SuSEfirewall2 und freeswan

Dieses Thema im Forum "Firewalls" wurde erstellt von ccc, 05.02.2004.

  1. #1 ccc, 05.02.2004
    Zuletzt bearbeitet: 06.02.2005
    ccc

    ccc Routinier

    Dabei seit:
    01.11.2003
    Beiträge:
    288
    Zustimmungen:
    0
    hallo

    habe mit meiner linux kiste SuSE 8.2 ein freeswan gateway
    erfolgreich eingerichtet.
    freeswan funktioniert , aber wenn ich SuSEfirewall2 aktiviere,
    dann geht es nicht mehr.

    im log habe ich:
    "SuSE-FW-ILLEGAL-TARGET IN=ipsec0 OUT=
    MAC=00:02:b3:3f:41:9f:00:91:7f:04:41:2ab:09:00 SRC=192.168.0.1
    DST=192.168.2.1 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=24827
    PROTO=ICMP TYPE=0 CODE=0 ID=4115 SEQ=1345"

    bei SuSEfirewall habe ich folgendes eingetragen:
    FW_QUICKMODE="no"
    FW_DEV_EXT="eth0"
    FW_DEV_INT="eth1"
    FW_ROUTE="yes"
    FW_MASQUERADE="yes"
    FW_MASQ_DEV="$FW_DEV_EXT"
    FW_MASQ_NETS="0/0"
    FW_PROTECT_FROM_INTERNAL="no"
    FW_AUTOPROTECT_SERVICES="yes"
    FW_SERVICES_EXT_UDP="500"
    FW_SERVICES_EXT_IP="50 51"
    FW_TRUSTED_NETS=192.168.2.0/24 192.68.0.0/24
    FW_ALLOW_INCOMING_HIGHPORTS_TCP="no"
    FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS"
    FW_SERVICE_AUTODETECT="yes"
    FW_FORWARD=""
    FW_FORWARD_MASQ=""
    FW_REDIRECT=""
    FW_KERNEL_SECURITY="yes"
    FW_STOP_KEEP_ROUTING_STATE="no"
    FW_ALLOW_PING_FW="no"
    FW_ALLOW_PING_EXT="no"
    FW_ALLOW_CLASS_ROUTING="yes"
    FW_CUSTOMRULES=""
    FW_ALLOW_FW_BROADCAST="no"
    FW_IGNORE_FW_BROADCAST="yes"
    FW_REJECT="no"
    FW_IPSEC="yes"
    FW_DEV_IPSEC="ipsec0"
    FW_IPSEC_LOCALNET="192.168.2.0/24"
    FW_IPSEC_REMOTENET="192.168.0.0/24"

    weiss jemand woran es liegt ?

    gruss
    ccc
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 HangLoose, 05.02.2004
    HangLoose

    HangLoose kleiner Bruder von ruth

    Dabei seit:
    07.11.2003
    Beiträge:
    319
    Zustimmungen:
    0
    Ort:
    HH
    moin

    versuch mal ipsec0 aus FW_MASQ_DEV="$FW_DEV_EXT" rauszunehmen, also ändern in

    FW_MASQ_DEV="eth0"


    Gruß HL
     
  4. #3 ccc, 05.02.2004
    Zuletzt bearbeitet: 06.02.2005
    ccc

    ccc Routinier

    Dabei seit:
    01.11.2003
    Beiträge:
    288
    Zustimmungen:
    0
    habe gemacht, hilft aber nicht

    bekomme im log:

    SuSE-FW-ILLEGAL-TARGET IN=ipsec0
    OUT= MAC=XXXXXXXXXXXXXX
    SRC=192.168.0.1
    DST=192.168.2.1
    LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=18703 PROTO=ICMP TYPE=0 CODE=0 ID=13843 SEQ=11

    gruss
    ccc
     
  5. #4 HangLoose, 05.02.2004
    HangLoose

    HangLoose kleiner Bruder von ruth

    Dabei seit:
    07.11.2003
    Beiträge:
    319
    Zustimmungen:
    0
    Ort:
    HH
    hm, hast du es nur mit pings versucht? meine *susefirewall-zeit* liegt zwar schon etwas zurück, aber folgendes dürfte das versenden von pings verhindern

    FW_ALLOW_PING_EXT="no"


    ansonsten sieht deine config imho gut aus.


    ps: sorry für die blöde frage ;), aber neu gestartet haste die firewall schon?


    Gruß HL
     
  6. ccc

    ccc Routinier

    Dabei seit:
    01.11.2003
    Beiträge:
    288
    Zustimmungen:
    0
    firewall restarte ich immer nach jeder änderung mit:

    rcSuSEfirewall2 restart

    habe geändert aber immer die gleichen log meldungen bei ping:

    SuSE-FW-ILLEGAL-TARGET IN=ipsec0......................

    gruss
    ccc
     
  7. #6 HangLoose, 05.02.2004
    HangLoose

    HangLoose kleiner Bruder von ruth

    Dabei seit:
    07.11.2003
    Beiträge:
    319
    Zustimmungen:
    0
    Ort:
    HH
    hm, sorry bin mit meinem latein dann erstmal am ende.


    Gruß HL
     
  8. devilz

    devilz Pro*phet
    Administrator

    Dabei seit:
    01.05.2002
    Beiträge:
    12.244
    Zustimmungen:
    0
    Ort:
    Hessen
    Tjaja die gute alte SuSe Firewall :D

    Solche Probleme kenne ich auch noch ... aber ich hab die SuSE Firewall dann sein lassen ....
     
  9. ccc

    ccc Routinier

    Dabei seit:
    01.11.2003
    Beiträge:
    288
    Zustimmungen:
    0
    hi devilz

    welche software firewall anstatt SuSEfirewall hast du denn im einsatz ?

    welche open source firewalls sonst würdest du für SuSE empfehlen ?

    gruss
    ccc
     
  10. hopfe

    hopfe Haudegen

    Dabei seit:
    01.04.2003
    Beiträge:
    733
    Zustimmungen:
    0
    Ort:
    Aachen
    Iptable ist eine Alternative, wenn du ein programm zur einfachen Konfiguration suchst, würde ich dir Kmyfirewall empfehlen (läuft unter KDE).

    Wenn du Ganz sicher gehen willst, solltest du dich natürlich in iptables einarbeiten und dir das Firewallscript selbst erstellen (Beispiele findest du hier im Forum)
     
  11. ccc

    ccc Routinier

    Dabei seit:
    01.11.2003
    Beiträge:
    288
    Zustimmungen:
    0
    damit mit SuSEfirewall2 funktioniert, muss man folgendes machen:

    # cp /usr/lib/ipsec/_updown _updown_custom

    _updown_custom mit einem editor öffnen,
    suchen nach up-client:) und down-client:)
    und folgendes einfügen:
    Code:
    up-client:)
    # connection to my client subnet coming up
    # If you are doing a custom version, firewall commands go here.
    iptables -I FORWARD 1 -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK \
    -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
    iptables -I FORWARD 1 -d $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK \
    -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
    ;;
    
    down-client:)
    # connection to my client subnet going down
    # If you are doing a custom version, firewall commands go here.
    iptables -D FORWARD -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK \
    -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
    iptables -D FORWARD -d $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK \
    -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
    
    und in in /etc/ipsec.conf die Zeile:
    Code:
    leftupdown=/usr/lib/ipsec/_updown_custom
    
    unbedingt hinfügen, wie z.B:
    Code:
    conn vpn
    
    left=X.X.X.X
    leftnexthop=X.X.X.X
    leftsubnet=192.168.2.0/24
    leftupdown=/usr/lib/ipsec/_updown_custom
    right=X.X.X.X
    rightnexthop=X.X.X.X
    rightsubnet=192.168.0.0/24
    auto=start
    
    gruss
    ccc
     
  12. #11 DariusDNA, 29.09.2006
    Zuletzt bearbeitet: 29.09.2006
    DariusDNA

    DariusDNA Grünschnabel

    Dabei seit:
    29.09.2006
    Beiträge:
    3
    Zustimmungen:
    0
  13. ccc

    ccc Routinier

    Dabei seit:
    01.11.2003
    Beiträge:
    288
    Zustimmungen:
    0
    das problem war eben schon lange in meinem letzten posting gelöst !
    hast du nicht gesehen ?

    p.s.
    übrigens seit mehr als 1,5 jahre benutze debian.
    suse finito banana
     
  14. #13 DariusDNA, 14.10.2006
    Zuletzt bearbeitet: 15.10.2006
    DariusDNA

    DariusDNA Grünschnabel

    Dabei seit:
    29.09.2006
    Beiträge:
    3
    Zustimmungen:
    0
    dd if=/dev/zero of=/dev/nul
    merkst Du noch etwas?


    Jeder lernt anders. Jeder hat die möglichkeit selbst zu entscheiden.
    Für jedes Problem gibt es verschiedene Lösungsansätze.
    Deine Wut zeigt Deine Schwächen.

    Technik ist nichts für unausgewogene Menschen,
    denn diese drücken auf den roten Knopf.
     
  15. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  16. #14 supersucker, 15.10.2006
    supersucker

    supersucker Foren Gott

    Dabei seit:
    21.02.2005
    Beiträge:
    3.873
    Zustimmungen:
    0
    Du solltest weniger kiffen.

    CCC hat dich in keinster Weise angegriffen.
     
  17. #15 DariusDNA, 16.10.2006
    DariusDNA

    DariusDNA Grünschnabel

    Dabei seit:
    29.09.2006
    Beiträge:
    3
    Zustimmungen:
    0
    Ich habe dem nichts mehr zu sagen. Viel Glück Euch beiden.
     
Thema:

SuSEfirewall2 und freeswan

Die Seite wird geladen...

SuSEfirewall2 und freeswan - Ähnliche Themen

  1. SuSeFirewall2

    SuSeFirewall2: SuSeFirewall2 - Strategie? Hallo, ich brauche mal einige Tips da ich mich nicht so gang über meine Strategie entscheiden kann. Wir haben...
  2. Problem mit SuSEfirewall2

    Problem mit SuSEfirewall2: sorry, dass ich ein Doppelposting machen muss, aber ich denke mein Thread ist hier besser aufgehoben: Hallo, ich bin neu hier im Forum, aber...
  3. Problem mit SuSEfirewall2

    Problem mit SuSEfirewall2: Hallo, ich bin neu hier im Forum, aber ich starte mal gleich mit meinem Problem: Zur Problemumgebung: Ich habe 3 Rechner. Einen Server, der...
  4. Und täglich ärgert mich mein Linux: SuSEfirewall2: Warning: no interface active

    Und täglich ärgert mich mein Linux: SuSEfirewall2: Warning: no interface active: Hallo zusammen, habe gerade mein OpenSuse 10.2 aktualisiert und dann das beim starten. ---------- Starting Firewall Initialization (phase 2 of...
  5. xbox 360 durch SuSE Linux 9.3 mit susefirewall2

    xbox 360 durch SuSE Linux 9.3 mit susefirewall2: soe jetzt gehts los: Hat jemand den plan, wie ich die xbox 360 durch ein suse linux 9.3 kernel 2.6, eth2=wlan mit fester privater ip, eth0=lan...