Hallo Jungs,
gibt es irgendwo eine _deutsche_ manpage zum Thema masquerading und firewall? Ich konnte leider keine finden. Ich hab jetzt masquerading & firewall installiert, mit dem Erfolg, das ich mit der Sinnlos Maschine nicht mehr auf meine Linux-Maschine zugreifen kann. Sie ist nicht mehr im Netzwerk zu finden.
Danke Tilo
On Sunday 29 April 2001 20:52, Tilo Wetzel wrote:
Hallo Jungs,
gibt es irgendwo eine _deutsche_ manpage zum Thema masquerading und firewall? Ich konnte leider keine finden. Ich hab jetzt masquerading & firewall installiert, mit dem Erfolg, das ich mit der Sinnlos Maschine nicht mehr auf meine Linux-Maschine zugreifen kann. Sie ist nicht mehr im Netzwerk zu finden.
SuSE stimmts? ;->
Tipp: komm zum nächsten Treffen und frag' mich oder Tobias. Sowas macht sich mit erklären einfach besser.
Konrad
PS.: installier mal die HOWTO's (Serie doc) und suche nach dem (englischen!!) MASQ- und IPChains-HOWTO. PPS.: sorry, gute Literatur gibt es nur in Englisch
am Sun, dem 29.04.2001, um 20:52:47 +0200 mailte Tilo Wetzel folgendes:
Hallo Jungs,
gibt es irgendwo eine _deutsche_ manpage zum Thema masquerading und firewall? Ich konnte leider keine finden. Ich hab jetzt masquerading &
http://www.hoexter.netsurf.de/homepages/John.M/linux/masq/
Andreas
On 29.04.01 Andreas Kretschmer (kretschmer@kaufbach.delug.de) wrote:
am Sun, dem 29.04.2001, um 20:52:47 +0200 mailte Tilo Wetzel folgendes:
Hallo Jungs,
gibt es irgendwo eine _deutsche_ manpage zum Thema masquerading und firewall? Ich konnte leider keine finden. Ich hab jetzt masquerading &
hille@rudi:~$ nslookup www.hoexter.netsurf.de Server: RNADM.urz.tu-dresden.de Address: 141.30.66.135
*** RNADM.urz.tu-dresden.de can't find www.hoexter.netsurf.de: Non-existent host/domain
H.
am Mon, dem 30.04.2001, um 10:20:33 +0200 mailte Hilmar Preusse folgendes:
hille@rudi:~$ nslookup www.hoexter.netsurf.de Server: RNADM.urz.tu-dresden.de Address: 141.30.66.135
*** RNADM.urz.tu-dresden.de can't find www.hoexter.netsurf.de: Non-existent host/domain
Sorry. Entweder ich maile das Teil privat an die, die Interesse haben, oder, falls es zu viele werden, nennt mir eine Stelle zum Abladen.
Über die fachliche Qualität des Inhaltes mag ich mich nicht äußern, ich habe bisher es noch nie groß genutzt. Ein Versuch (vor 1 Jahr), mal für einen geborgten Win-Client zu Hause Masq einzurichten, klappte aber auf Anhieb.
Andreas
Sorry. Entweder ich maile das Teil privat an die, die Interesse haben, oder, falls es zu viele werden, nennt mir eine Stelle zum Abladen.
Kann ich auf meinen Seiten mit einbinden.
Gruß Tilo
Guten Morgen,
Danke erst mal für Eure Antworten. Werde ich weiter probieren - allerdings erst heute abende, da ich zum 70. Geburtstag meine "Tante" nach Freiberg muß. Ich habe mal an dem /sbin/init.d/firewall script etwas modifiziert, mit dem Erfolg, daß der Rechner von außen wieder sichtbar ist und ich wieder auf meine freigegebenen Resourcen zugreifen kann. Ein IP-Forwarding/masquerading funktioniert allerdings leider immer noch nicht. Beim starten und beenden bringt er aber jetzt immer /sbin/init.d/ipfwadm nicht gefunden - wird aus dem firewall-script aufgerufen. Allerdings konnte ich ipfwadm nicht auf meinen sechs Installations CD's nicht finden. Falsch gesucht? In einem anderem nicht bedachten Paket? Oder muß ich einen Link, zum Bleistift auf /sbin/init.d/masquerade, legen?
für weitere Tips wäre ich Euch sehr dankbar.
Einen schönen freien Montag
wünscht Eucht
Tilo
On Mon, Apr 30, 2001 at 09:16:28AM +0200, Tilo Wetzel wrote:
Guten Morgen,
Danke erst mal für Eure Antworten. Werde ich weiter probieren - allerdings erst heute abende, da ich zum 70. Geburtstag meine "Tante" nach Freiberg muß. Ich habe mal an dem /sbin/init.d/firewall script etwas modifiziert, mit dem Erfolg, daß der Rechner von außen wieder sichtbar ist und ich wieder auf meine freigegebenen Resourcen zugreifen kann. Ein IP-Forwarding/masquerading funktioniert allerdings leider immer noch nicht. Beim starten und beenden bringt er aber jetzt immer /sbin/init.d/ipfwadm nicht gefunden - wird aus dem firewall-script aufgerufen.
/sbin/init.d ist sowieso eine alte Suse-Krankheit. In neuen Versionen heisst das /etc/init.d entsprechend dem Filehierarchie-Standard.
Wenn ich mich recht errinnere ist ipfwadm der Befehl der vor ipchains verwendet wird. 2.2 --> ipchains 2.4 --> iptables
Wenn du ernsthaft mit Linux arbeiten willst wirst du nicht ums Englisch herum kommen. Es ist auch nicht schwer die wenigen Fuell-woerter zwischen den Fachbegriffen hat man schnell gelernt.
am Mon, dem 30.04.2001, um 9:16:28 +0200 mailte Tilo Wetzel folgendes:
IP-Forwarding/masquerading funktioniert allerdings leider immer noch nicht. Beim starten und beenden bringt er aber jetzt immer /sbin/init.d/ipfwadm nicht gefunden - wird aus dem firewall-script aufgerufen. Allerdings konnte ich ipfwadm nicht auf meinen sechs
Welchen Kernel hast Du?
ipfwadm gehört IMHO noch zum 2.0
Der ganze Code zu Firewall/Masq wurde jeweils von 2.0 nach 2.2 und von 2.2 nach 2.4 neu gestrickt, dazu auch die Tools dazu. Es gibt IMHO jeweils einen Kompatibilitätsmode, aber ich meine, man sollte schon jeweils die zum Kernel gehörenden Tools nutzen.
Fakt ist, daß es im Kernel unterstützt werden muß, vielleicht fehlt das bei Dir.
Andreas
Guten Morgen,
kurzer Zwischenbereicht zum Thema: masquerading und firewall laufen. Was jetzt allerdings lange dauert ist: wenn ich eMails abholen will dauert das eine Weile - als ob irgendetwas klemmt. Dasselbe habe ich beim Aufruf von Internetseiten - es dauert eine Weile bis er die Seite findet, danach plautzen die Daten aber wieder. Dies tritt allerdings auch auf der Linuxmaschine auf. Ernsthafte Probleme gibts nur beim Netzwerk, dort kann ich den anderem Rehcner nicht mehr sehen und anpingen. Sobald ich unter Sinnlos auf die Netzwerkumgebung gehe schmiert mir Sinnlos weg. Auch kann ich von der Sinnlosseite aus einige Seiten nicht aufrufen. Am schlimmsten: nicht mal meine Seiten bei nacamar hier in Dresden, obwohl ich mich dort auch einwähle. Nun gut werde am Wochenende weiter basteln, naja vielleicht habt Ihr noch ein paar Tips für mich.
ansonsten wünsch ich Euch einen streßfreien Freitag und ein angenehmes Wochenende.
Grß Tilo
am Fri, dem 04.05.2001, um 7:05:40 +0200 mailte Tilo Wetzel folgendes:
Guten Morgen,
kurzer Zwischenbereicht zum Thema: masquerading und firewall laufen. Was jetzt allerdings lange dauert ist: wenn ich eMails abholen will dauert das eine Weile - als ob irgendetwas klemmt. Dasselbe habe ich beim Aufruf von Internetseiten - es dauert eine Weile bis er die Seite findet, danach plautzen die Daten aber wieder. Dies tritt allerdings auch auf der Linuxmaschine auf. Ernsthafte Probleme gibts nur beim
klingt stark nach fehlschlagenden Namerserverzugriffen, läßt Deine Firewall keine DNS-Abfragen durch?
Andreas
Hi,
klingt stark nach fehlschlagenden Namerserverzugriffen, läßt Deine Firewall keine DNS-Abfragen durch?
Da muß ich mal gucken, der Nameserver ist auf die DNS-Ipadressen meines Providers eingestellt und im Domainnamen steht darkness (mein Rechner) drin. Vorher gabs aber keine Probleme mit dieser Config. An welcher stelle wird das eigentlich für die firewall konfiguriert?
Gruß und danke
Tilo
On Fri, May 04, 2001 at 08:27:47AM +0200, Tilo Wetzel - PENTACON GmbH wrote:
Hi,
klingt stark nach fehlschlagenden Namerserverzugriffen, läßt Deine Firewall keine DNS-Abfragen durch?
Da muß ich mal gucken, der Nameserver ist auf die DNS-Ipadressen meines Providers eingestellt und im Domainnamen steht darkness (mein Rechner) drin. Vorher gabs aber keine Probleme mit dieser Config. An welcher stelle wird das eigentlich für die firewall konfiguriert?
Üblicherweise erledigt das ein startup script unter /etc/init.d/
Wegen dem Nameserver: Kannst du die fehlgeschlagenen Seiten über ihre IP-Addresse aufrufen? Friert ein "nslookup <hostname>" ein?
Gruß und danke
Tilo
Hallo Jungs,
langsam fang ich an zu zweifeln. Ich hab hier bei mir zwei Rechner, einer mit Sinnlos (wird leider noch benötigt: tv, pcanywhere, fp . . .) und einer Linux (SuSE 7.0 prof). Ich will die Linux Maschine nun so konfigurieren, daß ich auf dieser Maschine hauptsächlich arbeite und ins Internet gehe (manuelle Anwahl, autom. auflegen). Gleichzeitig läuft SAMBA für den Zugriff seitens Sinnlos. In jeder Masquerading/Firewall Beschreibung steht was anderes drin - einen einheitlichen Nenner konnte ich leider nicht entdecken. Was habe ich hinbekommen? Entweder er (Linuxrechner) masquiert und verweigert gleichzeitig den Netzwerkzugriff auf die Samba Shares (mit dem Erfolg das Sinnlos abschmiert) oder umgekehrt: ich habe seitens Sinnlos Zugriff auf die SAMBA Shares und keinen Zugriff aufs Internet. Was anderes geht nicht. Brauche ich jetzt drei Rechner (1x Sinnlos, 1x Linux Arbeiten, 1x Linux Firewall/Masquerading)? Ich bin davon fast überzeugt! Das Problem mit dem eMailabruf konnte ich leider auch nicht lösen. Braucht ca. 30 sekunden bevor die ersten Bits über die Leitung gehen, auch nach neukonfiguration des Nameservers. Unter http://www.dresden.nacamar.de/~wetzel/files/fw.zip habe ich mal meine /etc/rc.config.d/firewall.rc.config gepackt abgelegt. Falls jemand von Euch Zeit und Lust haben sollte, kann er sie jamal checken. Momentan funktionieren da die SAMBA Shares aber kein masquerading.
ciao Tilo
On Fri, May 04, 2001 at 07:49:37PM +0200, Tilo Wetzel wrote:
*bitte nicht in den falschen Hals bekommen*
langsam fang ich an zu zweifeln. Ich hab hier bei mir zwei Rechner, einer mit Sinnlos (wird leider noch benötigt: tv, pcanywhere, fp . . .) und einer Linux (SuSE 7.0 prof). Ich will die Linux Maschine nun so konfigurieren, daß ich auf dieser Maschine hauptsächlich arbeite und ins Internet gehe (manuelle Anwahl, autom. auflegen). Gleichzeitig läuft SAMBA für den Zugriff seitens Sinnlos. In jeder Masquerading/Firewall Beschreibung steht was anderes drin - einen einheitlichen Nenner konnte ich leider nicht entdecken.
Du sollst dort nichts abtippen sondern lediglich kapieren, was die Kommandos tun. Wenn du weisst, wie die Regeln funktionierem, wie man welche hinzufügt, wie man sich die aktiven Regeln anschaut und wie man Regeln entfernt hat die Doku getan, was sie tun konnte.
Was habe ich hinbekommen? Entweder er (Linuxrechner) masquiert und verweigert gleichzeitig den Netzwerkzugriff auf die Samba Shares (mit dem Erfolg das Sinnlos abschmiert) oder umgekehrt: ich habe seitens Sinnlos Zugriff auf die SAMBA Shares und keinen Zugriff aufs Internet. Was anderes geht nicht. Brauche ich jetzt drei Rechner (1x Sinnlos, 1x Linux Arbeiten, 1x Linux Firewall/Masquerading)? Ich bin davon fast überzeugt!
Brauchst du nicht. Aus welchem Grund auch?
Das Problem mit dem eMailabruf konnte ich leider auch nicht lösen. Braucht ca. 30 sekunden bevor die ersten Bits über die Leitung gehen, auch nach neukonfiguration des Nameservers. Unter http://www.dresden.nacamar.de/~wetzel/files/fw.zip habe ich mal meine /etc/rc.config.d/firewall.rc.config gepackt abgelegt. Falls jemand von Euch Zeit und Lust haben sollte, kann er sie jamal checken. Momentan funktionieren da die SAMBA Shares aber kein masquerading.
Geh doch mal ein bisschen strukturiert an das Problem ran, also - sind alle Interfaces richtig konfiguriert und lokal erreichbar - klappt die Auflösung Name <--> IP VON ALLEN RECHNERN AUS FÜR ALLE RECHNER (nutze /etc/hosts statt bind, da das ohne Netz funktioniert!) - Stimmen die Routen? - Sind ALLE Rechner gegenseitig erreichbar? (ping) - Funktionieren die gewünschenten Dienste (samba, sshd, sendmail, ...) - (optional) weden die Pakete blockiert, die blockiert werden sollen
Dein Rundumschlag ala "hier sind meine Konfigfiles, sucht mal den Fehler" ist absolut müllig. Laß die Firewallfunktionen erstmal weg um die Sache nicht unötig komplex zu machen. Wenn du dann Schritt für Schritt die obige Liste abarbeitest, wirst du innerhalb deines völlig diffusen Problems ziemlich genau die Stelle finden, wo etwas gegen den Baum geht.
Wenn diese Netzwerksachen irgendwann einmal funktionieren kannst du dich um die Sache mit dem email-Abruf kümmern. Immer schön der Reihe nach.
Reinhard (, der das stochern im Dunst nicht leiden kann)
Hallo Tilo,
vielleicht hast du ganz einfach ein Suse-Problem (mal ehrlich, ich werde nie verstehen, wie so eine Konfigurationsdatei einfacher sein kann als ein selbstgebasteltes Script). Da ich leider keine Suse hier installiert hab, kann ich nicht nachvollziehen, was mit den Variablen genau passiert...
Eine Empfehlung: Unter der Voraussetzung, daß du a) weißt wie man Firewall- und Masquerading-Regeln aufstellt etc. b) du weißt, wie man ein Startup-script anfertigt
(Ich nehme mal an, daß beides zutrifft)
wäre die beste Lösung wahrscheinlich, den Suse-Quatsch zu ignorieren, dich hinzusetzen, dir die notwendigen Firewallregeln auszudenken (im Prinzip läuft es bei so einem simplen Netzwerk ja auf die zwei Regeln "blockiere alles, was über ippp0 kommt und das synbit gesetzt hat" (bei ipchains muß man dazu -y anfügen, Port 113 sollte aber offengelassen werden, weil dort die Chap-Challenges kommen) und "masquerade alles, was von 192.168.0.0/16 kommt und nicht zu meiner firewall will" hinaus), und dir das Startupscript selber zu schreiben.
Falls du dabei Probleme hast, können wir dir ja helfen :).
cu, Ulf
PS: Ich hab mir gerade eben meine firewall logs durchgesehen. Kann es sein, daß alle bösen portchecks aus der Ecke Taiwan/Singapur/Südkorea kommen und so ziemlich ausschließlich auf die Ports 53 und 111 abzielen?
On Fri May 04, 2001 at 23:30:54 +0200, Ulf Lorenz wrote:
PS: Ich hab mir gerade eben meine firewall logs durchgesehen. Kann es sein, daß alle bösen portchecks aus der Ecke Taiwan/Singapur/Südkorea kommen und so ziemlich ausschließlich auf die Ports 53 und 111 abzielen?
Ja, und 21 und 515 sind noch beliebt, wenn ich mir meine "Top 10" so ansehe.
Ist am Ende aber auch nicht weiter verwunderlich...
Adam
lug-dd@mailman.schlittermann.de
-
A . Kretschmer -
Adam Lackorzynski -
Andreas Kretschmer -
Andreas Kretschmer
-
Hilmar Preusse -
konrad.rosenbaum@t-online.de -
Reinhard Foerster -
Thomas Guettler -
Tilo Wetzel -
Tilo Wetzel - PENTACON GmbH -
Ulf Lorenz