Linux 15.032 Themen, 107.080 Beiträge

Verfolgung starten Optionen

SuSEfirewall2 macht dicht

kutte128 / 5 Antworten / Baumansicht Nickles

hi,

ich möchte als ganz normaler anwender die susefirewall2 (version 2.3.1-43) nutzen.
wenn ich die installiere komm ich nicht mehr ins netz wennich sie deaktiviere bin ich wieder sofort drin.
eingestellt hab ich mit yast2 (bin anwender, kein linux programmierer!)
in der /var/log/messages erscheint:

Jan 10 08:51:54 linux kernel: SuSE-FW-ILLEGAL-TARGET IN=ippp0 OUT= MAC= SRC=217.5.112.145 DST=62.227.56.72 LEN=287 TOS=0x00 PREC=0x00 TTL=56 ID=12646 PROTO=UDP SPT=53 DPT=1025 LEN=267

axxo ich nutze ein völligst stinknormales suse 8.1 pro mit neuesten YOU-Update.
wie gesagt, ohne firewall klappt alles ganz toll.
wo liegt das problem?

bei Antwort benachrichtigen
Klaus_T kutte128 „SuSEfirewall2 macht dicht“
Optionen

Du laesst die Antworten des Nameservers (DNS) nicht zu. Die kommen von Port 53. Schau dir das Script noch mal an und schalte das frei. Besser noch, beschaeftige dich etwas mit iptables und schreibe ein eigenes Script. Oder biete keine Dienste an und lass das ganz weg.

Bye, Klaus

bei Antwort benachrichtigen
XPectIT kutte128 „SuSEfirewall2 macht dicht“
Optionen

Irgendwo in der /etc/sysconfig/SuSEfirewall2 Datei steht der Eintrag den du ändern musst.
Ich kann dir nicht auswendig sagen wie er heisst. Aber es geht darum incoming highports udp zuzulassen.
ext_allow_incoming_highports_udp="domain" ...oder so ähnlich.
XPectIT

bei Antwort benachrichtigen
kutte128 XPectIT „Irgendwo in der /etc/sysconfig/SuSEfirewall2 Datei steht der Eintrag den du...“
Optionen

Erstmal danke für die tipps, ich werds im laufe der tage mal testen. im moment habe ich sie im quickmode laufen, da funzt es anscheinend

bei Antwort benachrichtigen
kutte128 Nachtrag zu: „SuSEfirewall2 macht dicht“
Optionen

wenn ich das richtig verstanden habe, kann ich doch bei zusätzliche dienste die ports freigeben oder?
da sind natürlich 53 und 139 freigegeben... aber trotzdem tut ers nicht.... oder hab ich das falsch verstanden?

bei Antwort benachrichtigen
Klaus_T kutte128 „wenn ich das richtig verstanden habe, kann ich doch bei zusätzliche dienste die...“
Optionen

Du siehst da etwas verkehrt. Dienste sind entweder auf deinem Rechner oder auf dem entfernten. Auf deinem rechner sollten keine laufen, damit ist deine Kiste zu, niemand kommt dadrauf, fertig.
Wenn du die Firewall (Paketfilter) laufen laesst, musst du die Ports freischalten, die von dem entfernten Rechner kommen und alle Ports ueber 1023 auf deinem Rechner eingehen.
Eine Nameserveranfrage erfolgt so:
Dein PC fragt von einem Port >1023 auf dem Port 53 des DNS an und bekommt von Port 53 des Rechners eine Antwort auf Port >1023 zurueck. Du musst also Diese Ports freischalten fuer diesen Dienst.

Bye, Klaus

bei Antwort benachrichtigen