SuSefirewall2... und die Probleme gehen weiter...

F

Fortu

Grünschnabel
Guten Tag,

ich bin, was Netzwerke angeht, sehr sehr unerfahren.
Um zumindest innerhalb vom Netzwerk die Routingaufgaben erledigen zu können, habe ich die SuseFirewall 2 (Suse8.0 Distribution) geladen und verwende diese recht erfolgreich...
... bis ich emule nutzen wollte.

Dort erhalte ich ständig "Low ID" blablabla...

Wenn ich nun auf der Seite von edonky den Test auf Port 4661 ausführe, dann steht da ständig error/resest on ip "InternetIP".

Jetzt hat mir jemand was von Forwarding erzählt... aber ich habe keine Ahnung.

Wie gehe ich da am besten vor? Tut mir leid, ich habe wirklich zu googlen versucht aber die Vorschläge dort klappen alle net :(

*seufztief*

Fortu
 
es ist spät und ich wollte schon längst im bett sein fortu *g*

suche mal im forum nach ipforward ... da sind schon einige posts drinne ... wenn du nicht zurecht kommst, kann ich dir morgen nochmal helfen :))))

gn8
 
Danke! Aber ich hab nun auf Freshmeat eine verdammt gute Firewall gefunden ... und da geht es! :) SO UND NUN ZU BETT *g*
 
Hi Fortu
Original geschrieben von Fortu
Danke! Aber ich hab nun auf Freshmeat eine verdammt gute Firewall gefunden ... und da geht es! :) SO UND NUN ZU BETT *g*

Ich bin mit der SuSE FW2 auch nicht klar gekommen,
zumal die einfach alle Ports offen lässt, wenn man nur die "richtigen" Inkonsistenzen in das Config-File einbaut. Auch das Forwarding aus dem internen Netz klappte nur manchmal.
Welche FW nimmst Du denn jetzt?

Ich hab' gute Erfahrungen damit gemacht:http://www.harry.homelinux.org/

cu
tom
 
Warum nicht selber machen??

Nabend,

was wird denn hier von SuSE Firewall 2 gefaselt!!
Tut mir leid, aber in ein solches ding stecke ich mein Vertrauen nicht!!
Alles was die SF2 macht ist, sie bietet ein Front End zur Konfiguration der iptables. Dabei muss sie aber kompromisse eingehen damit nicht erfahrene User diese Konfigurieren können. Dadurch ensteht ein falsches Gefühl der Sicherheit!!
Eine schlecht Konfigurierte Firewall ist wie keine Firewall.

Die iptables sind wahrhaftig nicht schwer zu bedienen und die Doku ist spitze!! einfach mal bei Netfilter vorbei!!

Und für deinen Esel musst du "nur" ein portmapping betreiben, dies geschieht einfach durch:

iptables -t nat -A POSTROUTING -p tcp --dport 4661 -j DNAT: <adresse deines Eselrechners>

MfG

Daniel
 
Ist ja alles schön und gut und ich glaub dir das auch, dass das so einfach ist. Den gleichen Befehl habe ich auch eingegeben und er lief net - er läuft jetzt, nachdem ich die SF2 entfernt habe. Dolle *gg*

Ich verwende eine von Freshmeat, den Namen sag ich heut mittag - bin sehr in Eile. Aber danke für den Tipp, die werd ich mir auch angucken!

Bei der einen, die ich hab, ist noch so ein Traffic Shaper dabei, ganz lustig. Ist natürlich alles vorgekaut, aber um Beispiele zu sammeln taugt es allemal! :)

Grüße

Fortu
 
Re: Warum nicht selber machen??

Original geschrieben von danielgoehl
Nabend,

was wird denn hier von SuSE Firewall 2 gefaselt!!
Tut mir leid, aber in ein solches ding stecke ich mein Vertrauen nicht!!
Alles was die SF2 macht ist, sie bietet ein Front End zur Konfiguration der iptables. Dabei muss sie aber kompromisse eingehen damit nicht erfahrene User diese Konfigurieren können. Dadurch ensteht ein falsches Gefühl der Sicherheit!!
Eine schlecht Konfigurierte Firewall ist wie keine Firewall.

Die iptables sind wahrhaftig nicht schwer zu bedienen und die Doku ist spitze!! einfach mal bei Netfilter vorbei!!

Und für deinen Esel musst du "nur" ein portmapping betreiben, dies geschieht einfach durch:

iptables -t nat -A POSTROUTING -p tcp --dport 4661 -j DNAT: <adresse deines Eselrechners>

MfG

Daniel


Sagen wir es so, sicher ist es keine Profi-Lösung, aber für den kleinen Einsteiger ist sie schonmal ne Hilfe. (SuSE bietet ja für Firmen die Firewall-on-CD an !)
Und wer dann mehr will, der kann sich mit iptables sein eigenes Script bauen :))))
 
Hallo nochmal,

ich wollt das ja nurmal in den Raum werfen.
Ich denke aber immernoch das durch die SuSE FW einem unerfahrenen User die Sicherheit vorgegaukelt wird, sicher das ding ist schon besser als ne Windows Box direkt ans Netz zu hängen, aber es geht noch ein wenig besser.

Zu Fortu, der Befehl klappte wahrscheinlich dehalb nicht da die SuSE FW vernünftigerweise die Policies der drei Hauptchains (INPUT, OUTPUT, FORWARD) auf "Drop" setzt. Das heißt soviel wie "Nimm das Packet ja nich an und sag nicht das du es nicht annimmst". Du müsstest also das Packet was du in der POSTROUTING Chain weiterleitest auch in der FORWARD Chain erlauben mit etwas wie:

iptables -A FORWARD -p tcp --dport 4661 -j ACCEPT

Schreib gleich mal den namen der FW die du benutzt, ich gucke mir das gerne mal an!!

Gruß
 
Original geschrieben von danielgoehl
Hallo nochmal,

ich wollt das ja nurmal in den Raum werfen.
Ich denke aber immernoch das durch die SuSE FW einem unerfahrenen User die Sicherheit vorgegaukelt wird, sicher das ding ist schon besser als ne Windows Box direkt ans Netz zu hängen, aber es geht noch ein wenig besser.

Genau das meinte ich ja !

Stell dir mal vor die User wüßten von einer Firewall Funktion gar nix ...
Insofern ist es auch noch ein gutes Verkaufsargument wenn da inkl. Firewall draufsteht :)))
 
Na mit der SuSE firewall ist meiner Meinung nach wirklich nicht viel anzufangen. Theoretisch schon aber in der Praxis fällt es mir leichter nur mit iptables zu arbeiten.
:D
 
Sooooo!
Nach dem ich mir das als Normal-User hier mal reingezogen habe, wüsste ich von den Herren doch mal gerne, was um Himmels Willen denn nun sooooo schlecht ist, an der SuSE Firewall2???
Das interessiert mich nämlich, weil ich die nutze! Hab mir die Konf gerade noch mal angeschaut und finde, das man da kaum was falsches einstellen kann. Wo ist der Haken?
Bei diversen Security Online-Tools und Scannern hat mein Normal-User-Maschine jedenfalls bestens abgeschnitten. Alles nur Schwindel?
Mag sein, das es feinere Tools gibt und ich hab mir gerade mal Guarddog angeschaut, erkenne aber nicht wirklich gravierende Unterschiede (bin ich eventuell auch nicht in der Lage zu!).
Oder galt das alles nur für router, dann hab ich was nicht richtig verstanden.
Das Thema interessiert mich allerdings und für Verbesserungen auch für so einen wie mich, bin ich dankbar! :baby:
 
Guten Tag..

wegen der Drop-Geschichte: Klar, du hast recht - ich hatte nur gelernt, dass die Regeln von oben nach unten abgearbeitet werden. Oder gilt das nur für das Laden vom Script an sich?

Ach ja, übrigens, das Ding heißt: arno iptables firewall... war auf freshmeat drauf (*beton*)

Ich möchte aber lernen, eigene Scripts zu bauen sobald ich etwas mehr Zeit hab! :)
 
@miret,

ich hatte mit SuSE-FW2 die "empfohlenen" Standardeinstellungen gemacht, also ohne
Serverdienste, da ich hier nur eine Workstation mit direkten Internetzugang (ISDN) habe.
Dann habe ich einen guten Bekannten meine IP per Telefon durchgegeben und er hat meinen Rechner gescannt, hier das Ergebnis:

--------------------------------------------------

Starting nmap V. 3.00 ( www.insecure.org/nmap )
Interesting ports on pD9.......dip0.t-ipconnect.de (217.1.16....):
(The 1594 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
111/tcp open sunrpc
295/tcp filtered unknown
369/tcp filtered rpc2portmap
515/tcp open printer
952/tcp filtered unknown
6000/tcp open X11

---------------------------------------------------

Wie Du siehst sind da einige Ports geöffnet, die nicht offen sein müssen.
Deshalb habe ich die iptables lieber mit "Guarddog" gemacht, klar ich hätte das auch
"von Hand", oder mit einem Script-Generator machen können, ein GUI ist aber lieber,
aber das ist nur Geschmacksache.

Den Portscan haben wir dann noch mal wiederholt, da waren die Ports, die Oben offen angezeigt werden geschlossen.
 
Zuletzt bearbeitet:
Also meine bedenken scheinen sich ja zu bestätigen wie man hier lesen kann!! (injoohs Beitrag)

Ich beziehe meine Äußerungen hier auch eher auf Router, aber Workstations sollten genau so abgesichert werden!

Ich mein ist die Sicherheit nicht eins der Hauptargumente das jemand Linux benutzt??
Ich kenne die ganzen Konfigurationstools für die iptables nicht, werde sie mir nei zeiten jedoch mal gerne ansehen.

Nochmal kurz zu fortu:
Du hast recht die Regeln die in den verschiedenen tables drinstehen werden von oben nach unten abgearbeitet. D.h. wenn eine Regel packt wird das Packet sofort aus der jeweiligen tables rausgeschmissen!! Es gibt jedoch für jede table eine Policie, das ist die Aktion die durchgeführt werden soll falls keine Regel packt! Zudem kommt es auch drauf an wie du eine regel addest. Wenn du den Parameter -A (append) benutzt so schreibst du ans ende einer tables mit -I (insert) jedoch an den anfang einer table. Dadurch kann bei unvorsichtiger benutzung viel Ärger entstehen.
Du siehst aber in welcher Reihenfolge die Regeln angeordnet sind wenn du eingibst

iptables -L

So das wars für heute, bis die Tage

mfg

Daniel
 
Danke für den Hinweis! Werde es mir merken. Tja, das Rootboard hat einmal mehr geholfen :)

Grüße

Fortu
 
Dann verstehe ich nicht, wieso ich bei verschiedenen Online-Scannern ständig ohne offene Ports und im Stealth-Mode gescannt werde!?!
Da es sich um verschiedenste Scanner und mit verschiedener Ausrichtung gehandelt hat, muß die FW2 doch bei mir dicht halten.
Oder sehe ich das falsch? Oder zu naiv?
Kann ja auch nicht sein, das die mir was vorgaukeln, denn es sind erstens nicht nur Scanner von Firmen mit kommerziellem Interesse (das wäre ja nicht gerade verkaufsfördernd, mir einen geschlossenen PC zu bescheinigen!), sondern auch welche von Security-Pages. Nirgends wurfde mein PC als "offen" gekennzeichnet!
War da bei dir vielleicht doch was nicht richtig eingestellt??(
Wenn ich mit w2k mal surfen, was selten genug vorkommt, wird bei mir z.B. immer NetBIOS als offen angezeigt und nicht alles im Stealth! Und das trotz FW!
Ich wäre für weitere Antworten dankbar!
 
Original geschrieben von miret
Dann verstehe ich nicht, wieso ich bei verschiedenen Online-Scannern ständig ohne offene Ports und im Stealth-Mode gescannt werde!?!
Da es sich um verschiedenste Scanner und mit verschiedener Ausrichtung gehandelt hat, muß die FW2 doch bei mir dicht halten.
Oder sehe ich das falsch? Oder zu naiv?
Kann ja auch nicht sein, das die mir was vorgaukeln, denn es sind erstens nicht nur Scanner von Firmen mit kommerziellem Interesse (das wäre ja nicht gerade verkaufsfördernd, mir einen geschlossenen PC zu bescheinigen!), sondern auch welche von Security-Pages. Nirgends wurfde mein PC als "offen" gekennzeichnet!
War da bei dir vielleicht doch was nicht richtig eingestellt??(
Wenn ich mit w2k mal surfen, was selten genug vorkommt, wird bei mir z.B. immer NetBIOS als offen angezeigt und nicht alles im Stealth! Und das trotz FW!
Ich wäre für weitere Antworten dankbar!


Nunja das Problem welche hier einige anzweifeln ist, das die SuSE FW nur die Stanardports abdeckt !
D.H. wenn du bestimmte Server laufen lässt, bringt die FW nix !
Also mußt du die dann umständlich anpassen und das missfällt hier so einigen.
Für den normalen User ist die FW "ausreichend" und wer mehr will, der kann ja die SuSE FW abschalten und sich ein eigenes Script bauen !
Das ist Linux, wem was nicht passt, der kann es selber "besser" machen !
 
Das langt mir allerdings! Standart! :D

nee, im Ernst, ich brauche weder ssh noch sonstige Dienste. Hab also alles dicht!
Ist das nicht aber das Problem ein jeder Firewall, das wenn man Dienste hat, dementsprechend natürlich "offene" Ports nutzt, diese sicher zu bekommen! Ob da die genannten Beispiele auch volständig ausreichen?
Aber wie gesagt, für mich reicht's mit der FW2! ;)
 
Zurück
Oben