nach Firewall start kein Ping nach draußen
nach Firewall start kein Ping nach draußen
hallo,
nach langem Kampf habeich meine Susefirewall mit suse 9.3 gestartet. Als Ausnahmen sind ssh,httpd,pop3 und smtp definiert. Klappt auch alles ganz gut. Aber nachdem ich die FW gestartet habe, habe ich kein Zugang mehr nach draußen, also "ping domain" oder " ping IP" geht nicht mehr. Wer kann helfen, danke.
Übrigens: Das Susefirewallscript ist im Originalzustand, außer den entsprechenden Diensten, die wurden angepasst. Das Einloggen über ssh funktioniert, ebenso das Abrufen von empfanen Mails über meinen mail Client.
Wer kann helfen, danke.
nach langem Kampf habeich meine Susefirewall mit suse 9.3 gestartet. Als Ausnahmen sind ssh,httpd,pop3 und smtp definiert. Klappt auch alles ganz gut. Aber nachdem ich die FW gestartet habe, habe ich kein Zugang mehr nach draußen, also "ping domain" oder " ping IP" geht nicht mehr. Wer kann helfen, danke.
Übrigens: Das Susefirewallscript ist im Originalzustand, außer den entsprechenden Diensten, die wurden angepasst. Das Einloggen über ssh funktioniert, ebenso das Abrufen von empfanen Mails über meinen mail Client.
Wer kann helfen, danke.
Wie's aussieht, werden ICMP-Pakete gefiltert. Die anderen Rechner sollten dennoch erreichbar sein. Versuche, eine TCP-Anfrage zu stellen, diese sollte beantwortet werden (z.b. mit nmap:).
Wenn du willst, dass du Pingen kannst, dann darf ICMP nicht gefiltert werden.
Code: Select all
nmap -P0 -p '80' [IP]
vielen Dank. Das ist die Antwort:
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-10-12 17:23 CEST
Interesting ports on XXX:
PORT STATE SERVICE
80/tcp open http
Allerdings ist ja nicht das problem, daß ich den Firewall-Rechner nicht anpingen kann, sondern ich kann nicht mehr rauspingen, nachdem ich mich per SSH eingeloggt habe. Der Ping an sich wäre auch gar nicht soooo wichtig. Ich glaube aber, daß er gar keine Pakete rausläßt, so ist z.B. auch kein 'mail -s test test@myemail.de' möglich. Diese Mail Funktion brauche ich aber ganz dringend, deswegen sehen die anderen Ports auch so aus:
nmap IP:
(The 117 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
80/tcp open http
110/tcp open pop3
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-10-12 17:23 CEST
Interesting ports on XXX:
PORT STATE SERVICE
80/tcp open http
Allerdings ist ja nicht das problem, daß ich den Firewall-Rechner nicht anpingen kann, sondern ich kann nicht mehr rauspingen, nachdem ich mich per SSH eingeloggt habe. Der Ping an sich wäre auch gar nicht soooo wichtig. Ich glaube aber, daß er gar keine Pakete rausläßt, so ist z.B. auch kein 'mail -s test test@myemail.de' möglich. Diese Mail Funktion brauche ich aber ganz dringend, deswegen sehen die anderen Ports auch so aus:
nmap IP:
(The 117 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
80/tcp open http
110/tcp open pop3
Soweit ich weiss beziehen sich diese Ausnahmen aber auf deinen lokalen Rechner und nicht auf die Anfragen nach draussen. Wenn du also keinen Webserver, POP3 oder SMTP Server faehrst, dann kannst du das alles zumachen.nach langem Kampf habeich meine Susefirewall mit suse 9.3 gestartet. Als Ausnahmen sind ssh,httpd,pop3 und smtp definiert. Klappt auch alles ganz gut.
Ob Pakete nach draussen gehen kannst du ganz leicht mit telnet testen. Um z.B. zu testen ob du einen bestimmten mailserver im Internet erreichen kannst, gibst du folgendes ein:Allerdings ist ja nicht das problem, daß ich den Firewall-Rechner nicht anpingen kann, sondern ich kann nicht mehr rauspingen, nachdem ich mich per SSH eingeloggt habe. Der Ping an sich wäre auch gar nicht soooo wichtig. Ich glaube aber, daß er gar keine Pakete rausläßt, so ist z.B. auch kein 'mail -s test test@myemail.de' möglich. Diese Mail Funktion brauche ich aber ganz dringend, deswegen sehen die anderen Ports auch so aus:
Der Server sollte sich dann mit "220 mail.server.de" melden. Du kannst dann einfach "quit" eingeben oder die Mail per Hand absenden. Ich glaube allerdings, dass nicht die Firewall dich blockt, sondern der Mailserver (Stichwort: Sender Policy Framework). Probier doch einfach mal die Mail per Hand abzusenden:telnet mail.server.de 25
Die Zeilen mit den Zahlen davor sind immer die Antworten des Mailservers.telnet mail.xxxxxx.xx 25
Connected to mail.xxxxxx.xx.
Escape character is '^]'.
220 mail.xxxxxx.xx ESMTP Postfix
helo test
250 mail.xxxxx.xx
mail from: absender@adresse.de
250 Ok
rcpt to: empfaenger@adresse.de
250 Ok
data
354 End data with <CR><LF>.<CR><LF>
Subject: Test123
Nach einer Leerzeile kommt der Body.
.
250 Ok: queued as 9D7FEA6C6A
quit
221 Bye
Da ich mir nicht vorstellen kann, dass die Standard-SuSE-Firewall so wichtige Dienste wie SMTP blockt, vermute ich mal, dass du vom Mailserver geblockt wirst. (SPF)
Gruss,
Alex
Danke, ich glaube, wir nähern uns einer Lösung:
telnet rootserver 25
Trying XX.XX.XX.XX...
Connected to rootserver
Escape character is '^]'.
220 rootserver ESMTP Postfix
helo test
250 rootserver
mail from: info@test.de
250 Ok
rcpt to: my@email.de
554 my@email.de Relay access denied
hingegen:
rctp to:user@rootserver
klappt...
telnet rootserver 25
Trying XX.XX.XX.XX...
Connected to rootserver
Escape character is '^]'.
220 rootserver ESMTP Postfix
helo test
250 rootserver
mail from: info@test.de
250 Ok
rcpt to: my@email.de
554 my@email.de Relay access denied
hingegen:
rctp to:user@rootserver
klappt...
Da haben wir es ja schon. Der Mailserver blockt deine Mail, weil er nicht zustaendig ist fuer die Adresse an die du senden moechtest.
Das Problem ist folgendes:
Da man ja nicht moechte, dass Spammer den eigenen Mailserver missbrauchen um ihren Muell abzusetzen, nehmen Mailserver (von aussen) prinzipiell nur die Mails an, fuer die sie auch zustaendig sind. Anders verhaelt sich das, fuer die eigenen User, die natuerlich nach draussen schicken duerfen. In diesem Fall kennt der Mailserver den IP-Adressbereich fuer den er relayed.
Du musst also entweder deine Mail aus einem IP-Adressbereich absetzen, fuer den der Server relayed (also Mails nach aussen hin zulaesst) oder aber die Mail direkt bei dem Mailserver zustellen, der fuer die Empfaengeradresse zustaendig ist.
Gruss,
Alex
Danke, aber wie teile ich dem jetzt mit, daß er z.B. ab sofort für info@test.de zuständig ist?
http://www.postfix.org/SMTPD_ACCESS_README.html
Wenn du Probleme hast, dann meld dich einfach nochmal.
Gruss,
Alex
Wenn du Probleme hast, dann meld dich einfach nochmal.
Gruss,
Alex