27. März 200322 j hallo leute, kann mir jemand ein susefirewallskript schicken mit der einstellung für einen proxie "squid". der squid arbeitet auf dem port 3128 und webmin auf 10000. der datenverkehr aus lan ins internet sollte ohne beschränkung sein, und verkehr aus wan ins lan nur http,ftp und https. mein susefirewall2 funktioniert nicht vernünftigt, immer noch sind alle ports von "draussen" sichtbar. hilfe?? danke pakkoo
27. März 200322 j Hi, ein Skript schicken? Also wenn du einen angemesenen Stundenlohn zahlst erledige ich _deine_ Arbeit gern. Ansonsten sollte die Frage wohl eher lauten. "Ich habe ein Problem mit meinen Firewallskript. Kann mir jemand dabei helfen?" Das werden wir auch gerne tun wenn du uns mehr/brauchbare Infos lieferst. Have a nice DaY [bRAIN2fast]
27. März 200322 j hy, ich schicke dir mal meine konfiguration der variabeln des susefirewall-skripts. vielleichtr erkennst du ja irgendwelche fehler!! wie sagt die firewall soll den proxy vor angriffen von drauusen schützen!!!! ich hoffe du oder ihr könnt mir helfen erstmal die elementaren fehler zu beheben! danke FW_DEV_EXT="ippp0" fW_DEV_INT="eth0" FW_DEV_DMZ="ippp0" FW_ROUTE="yes" FW_MASQUERADE="no" FW_MASQ_DEV="" FW_MASQ_NETS="" FW_PROTECT_FROM_INTERNAL="no" FW_AUTOPROTECT_SERVICES="yes" FW_SERVICES_EXT_TCP="" FW_SERVICES_EXT_UDP="" FW_SERVICES_EXT_IP="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_DMZ_IP="" FW_SERVICES_INT_TCP="80 3128 10000 21 22 443 563 23 " FW_SERVICES_INT_UDP="" FW_SERVICES_INT_IP="" FW_TRUSTED_NETS="" FW_ALLOW_INCOMING_HIGHPORTS_TCP="no" FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS" FW_SERVICE_AUTODETECT="yes" # Autodetect the services below when starting FW_SERVICE_DNS="no" FW_SERVICE_DHCLIENT="no" FW_SERVICE_DHCPD="no" FW_SERVICE_SQUID="yes" FW_SERVICE_SAMBA="no" FW_FORWARD="" # Beware to use this! FW_FORWARD_MASQ="" # Beware to use this! FW_REDIRECT="" # FW_LOG_*_ALL defaults to "no" FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="yes" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW" FW_KERNEL_SECURITY="yes" FW_STOP_KEEP_ROUTING_STATE="yes" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="yes" FW_ALLOW_PING_EXT="yes" FW_ALLOW_FW_TRACEROUTE="no" FW_ALLOW_FW_SOURCEQUENCH="yes" FW_ALLOW_FW_BROADCAST="yes" FW_IGNORE_FW_BROADCAST="yes" FW_ALLOW_CLASS_ROUTING="no"
27. März 200322 j hi, also wenn ich das richtig verstanden habe möchtest du _nur_ das der Squid von aussen nicht sichtbar ist. Das kannst du mit einem $iptables -A INPUT -p tcp --dport 3128 -i $EXT_IFACE -j DROP erreichen. Weitere Info's hier (bringt Goolge als Antwort): http://www.wrecky.de/r-susefirewall2.html http://prdownloads.sourceforge.net/susefaq/SuSE-FAQ-140303.pdf?use_mirror=flow Have a nice DaY [bRAIN2fast]
28. März 200322 j hallo brain2fast!! ich wollte,daß das susefirewall-skript so konfigurieren wird, daß nur erlaubte pakete angenommen werden!! nichts grossartiges, keine iptables!! die firewall ist ein teil meines projektes,wenn ich noch mit iptables anfangen würde, würde rahmen gesprengt!
28. März 200322 j Originally posted by pakkoo [...] nichts grossartiges, keine iptables!! die firewall ist ein teil meines projektes,wenn ich noch mit iptables anfangen würde, würde rahmen gesprengt! Hi, Also halten wir mal fest: Du hast ein Projekt eine _Firewall_ einzurichten. Dazu schreibst du in einem Skript ein paarmal "yes" und auch ein paarmal "no" und nicht zu vergessen ein paar zahlen. Das klappt dann natürlich nicht weil du dich ganz offensichtlich kein bischen mit dem Thema auseinandergesetzt hast. Keine gute Vorraussetzung für ein Projekt. Ein Tipp: RTFM! Alles was du bis jetzt gemacht hast war ein paar Variblen zu füllen. Diese Variablen werden in ein _iptables_ Skript eingebaut. Denn ohne iptables wird das schwer zu realisieren sein. Das heißt ein gewisses Grundwissen über iptables sollte schon da sein. Wenn du was einstellen möchtest was in dem Skript nicht vorgeshen war dann musst man das eben von Hand machen. Und wenn ich das richtig sehe (bin kein SuSE Experte) dann ist da keine Variable die dafür zuständig ist Ports auf dem äusseren Interface zu sperren. Wirst also Wohl oder Übel selbst Hand anlegen müssen. www.netfilter.org ist immer zu empfehlen. Das hab ich von Google: /usr/share/doc/packages/SuSEfirewall2/EXAMPLES ! /usr/share/doc/packages/SuSEfirewall2/FAQ ! /usr/share/doc/packages/SuSEfirewall2/SuSEfirewall2.conf.EXAMPLE ! Have a nice DaY [bRAIN2fast] P.s.: Darf ich den letzten Satz in deinem Posting als Sig benutzen? Der Satz ist einfach ein Brüller. ;-)
28. März 200322 j mir war schon klar, daß unter /usr/share/.... beispiele und faq stehen, die ich auch gelesen habe. das die variabeln der susefirewall die iptables verändern war mir auch klar, nur ich wollte nicht eigene anlegen in einem skript!! weil dies den rahmen sprengen würde!! ich wollte nur meine konfiguration ma probel lesen lassen !!
Archiv
Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.