Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
SuSE firewalling

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Software
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
Stormbringer



Anmeldungsdatum: 11.01.2001
Beiträge: 1570
Wohnort: Ruhrgebiet

BeitragVerfasst am: 27. Jun 2001 7:50   Titel: SuSE firewalling

Hallo,
habe gerade zum ersten Mal die FW Options von SuSE (7.2) gestartet.
Ist ja richtig interessant, was dort in den Kommentaren steht ... :)

Aber nun habe ich doch mal eine Frage dazu:
wenn ich die grundelegenden FW settings in /etc/rc.config.d/firewall.rc.config setze, wird die Logdatei mit Einträgen á la:
Jun 27 08:40:30 gateway kernel: Packet log: input DENY ippp0 PROTO17 212.7.128.162:53 212.7.142.148:1025 L=216 S=0x00 I=20037 F=0x4000 T=248 (#82)
vollgeschrieben.

Angepaßt habe ich:
# Services, visible to the external net (normally internet) ...
FW_SERVICES_EXTERNAL_TCP=""
FW_SERVICES_EXTERNAL_UDP=""
FW_SERVICES_EXTERNAL_IP=""
#
# Services. visible to the DMZ
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
#
# Services, visible to the internal net
FW_SERVICES_INTERNAL_TCP="domain ftp ssh smtp 139 3000 12345 53"
FW_SERVICES_INTERNAL_UDP="domain syslog"
FW_SERVICES_INTERNAL_IP=""
#
FW_TRUSTED_NETS=""
#
FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" -> dies sollte doch solche Einträge verhindern, oder etwa nicht? Die DNS Rückmeldung kommt doch per UDP ....
#
FW_SERVICE_DNS="no" -> es läuft kein DNS Server auf dem System


Falls jemand eine gute Idee hat, ich bin auf jeden Fall dankbar!

Gruß
_________________
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
 
Benutzer-Profile anzeigen Private Nachricht senden

Stormbringer



Anmeldungsdatum: 11.01.2001
Beiträge: 1570
Wohnort: Ruhrgebiet

BeitragVerfasst am: 27. Jun 2001 8:10   Titel: Re: SuSE firewalling

.. kann dies direkt mit der search list für DNS Server zusammenhängen?
Sobald ich einen DNS aus dem lokalen Netz in der search list habe, erscheinen diese Einträge.
Habe ich keinen DNS aus dem lokalen Netz in der search list, erscheinen keine Einträge, dafür wird jede DNS Anfrage zuerst mit dem Aufbau einer Verbindung zum ISP beantwortet ... Sad
_________________
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
 
Benutzer-Profile anzeigen Private Nachricht senden

Stormbringer



Anmeldungsdatum: 11.01.2001
Beiträge: 1570
Wohnort: Ruhrgebiet

BeitragVerfasst am: 27. Jun 2001 16:44   Titel: Re: SuSE firewalling

Tja, das war wohl nichts .... Sad
Nachdem ich nun einige Stunden nicht nach dem System geschaut habe, ist das Log wieder voll mit diesen DENY Meldungen.
Habe aus experimentierfreude sowohl das (unoffizielle) update als später auch SuSEfirewall2 installiert.
Nach dem update blieb der Umstand gleich, bei FW2 fehlen zwar die Meldungen, dafür gibt es keinen INetzugang mehr.
_________________
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
 
Benutzer-Profile anzeigen Private Nachricht senden

odauter



Anmeldungsdatum: 17.04.2000
Beiträge: 460
Wohnort: Hamburg

BeitragVerfasst am: 28. Jun 2001 9:35   Titel: Re: SuSE firewalling

Ich hab auch mal probiert, mit diesem SuSE-Firewall-Quatsch eine Firewall zu bauen. Ist aber auch an DNS gescheitert... Ich habe dann irgendwann aufgeben und das Firewall-Script selbst geschrieben. Da weiss man was man hat...
Wollte damit nur sagen, daß Du nicht allzuviel Zeit mit diesem Mist verschwenden solltest. Ich habe mich hinterher zumindest geärgert, daß ich nicht gleich alles selber gemacht habe.
_________________
bye.olli
--
"Where's Oswald when we need him.."
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen

Stormbringer



Anmeldungsdatum: 11.01.2001
Beiträge: 1570
Wohnort: Ruhrgebiet

BeitragVerfasst am: 28. Jun 2001 10:32   Titel: Re: SuSE firewalling

Hallo,
danke für die Antwort!!!

Die Sache ist, daß eine FW sowohl auf Smoothwall als auch auf e-smith läuft, und ich es nun einfach einmal mit SuSE testen wollte.
Momentan überlege ich, ob wir es nicht ähnlich zum US Militär machen sollen, nämlich bestimmte Clientsysteme auf Linux mit StarOffice 5.2 umzustellen.
Um es dann aber einfacher bzgl. der Administration, der Dokumentation, etc. zu gestalten, denke ich immer noch an SuSE - es ist halt auf einigen Systemen hier installiert.

An der prinzipiellen Konfiguration des Systems kann es nicht liegen, da nach Ausführen des Befehls "SuSEfirewall stop" (FW wird gestoppt und die Regeln entladen) alles einwandfrei läuft - halt nur mit offenen Scheunentoren.

Habe zwar mittlerweile auch den betreffenden Verantwortlichen bei SuSE kontaktiert, aber eine Antwort kann halt dauern ... :)

.. und einfach aufgeben will ich auch nicht .. ;)

BTW: was hast Du alles verändert? Kannst Du das ggf. beschreiben, oder mir dazu eine email senden?

Gruß
_________________
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)


Zuletzt bearbeitet von Stormbringer am 28. Jun 2001 10:32, insgesamt 2-mal bearbeitet
 
Benutzer-Profile anzeigen Private Nachricht senden

odauter



Anmeldungsdatum: 17.04.2000
Beiträge: 460
Wohnort: Hamburg

BeitragVerfasst am: 28. Jun 2001 16:43   Titel: Re: SuSE firewalling

Ich persönlich mag SuSE zwar nicht (das tut hier aber nix zur Sache), aber ich meinte vorher nicht unbedingt SuSE selbst, sondern den Deamon SuSEFirewall. Besser ist, sich ein eigenes Firewall-Script zu bauen. Dazu würde ich Dir raten, Dich ein bißchen in ipchains einzulesen (man ipchains wäre ein Anfang) und ein Script selbst zuschreiben und das dann einfach über init starten zu lassen.

Hiermit gehts richtig komfortabel:
http://www.linux-firewall-tools.com/linux/firewall/index.html
_________________
bye.olli
--
"Where's Oswald when we need him.."
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen

Stormbringer



Anmeldungsdatum: 11.01.2001
Beiträge: 1570
Wohnort: Ruhrgebiet

BeitragVerfasst am: 28. Jun 2001 17:18   Titel: Re: SuSE firewalling

Ah, ok ....
Skripte habe ich genug Smile
Hatte auch 'mal überlegt, eins davon zu posten, dann kamen mir aber andere zuvor.
Unter RH läuft es gut, nachdem es durch den alltäglichen Betrieb etwas verfeinert wurde.
(Ist momentan nur für eine Testumgebung, die flexibler sein muß als unsere große Raptor - und wo Fehler eher verzeihbar sind).

SuSE hin, RH her, oder Engarde, Smoothwall, whatever ... solange es ein Paketfilter sein kann der für den kleinen Bedarf schnell genug ist, paßt es schon. Wenn er nur funzen würde. Smile
Da es ein Testsystem ist, eilt es auch nicht besonders - nun läuft halt parallel dazu ein anderer PF.

Trotzdem Danke!!!
_________________
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
 
Benutzer-Profile anzeigen Private Nachricht senden

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Software Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy