Windows-Rechner. Im Forum fand ich einiges, konnte aber mein Problem nicht lösen.
Folgende Situation:
Der Linux-Rechner ist zusammen mit einigen Windows-Rechnern an einem Switch angeschlossen. Dieser ist mit einem Router verbunden (verfügt über NAT), um ins Internet zu gelangen. Auf dem Linux-Rechner läuft Samba 3.0.9. Alles funktioniert, d.h. auf die freigegebene Partition kann vom LAN aus zugegriffen werden, über "Netzwerk-Browser" auf dem Desktop oder mit konquerer erreicht man die anderen Rechner. Wenn ich die Firewall einschalte, erhalte ich beim Zugriff auf das LAN folgende Fehlermeldung: "Keine Arbeitsgruppen im lokalen Netzwerk auffindbar". Die Partition ist weiterhin erreichbar. Bei der Konfiguration mit YAST mußte ich eine externe Schnittstelle angeben. Die Ports 137-139,445 sowie "Samba" habe ich freigegeben. Alle Dienste sollen geschützt werden, sowie der Rechner vor dem internen Netzwerk (deshalb betreibe ich ja den Aufwand).
Die Konfigurationsdatei (/etc/sysconfig/SuSEfirewall2) sieht so aus:
FW_QUICKMODE="no"
FW_DEV_EXT="eth-id-**:**:**:**:**:**"
FW_DEV_INT="eth-id-**:**:**:**:**:**"
FW_DEV_DMZ=""
FW_ROUTE="no"
FW_MASQUERADE="no"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS=""
FW_PROTECT_FROM_INTERNAL="yes"
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_TCP="microsoft-ds netbios-dgm netbios-ns netbios-ssn 137:138,445"
FW_SERVICES_EXT_UDP="137:138,445"
FW_SERVICES_EXT_IP=""
FW_SERVICES_EXT_RPC=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_DMZ_RPC=""
FW_SERVICES_INT_TCP="microsoft-ds netbios-dgm netbios-ns netbios-ssn"
FW_SERVICES_INT_UDP="137:138,445"
FW_SERVICES_INT_IP=""
FW_SERVICES_INT_RPC=""
FW_SERVICES_DROP_EXT=""
FW_SERVICES_REJECT_EXT="0/0,tcp,113"
FW_SERVICES_QUICK_TCP=""
FW_SERVICES_QUICK_IP=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
FW_ALLOW_INCOMING_HIGHPORTS_UDP=""
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG_LIMIT=""
FW_LOG=""
FW_KERNEL_SECURITY="yes"
FW_ANTISPOOF="no"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_FW_TRACEROUTE="yes"
FW_ALLOW_FW_SOURCEQUENCH="yes"
FW_ALLOW_FW_BROADCAST="int"
FW_IGNORE_FW_BROADCAST="no"
FW_ALLOW_CLASS_ROUTING="no"
#FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom"
FW_CUSTOMRULES=""
FW_REJECT="no"
FW_HTB_TUNE_DEV=""
FW_IPv6=""
FW_IPv6_REJECT_OUTGOING="yes"
FW_IPSEC_TRUST="no"
Nachdem es nicht funktionierte, habe ich folgendes geändert:
FW_SERVICES_INT_TCP="microsoft-ds netbios-dgm netbios-ns netbios-ssn 137:138,445"
Folgendes wird protokolliert:
Dec 13 19:48:12 server kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.100.164 DST=192.168.100.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=1084 DPT=137 LEN=58
Dec 13 19:48:12 server kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:0a:e6:98:33:73:00:0c:6e:22:35:42:08:00 SRC=192.168.100.239 DST=192.168.100.164 LEN=90 TOS=0x00 PREC=0x00 TTL=128 ID=38098 PROTO=UDP SPT=137 DPT=1084 LEN=70
Dec 13 19:48:12 server kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.100.164 DST=192.168.100.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=1 DF PROTO=UDP SPT=1084 DPT=137 LEN=58
Dec 13 19:48:12 server kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:0a:e6:98:33:73:00:0c:6e:22:35:42:08:00 SRC=192.168.100.239 DST=192.168.100.164 LEN=90 TOS=0x00 PREC=0x00 TTL=128 ID=38099 PROTO=UDP SPT=137 DPT=1084 LEN=70
Dec 13 19:48:12 server kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.100.164 DST=192.168.100.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=2 DF PROTO=UDP SPT=1084 DPT=137 LEN=58
Offensichtlich wird UDP geblockt. Wie muß ich die Firewall konfigurieren, damit es funktioniert?
Besten Dank im voraus.