susefirewall2 - zugriff einschränken / Upload bricht ein

[ewigergert]

Hallo,

ich habe einen Router (Suse 9.0) der nach langer Zeit endlich richtig gut läuft.
Das Problem ist, dass er zu gut läuft .... ich wundere mich zum Beisiel sehr, warum ich überhaupt auf diese Homepage zugreifen kann.
Ich habe die Firewall wohl falsch konfiguriert, aber ich weiss nicht weiter. Ich kann keine Freigabe für http entdecken. Auch Miranda funktioniert obwohl ich niemals Ports dafür freigeschaltet habe.

Andererseits funktioniert per FTP oder HTTP der Upload zumindest bei den Win-Clients nicht "richtig". Nach ca. 20kb hängt's, der Download funktioniert bestens.
Auch bei einem Test auf speed.bluewin.ch kam beim Upload ein Timeout.
Wenn ich jedoch über das Internet auf den Firewall-Rechner / Router mit winscp zugreife, dann habe ich den angemessenen ADSL-Upload von 16kb, auch über die "magische" 20 kb Grenze hinaus.
Ich finde das sehr verwirrend, denn eigentlich müsste die Firewall es entweder ganz oder garnicht durchlassen, aber erst nach einer bestimmten Zeit/Datenmenge zuzugreifen ist doch nicht üblich, oder?

Ich poste mal meine SuSEfirewall2 Konfiguration.

FW_QUICKMODE="no"
FW_DEV_EXT="ppp0"
FW_DEV_INT="eth0"
FW_DEV_DMZ=""
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="192.168.1.19/32 192.168.1.30/32"
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_TCP="ssh 5900:5904 27015 51234"
FW_SERVICES_EXT_UDP="8767"
FW_SERVICES_EXT_IP=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_INT_TCP=""
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_SERVICES_QUICK_TCP=""
FW_SERVICES_QUICK_UDP=""
FW_SERVICES_QUICK_IP=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"
FW_SERVICE_AUTODETECT="yes"
FW_SERVICE_DNS="no"
FW_SERVICE_DHCLIENT="no"
FW_SERVICE_DHCPD="no"
FW_SERVICE_SQUID="no"
FW_SERVICE_SAMBA="yes"
FW_FORWARD=""
FW_FORWARD_MASQ="0/0,192.168.1.19,tcp,52222"
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW"
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"


# EXPERT OPTIONS - all others please don't change these!

FW_ALLOW_FW_TRACEROUTE="yes"
FW_ALLOW_FW_SOURCEQUENCH="yes"
FW_ALLOW_FW_BROADCAST="no"
FW_IGNORE_FW_BROADCAST="yes"
FW_ALLOW_CLASS_ROUTING="no"
FW_CUSTOMRULES=""
FW_REJECT="no"
FW_HTB_TUNE_DEV=""


Viel habe ich an den Grundeinstellungen nicht verändert.
(eth0 = Lan, eth1 = internet)
Mein Ziel sollte sein:
- 2 WIN-Clients 192.168.1.19 und 192.168.1.30 sollen auf das "Internet" zugreifen können.
-Azureus darf auf den Win-Clienten laufen (52222)
-Der Firewall-Rechner/Router soll SSH, VNC, Teamspeak und die 27015 51234 Ports freigeben.

Leider finde ich keine Einstellungsmöglichkeit um den Zugriff der Clienten zu beschränken oder "richtig" einzustellen.
Ich habe auch schon überlegt, das per iptables bei der firewall-custom config, nur habe ich ein bisschen Angst damit falsch umzugehen, so dass nichts mehr läuft. Ich bin eben Anfänger.
Am liebsten wäre es mir, wenn ich das in der SuSEfirewall2 Datei konfigurieren könnte.

Gruß
ewigergert

 

[gaw]

Natürlich sagt jemand der selber Firewallskripte schreibt, es ist besser sein eigenes Skript zu schreiben, ein Beispiel für so ein Skript von mir findest du hier:
http://www.linux-club.de/viewtopic.php?t=21303
etwas tiefer auf der Seite.
Du kannst aber auch bestimmte Einstellungen an der SuSEFirewall2 vornehmen. Zunächst zu deinem Problem. Dienste aus die aus dem Lan heraus kontaktiert werden sollen, werden über
FW_MASQ_NETS freigegeben. Das ist zugegebenermaßen etwas versteckt dokumentiert und wer Probleme mit der englischen Sprache hat überliest das oft:

# Choice: leave empty or any number of hosts/networks seperated by a space.
# Every host/network may get a list of allowed services, otherwise everything
# is allowed. A target network, protocol and service is appended by a comma to
# the host/network. e.g. "10.0.0.0/8" allows the whole 10.0.0.0 network with
# unrestricted access. "10.0.1.0/24,0/0,tcp,80 10.0.1.0/24,0/0tcp,21" allows
# the 10.0.1.0 network to use www/ftp to the internet.
# "10.0.1.0/24,tcp,1024:65535 10.0.2.0/24" is OK too.
# Set this variable to "0/0" to allow unrestricted access to the internet.

so dass oft alle Zugriffe aus dem LAN auf das Internet erlaubt werden.

Am besten demonstriert ein Beispiel die Syntax:
Aus dem internen Netz 192.168.0.100/24 heraus soll der Webzugriff erlaubt werden. Zudem soll es dem Rechner192.168.0.5 erlaubt sein, seine emails über vom Mailservers des ISP (angenommen der hätte die Adrsse 80.80.80.80, diese Adresse ist natürlich willkürlich gewählt, bitte nicht benutzen!) abzuholen (pop3) . Dann sieht das so aus:

FW_MASQ_NETS=192.168.0.100/24,0,0,tcp,80 192.168.0.5,80.80.80.80,tcp,110

Jeder Eintrag wird durch ein Leerzeichen getrennt, in unseren Fall endet der erste Eintrag mit 80 gefolgt von einem Leerzeichen und dann beginnt der nächste Eintrag mit 192.168.0.5.

Zwei Anmerkungen seien noch gestattet. Die Variable FW_PROTECT_FROM_INTERNAL sollte man nur auf no setzen wenn das interne LAN absolut vertrauenswürdig ist. Selbst dann kann es aber Sinn machen diese Variable einzuschalten. Steht die Variable auf no kann ein Angreifer der sich über ein erlaubten Port Zugriff auf einen Rechner verschafft alle Dienste die auf der Firewall laufen ansprechen.

Ein yes bedeutet, das man dann die Dienste einzeln benennen muß die auf der Firewall laufen und die vom LAN kontaktiert werden sollen oder dürfen, beispielsweise DNS wenn auf der Firewall ein DNS-Server läuft, Squid und ssh.

Warum ein VNC Zugriff notwendig ist, verstehe ich nicht ganz. Mit ssh -X kannst du grafische Programme, so sie denn überhaupt notwendig sind auf der Firewall starten und die Ausgabe auf deinen Bildschirm lenken. Oder sollte der Zugriff aus dem Internet in dein LAN erfolgen? Naja oder möchtest du einfach beeindrucken, indem du die Oberfläche deines Linuxservers, der im heimatlichen Keller steht - zum Entsetzen der Lehrer - auf den Monitor des Schulrechners zaubern? Dann habe ich Verständnis dafür.



mfG
gaw

 

[ewigergert]

Hallo, gaw.

Ich habe es, wie du gesagt hast, überlesen .....
Natürlich muss ich es da einstellen !

Dein Script habe ich auch schonmal angeschaut. Doch im Moment ist mir das zu professionell, sobald ich mehr Ahnung habe werde ich darauf zurückgreifen.

Um mich zu vergewissern:
FW_MASQ_NETS=192.168.1.19/32,0,0,tcp,80 bedeutet, dass NUR mein Rechner (192.168.1.19) http benutzen kann.
Mir ist die Funktion der Zeile bis auf "/32" klar, daher warte ich auf (d)ein OK, bevor ich rumspiel'.

Das interne Netz muss ich, so hoffe ich, nicht schützen, denn da gibt es keinen der Unfug treiben will oder kann.

VNC ist nötig, weil ich doch sehr von Windows "geprägt" bin und daher brauche ich was zum Klicken, da ich bei weitem nicht alle notwendigen Befehle kenne um nur mit der Konsole (ssh) zu arbeiten. Das "ssh -X" habe ich noch nie getestet, werde es aber tun.
Leider kann ich meine Lehrer nicht mehr beeindrucken, dafür bin ich ein bisschen zu alt. :roll:

Vielen Dank für deine Bemühungen.

Gruß
ewigergert

 

[gaw]

Soweit ich weiß, reicht es aus die IP-Adresse ohne Netzwerkmaske einzugeben wenn nur ein einzelner Host gemeint ist.

Also in etwa so:
FW_MASQ_NETS=192.168.1.19,0,0,tcp,80

Das bedeutet dass nur dieser Rechner aus dem LAN heraus nur auf das Protokoll 80 im Internet zugreifen darf, vorausgesetzt die anderen Parameter stimmen.

Damit wird nichts darüber gesagt wer von außen auf die Firewall zugreifen - oder wer aus dem Netz heraus auf die Firewall zugreifen darf. FW_MASQ_NETS definiert Netzwerke, Hosts, Protokolle und Ports für den Zugriff aus dem LAN ins Internet (Im Grunde die FORWARD Chain wenn die Verbindungen aus dem LAN eingeleitet werden).

mfG
gaw

 

[ewigergert]

Es erscheint ein Fehler ohne /32, daher lass ich es mal dran.

netserver:/tmp/.X11-unix # rcSuSEfirewall2 restart
Starting Firewall Initialization (phase 2 of 3) /sbin/SuSEfirewall2: line 864: test: 192.168.1.19: integer expression expected

Aber sonst läuft's ... und ich habe es verstanden.
edit: Mist, es läuft doch noch nicht so wie ich es wollte. Das Upload Problem besteht immer noch, doch bin ich darauf nichtmehr näher eingegangen.
Wenn ich eine Datei per FTP hochlade, so hängt sie nach 17929 Byte.
Jedesmal von jedem Klienten aus.
Der oben genannte "Speedtest" auf speed.bluewin.ch schlägt auch fehl .... Timeout.
Kann das mit meiner Firewall Konfiguration überhaupt zusammenhängen?
Normalerweise blockt die Firewall entweder alles oder garnichts, zumindest bei meinen Einstellungen, denke ich.


Gruß
ewigergert

 

[gaw]

Ohne die /32 läuft er nicht? Seltsam, iptables, läuft bei der Angabe einzelner Host sehr wohl ohne Netzwerkmaske. Oder ist da ein Leerzeichen zuviel reingerutscht? Da ich seltener einzelne Rechner mit der SuSEFirewall konfiguriere und eh meistens mit iptables Skripten arbeite, mag es durchaus sein, dass mir die Notwendigkeit dieser Schreibweise entgangen ist, ich habe sie aber auch nicht nicht gesehen.

Es ist eher unwahrscheinlich das dein Rechner mitten im Up- oder Download abbricht weil eine Firewall falsch konfiguriert ist. Denn dann dürfte es gar nicht zu einem Transport kommen. Aber du kannst es einfach feststellen. Aktiviere das Masquerading von Hand und lass die Firewall unten. Dann siehst du ja was passiert.

mfG
gaw

 

[ewigergert]

Hallo,

ich habe die SuSEfirewall2 gestoppt "rcSuSEfirewall2 stop".
Danach habe ich mir die folgenden Zeilen aus deinem Script rauskopiert (hoffentlich die relevanten).
Alle Befehle wurden ausgeführt. Es ist keinekeine Fehlermeldung erschienen.
Ich kann surfen, PING funktioniert und auch Anderes.

iptables -t nat -A POSTROUTING -j MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr

iptables -A FORWARD -j ACCEPT (wohl nicht notwendig !?)

Dennoch tritt der merkwürdige Upload-Fehler, sowohl im aktiven als auch passiven Modus auf.

Aber unter den Umständen (die Firewall ist nicht verantwortlich), gehört das Problem wohl eher in eines der anderen Unter-Foren.

Danke für deine Hilfe


Gruß
ewigergert

 

[gaw]

Es ist immer wieder schön zu hören, dass mein Skript hilfreich ist.

Mm... allerdings halte ich mehr als nur 4 Zeilen für relevant.....insbesondere wenn mein Skript als Paket-Firewall arbeiten soll.


mfG
gaw

 

[ewigergert]

Ich denke auch, dass mehr als 4 Zeilen benötigt werden um eine Firewall zu bauen, die auch als eine solche arbeitet.

Aber in meinem Fall wollte ich nur testen, wie du gesagt hast, ob Das Problem mit dem Abbruch bzw. Timeout des Uploads mit der SuSEfirewall2 zusammenhängt.

Daher habe ich wie oben beschrieben diese gestoppt und daraufhin die 4 Zeilen in die Konsole eingegeben, um von meinem WINXP-Client uneingeschränkten Zugriff auf das Internet zu erhalten.

Da das Problem nicht gelöst war, ich mir aber doch nicht 100% sicher bin, ob die 4 Zeilen ausreichen, um uneingeschränkten Zugriff zu erlangen, habe ich "(hoffentlich die relevanten)" hinzugefügt.

Denn ich bin immer noch auf der Suche nach der Ursache und kann leider die Firewall nicht ganz ausschließen, da ich vom Firewall-Rechner/Router problemlos per FTP 5MB hochladen konnte, vom Client Rechner leider nicht.

Gruß
ewigergert

 

[gaw]

Ein Paketfilter arbeitet selten so, dass er nach ein paar Megabyte abbricht. Insbesondere filterst du mit den 4 Zeilen nichts, ansonsten würde ftp gar nicht erst laufen. Die Konfiguration der SuSEfirewall selbst kommt nicht als Ursache in Frage, da bei dem Umweg über iptables das Problem ebenfalls auftritt und die SuSEFirewall überhaupt nicht eingeschaltet wird,

Natürlich könnte der Fehler auch bei iptables selber liegen, aber das halte ich für weniger wahrscheinlich, eine Versionsüberpüfung und ein Vergleich mit den Sicherheitspatches auf den SuSE-Seiten könnte aber auch hier Aufschluss gebe.

Wie gesagt die Möglichkeit existiert ich halte es aber für unwahrscheinlich. Die beschriebenen Probleme mit dem Abbruch deuten eher auf Verbindungsprobleme in niederen Schichten hin.

Diese können vielerlei Ursachen haben, fehlerhafte Kabel, Stecker, Netzwerkkarten oder defekte Ports an einem Switch müssen nicht immer zum totalen Ausfall führen. Stellen wir uns vor, irgendwo werden eben nicht alle Ethernetpakete korrekt übertragen ein Teil werden bei der CRC Test von der NIC oder einem Switch verworfen. Dann bricht die FTP-Verbindung nicht grundsätzlich ab sondern eine Schicht unter FTP beginnt TCP immer wieder fehlende Segmente anzufordern.

Ähnliche Probleme können ebenfalls auftreten wenn die MTU falsch konfiguriert ist und Pakete vollgepackt mit Daten durch Pressen in andere Protokolle einige Daten Verlust erleiden.

Auch schlechte Treiber oder ein Defekt der Netzwerkkarte im Client kann eine mögliche Ursache sein. Ebenso kann es am ftp-Client auf dem Clientrechner liegen. Es gibt viele verschiedene potenzielle Fehlerquellen. Die Firewall ist nur eine unter mehreren.

Du kannst zwar Glück haben und irgendwann liest du in einem Forumsbeitrag zufällig die Lösung, du kannst aber auch Pech haben und ewig warten.

Um die Fehlerquelle zu lokalisieren solltest du in Gedenken an das Paradigma einer literarischen Gestalt in Sir Arthur Conan Doyle's Werken Ausschlußdiagnostik anwenden.

Das erste ist schon klar, die Konfiguration der SuSEfirewall verursacht offenbar nicht dein Problem.

Eine Überprüfung der Steckverbindungen, Auswechseln des Kabels ein anderer Hub oder Switchport helfen manchmal. Wenn das alles nichts bringt kannst du interne und externe Netzwerkkarte umkonfigurieren, oder einmal einen anderen Client benutzen (sowohl einen anderen Rechner als auch einen anderen Client).
Wenn das alles nichts bringt scheint es sich um ein schwierigeres Problem handeln.

Dann könntest du vielleicht ethereal während der ftp-Sitzung laufen lassen, oder die /var/log/messages auf ungewöhnliche Meldungen überprüfen.

Wenn du dabei strategisch vorgehst und nach dem üblichen Steckerpüfen Fehlerdiagnostik nicht seriell, sondern mit Hilfe einer binären Suche in einem ausbalancierten Entscheidungsbaum durchführst ersparst du dir unter Umständen viel Arbeit.

Ein Beispiel, du tauscht den Clientrechner gegen einen anderen netzwerkfähigen Computer, am besten einschließlich Netztwerkkomponenten wenn möglich. Kommt es dann immer noch zum Abbruch bleibt ist die Wahrscheinlichkeit hoch, dass es am Router liegt und du kannst die interne Netzwerkkarte testen.

Funktioniert es aber, liegt der Fehler nicht auf dem Router und du kannst dich mit dem Clientrechner, Switch, Hub oder dem alten Kabel auseinandersetzen. Hilfreiche Programme sind ping, ethereal und netstat.

mfG
gaw

 

[ewigergert]

Nicht unbedingt erfreulich, den ganzen Haufen möglicher Ursachen abzuklappern. Aber etwas anderes bleibt mir wohl nicht übrig.

Ich werde strategisch vorgehen und hoffen, dass ich am Anfang die richtige "Stelle" finde.
Komme ich zu einer Lösung werde ich sie posten.

Vielen Dank für deine Bemühungen.

Gruß
ewigergert

 

[oc2pus]

dein Problem hat evtl etwas mit timeouts zu tun. Wenn up- und downloads gleichzietig auf einer DSl-Leitung stattfinden ist der Puffer deines ISP Providers relevant.

Um das besser zu kontrollieren musst du der "bottleneck" sein und entscheiden ab wann Pakete verworfen werden und welche Dienste wieviel deiner Bandbreite maximal nutzen dürfen. Sonst kann es passieren das ein Dienst die komplette Leitung dicht macht und kein anderer mehr dran kommt .. ==> timeout

Schau dir für den Anfang den wondershaper an (ist als RPM bei SuSE dabei). Wird auch im LARTC-Howto erklärt.

Für "bessere" Shaper empfehle ich dir:
http://www.metamorpher.de/fairnat/
http://www.digriz.org.uk/jdg-qos-script/

und natürlich das Studium des Standardwerkes:
LARTC - Linux Advanced Routing and Traffic Control
http://lartc.org/howto/

und diese Mailingliste:
http://www.mail-archive.com/lartc%40mailman.ds9a.nl/

 

[ewigergert]

So,

hab' die letzten drei Tage mit Fehlersuche verbracht, leider erfolglos.
Zuerst habe ich das ganze mit dem anderen Client probiert,
daraufhin die Netzwerkkabel vom Router zum Switch und vom Router zum DSL-Modem gewechselt sowie beide Netzwerkkarten im Router.

Das DSL-Modem schließe ich aus, da es auf direktem Weg funktioniert (also Kabel vom Modem zu dem WinPC).

SUSE wurde von mir komplett aktualisiert.

Ich habe nun auch ein weiteres FTP-Prgramm getestet, aber der gleiche Fehler tritt auf.

Ich habe auch versucht die var/log/messages auszulesen.
Aber es erschien während der "Übertragung" kein neuer Eintrag.

Ich denke, dass mir ein traffic-shaping Programm nicht weiterhilft, da ich der einzige Client-PC bin (im Moment) und keine Downloads aktiv sind.

edit: File Upload über Miranda funktioniert einwandfrei !

Gruß
ewigergert

 

[gaw]

So eine Fehleranalyse kann umfangreich sein. Vielleicht liegt es auch an einer fehlerhaft eingestellten MTU. Hast du das schon mal getestet?

mfG
gaw

 

[ewigergert]

Aus Verzweiflung habe ich SUSE 9.2 runtergeladen, die Festplatte formatiert und es installiert. Ganz nach alter Windows-Manier.

Auf jeden Fall hat es auch keinen Erfolg gebracht.

Die MTU von eth0 und eth1 beträgt 1500.
Die von dsl0 (heisst es bei 9.2, nichtmehr ppp0) beträgt 1492.
Ich habe sie geändert in 1490, 1400, 1470, 1500 - auch ohne Erfolg.

edit: Übrigens kann ich auch per Mail keine Anhänge versenden, normale Nachrichten gehen. Hängt wahrscheinlich auch damit zusammen.

Gruß
ewigergert

 

[ewigergert]

Ich hab jetzt nochmal nachgeschaut und gemerkt, dass in der SUSEfirewall2 Konfiguration das Loggen nur für kritische Pakete aktiviert war.
Ich habe jetzt alles loggen lassen und das, was während der Übertragung passiert, rauskopiert.

Mir sagt das leider nichts.
Es steht kein DROP da oder Ähnliches, aber vielleicht fällt jemandem von euch eine Unstimmigkeit auf.

var/log/messages
FTP Server IP: 212.78.204.232

PS: Sogar diese kleine Text-Datei war zu groß um komplett von meinem Client-Rechner auf den FTP-Server kopiert zu werden. Ich musste sie zuerst auf den Router kopieren und von dort dann weiter.

Gruß
ewigergert

 

[gaw]

Noch einmal, es liegt nicht an den Firewalleinstellungen, wenn das was du schreibst stimmt. Du hast die Firewall angehalten, das Forwarding und Masquerading aktiviert und dein Problem blieb. So mit kann es nichts mit den Firewalleinstellungen zu tun haben und deine Logdatei zeigt auch nur an, dass Masquerading stattfindet, was auch völlig in Ordnung ist.

Du sagst von der Firewall aus kannst du ohne Probleme Daten hochladen. Wenn du auch Mail-Anhänge von der Firewall aus verschicken kannst und da das Masquerading nach dem Alles oder Nichts Prinzip arbeitet und offenbar auch funktioniert (siehe Log-Datei) liegt der Fehler vermutlich irgendwo in der Verbindung zwischen Client und Firewall.

Da dieser Fehler nur bei größeren Datenmengen aufzutreten scheint würde ich das einmal überprüfen. Zum Beispiel könntest du auf der Firewall einen ftp-Server aufsetzen und größere Datenmengen vom Client zur Firewall schaufeln.

Du musst den Fehler eingrenzen sonst stocherst du weiter im Nebel.

mfG
gaw

 

[ewigergert]

Endlich...... das Problem ist gelöst und es ist mir schon fast peinlich die Ursache zu nennen.

Es war die personal firewall (Sygate) auf den Windows-Client-Rechnern.

Eigentlich sehr banal, aber wahrscheinlich gerade deswegen habe ich nicht daran gedacht.
Natürlich werde ich diese sofort deinstallieren, da der Router eine integrierte Firewall bietet.

Doch war ich mir am Anfang nicht ganz sicher ob nicht doch irgendwelche unliebsame Zeitgenossen meine Computer befallen könnten. Aber ich werde jetzt auf die SuSEfirewall vertrauen, auch wenn die Konfiguration bei weiten nicht perfekt ist.

Vielen Danke gaw !!
Ohne deine Denkanstöße wäre ich wahrscheinlich nie darauf gekommen.

Gruß
ewigergert