PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SuSEfirewall2 und freeswan



ccc
05.02.2004, 00:27
hallo

habe mit meiner linux kiste SuSE 8.2 ein freeswan gateway
erfolgreich eingerichtet.
freeswan funktioniert , aber wenn ich SuSEfirewall2 aktiviere,
dann geht es nicht mehr.

im log habe ich:
"SuSE-FW-ILLEGAL-TARGET IN=ipsec0 OUT=
MAC=00:02:b3:3f:41:9f:00:91:7f:04:41:2ab:09:00 SRC=192.168.0.1
DST=192.168.2.1 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=24827
PROTO=ICMP TYPE=0 CODE=0 ID=4115 SEQ=1345"

bei SuSEfirewall habe ich folgendes eingetragen:
FW_QUICKMODE="no"
FW_DEV_EXT="eth0"
FW_DEV_INT="eth1"
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_UDP="500"
FW_SERVICES_EXT_IP="50 51"
FW_TRUSTED_NETS=192.168.2.0/24 192.68.0.0/24
FW_ALLOW_INCOMING_HIGHPORTS_TCP="no"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS"
FW_SERVICE_AUTODETECT="yes"
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_CLASS_ROUTING="yes"
FW_CUSTOMRULES=""
FW_ALLOW_FW_BROADCAST="no"
FW_IGNORE_FW_BROADCAST="yes"
FW_REJECT="no"
FW_IPSEC="yes"
FW_DEV_IPSEC="ipsec0"
FW_IPSEC_LOCALNET="192.168.2.0/24"
FW_IPSEC_REMOTENET="192.168.0.0/24"

weiss jemand woran es liegt ?

gruss
ccc

HangLoose
05.02.2004, 16:49
moin

versuch mal ipsec0 aus FW_MASQ_DEV="$FW_DEV_EXT" rauszunehmen, also ändern in

FW_MASQ_DEV="eth0"


Gruß HL

ccc
05.02.2004, 17:25
habe gemacht, hilft aber nicht

bekomme im log:

SuSE-FW-ILLEGAL-TARGET IN=ipsec0
OUT= MAC=XXXXXXXXXXXXXX
SRC=192.168.0.1
DST=192.168.2.1
LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=18703 PROTO=ICMP TYPE=0 CODE=0 ID=13843 SEQ=11

gruss
ccc

HangLoose
05.02.2004, 17:52
hm, hast du es nur mit pings versucht? meine *susefirewall-zeit* liegt zwar schon etwas zurück, aber folgendes dürfte das versenden von pings verhindern

FW_ALLOW_PING_EXT="no"


ansonsten sieht deine config imho gut aus.


ps: sorry für die blöde frage ;), aber neu gestartet haste die firewall schon?


Gruß HL

ccc
05.02.2004, 18:15
firewall restarte ich immer nach jeder änderung mit:

rcSuSEfirewall2 restart

habe geändert aber immer die gleichen log meldungen bei ping:

SuSE-FW-ILLEGAL-TARGET IN=ipsec0......................

gruss
ccc

HangLoose
05.02.2004, 18:18
hm, sorry bin mit meinem latein dann erstmal am ende.


Gruß HL

devilz
05.02.2004, 23:41
Tjaja die gute alte SuSe Firewall :D

Solche Probleme kenne ich auch noch ... aber ich hab die SuSE Firewall dann sein lassen ....

ccc
30.03.2004, 10:22
hi devilz

welche software firewall anstatt SuSEfirewall hast du denn im einsatz ?

welche open source firewalls sonst würdest du für SuSE empfehlen ?

gruss
ccc

hopfe
30.03.2004, 10:27
Iptable ist eine Alternative, wenn du ein programm zur einfachen Konfiguration suchst, würde ich dir Kmyfirewall empfehlen (läuft unter KDE).

Wenn du Ganz sicher gehen willst, solltest du dich natürlich in iptables einarbeiten und dir das Firewallscript selbst erstellen (Beispiele findest du hier im Forum)

ccc
06.02.2005, 16:07
damit mit SuSEfirewall2 funktioniert, muss man folgendes machen:

# cp /usr/lib/ipsec/_updown _updown_custom

_updown_custom mit einem editor öffnen,
suchen nach up-client:) und down-client:)
und folgendes einfügen:


up-client:)
# connection to my client subnet coming up
# If you are doing a custom version, firewall commands go here.
iptables -I FORWARD 1 -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK \
-d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
iptables -I FORWARD 1 -d $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK \
-s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
;;

down-client:)
# connection to my client subnet going down
# If you are doing a custom version, firewall commands go here.
iptables -D FORWARD -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK \
-d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
iptables -D FORWARD -d $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK \
-s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT


und in in /etc/ipsec.conf die Zeile:


leftupdown=/usr/lib/ipsec/_updown_custom

unbedingt hinfügen, wie z.B:

conn vpn

left=X.X.X.X
leftnexthop=X.X.X.X
leftsubnet=192.168.2.0/24
leftupdown=/usr/lib/ipsec/_updown_custom
right=X.X.X.X
rightnexthop=X.X.X.X
rightsubnet=192.168.0.0/24
auto=start


gruss
ccc

DariusDNA
29.09.2006, 03:52
Hi, ich nutze ebenfalls IPTABLES Skripte unter Debian Derivaten...

das aber, wonach Du suchst, (inclusive Syntax) kann man
für SuSE direkt unter

http://forgeftp.novell.com//susefirewall2/web/EXAMPLES.html

bzw. http://forge.novell.com/modules/xfmod/project/?susefirewall2

finden.

Habe es ebenfalls mit früheren Versionen getestet, mit kleineren
Änderungen funzt es ebenfalls ;-)

Falls ich Dir helfen kann, schreib mir eine Mail an info@berlinlan.de

LG DariusDNA

ccc
29.09.2006, 10:47
das problem war eben schon lange in meinem letzten posting gelöst !
hast du nicht gesehen ?

p.s.
übrigens seit mehr als 1,5 jahre benutze debian.
suse finito banana

DariusDNA
14.10.2006, 22:53
dd if=/dev/zero of=/dev/nul
merkst Du noch etwas?


Jeder lernt anders. Jeder hat die möglichkeit selbst zu entscheiden.
Für jedes Problem gibt es verschiedene Lösungsansätze.
Deine Wut zeigt Deine Schwächen.

Technik ist nichts für unausgewogene Menschen,
denn diese drücken auf den roten Knopf.

supersucker
14.10.2006, 23:08
dd if=/dev/zero of=/dev/nul
merkst Du noch etwas?


Jeder lernt anders. Jeder hat die möglichkeit selbst zu entscheiden.
Für jedes Problem gibt es verschiedene Lösungsansätze.
Deine Wut zeigt Deine Schwächen.

Technik ist nichts für unausgewogene Menschen,
denn diese drücken auf den roten Knopf.

Du solltest weniger kiffen.

CCC hat dich in keinster Weise angegriffen.

DariusDNA
16.10.2006, 20:14
Du solltest weniger kiffen.

CCC hat dich in keinster Weise angegriffen.

Ich habe dem nichts mehr zu sagen. Viel Glück Euch beiden.