Portál AbcLinuxu, 12. května 2025 06:37

Dotaz: SuSEfirewall2 - zopar nejasnosti

15.4.2009 14:48 needlinux | skóre: 2
SuSEfirewall2 - zopar nejasnosti
Přečteno: 260×
Odpovědět | Admin
Příloha:

Pozdravujem vsetkych,

zopar dni sa zoznamujem so SuSEfirewall2 a stale mi tam zostavaju nejake zahady, ktore si neviem vysvetlit a nevie mi ich vysvetlit ani manual. Mozem poprosit niekoho tejto veci znaleho, kto by to vedel objasnit?

Popis siete:

Dva podobne servery SRV_1 a SRV_2
    - eth0 kazdeho serveru je pripojena do spolocnej sieti
    - eth1 kazdeho serveru je pripojena do samostatneho internetu, rozny provider, SRV_1 ma verejnu IP
    - na oboch serveroch je rovnake SuSE 10.0
    - oba servery vyuzivam ako router int. pre celu siet (rozhoduje brana na klientovi)
 

Moj konfiguracny subor:
    - na oboch serveroch je okrem identifikacie eth totozny konfiguracny subor:

/etc/sysconfig/SuSEfirewall2

FW_DEV_EXT="eth-id-00:33:44:55:66:77"
FW_DEV_INT="eth-id-00:88:99:aa:bb:cc"
FW_DEV_DMZ=""
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INT="no"
FW_SERVICES_EXT_TCP=""
FW_SERVICES_EXT_UDP=""
FW_SERVICES_EXT_IP=""
FW_SERVICES_EXT_RPC=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_DMZ_RPC=""
FW_SERVICES_INT_TCP="80"
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_SERVICES_INT_RPC="mountd nfs nfs_acl"
FW_SERVICES_DROP_EXT=""
FW_SERVICES_REJECT_EXT="0/0,tcp,113"
FW_SERVICES_ACCEPT_EXT=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
FW_ALLOW_INCOMING_HIGHPORTS_UDP=""
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG_LIMIT=""
FW_LOG=""
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_FW_SOURCEQUENCH=""
FW_ALLOW_FW_BROADCAST_EXT=""
FW_ALLOW_FW_BROADCAST_INT=""
FW_ALLOW_FW_BROADCAST_DMZ=""
FW_IGNORE_FW_BROADCAST_EXT="yes"
FW_IGNORE_FW_BROADCAST_INT="no"
FW_IGNORE_FW_BROADCAST_DMZ="no"
FW_ALLOW_CLASS_ROUTING=""
FW_CUSTOMRULES=""
FW_REJECT=""
FW_HTB_TUNE_DEV=""
FW_IPv6=""
FW_IPv6_REJECT_OUTGOING=""
FW_IPSEC_TRUST="no"
FW_ZONES=""
FW_USE_IPTABLES_BATCH=""
FW_LOAD_MODULES=""

Nejasnosti:

  1. Vyuziva SuSEfirewall2 iptables? Ak mam zadefinovane pravidla FW cez iptables, pri starte SuSEfirewall2 som na toto upozorneny a je mi doporucene vypnut ostatne spustene FW
  2. Je postacujuce, ak pred spustenim SuSEfirewall2 zadefinovane pravila cez iptables odstranim  prikazom: ?
       # iptables -F
  3. Ak na SRV_1 vypnem SuSEfirewall2, routovanie internetu zostane zachovane, ibaze zostanu pootvarane porty
    (porty testujem napr. cez: http://www.t1shopper.com/tools/port-scanner/)
    Ak spravim toto iste na SRV_2, routovanie zanikne.
    Znamena to, ze pravidla mozu byt zadane sucasne aj cez iptables aj cez SuSEfirewall2 a tieto su na sebe nezavisle? Podla ktorych sa potom vlastne routuje?
  4. Ak skopirujem konfiguracny subor /etc/sysconfig/SuSEfirewall2 zo SRV_1 do SRV_2, FW na oboch strojoch (po restarte FW) sa nesprava rovnako. Rozdielom je, ze SRV_1 ma pri spustenom FW chranene vsetky porty, ktore su pri vypnutom FW otvorene (testovane aj na klientoch) Na SRV_2 spustenie SuSEfirewall2 s tym istym konfiguracnym suborom nemeni priepustnost portov.
  5. Ako zistim, co sposobuje rozdiel podla bodu c.4? Vystupy prikazov SuSEfirewall2 status a SuSEfirewall2 test su rovnake
  6. Ma SuSEfirewall2 take obmedzenia, pre ktore by nebol vhodny na stavbu seriozneho FW?

Dakujem za kazdu reakciu a nazor!

 

 

 

Nástroje: Začni sledovat (2) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

Coala avatar 15.4.2009 15:52 Coala | skóre: 12
Rozbalit Rozbalit vše Re: SuSEfirewall2 - zopar nejasnosti
Odpovědět | | Sbalit | Link | Blokovat | Admin

Zdravim z mych dojmu asi takto:

Susefirewall2 pouze plni funkci jakehosi frontendu pro iptables.

Pokud na Opensuse spustim TFTP + DHCP + FTP + HTTP servery skrze yast vyplni to konfigurak Susefirewall2 a ty nasledne vyplni iptables.

Takze pokud neco nekde povolit rozhodne v SuseFW2 nebo v prislusne casti yastu. Jinak se ti to prepise po kazdem restartu at uz SuseFW2 nebo rcNetwork.

15.4.2009 17:21 needlinux | skóre: 2
Rozbalit Rozbalit vše Re: SuSEfirewall2 - zopar nejasnosti
Odpovědět | | Sbalit | Link | Blokovat | Admin

Ako si teda mozem vysvetlit spravanie podla bodu c.4? T.j., ze ak skopirujem konfiguracny subor SuSEfirewall2 z jedneho pocitaca na druhy, tak sa FW sprava odlisne??? Jedine co je na serveroch ine, je verejna/neverejna IP a iny provider. Mne sa jedna o zakazanie vsetkych portov a povolenie iba vybratych. Myslel som, ze FW sa bude pri totoznej konfiguracii spravat rovnako.

17.4.2009 10:14 Ladislav Sückr | skóre: 21
Rozbalit Rozbalit vše Re: SuSEfirewall2 - zopar nejasnosti
Odpovědět | | Sbalit | Link | Blokovat | Admin

1. SuSEfirewall2 používá iptables

2. Vlastní pravidla iptables si můžeš do SuSEfirewallu2 přidat třeba pomocí modulu v Yastu (mám openSuSE 11.0 a 11.1 tak nevím jak je to v 10.0) a pak to funguje bez problémů

3. viz 2

4. no podle toho co si sem poslal za konfigurační soubor se to ani jinak chovat nemůže. Identifikace síťových karet je eth-id-MAC-adresa a právě ta část s tou mac adresou je na tom druhém serveru jiná, proto se ti nepřiřadí do správné zóny a nic nedělá. Na tom druhém serveru musíš nastavit FW_DEV_EXT a FW_DEV_INT podle skutečné konfigurace stroje (/etc/sysconfig/network)

5. viz 4

6. To záleží na tom co si představuješ pod pojmem seriózní FW. Základní věci si můžeš "naklikat" v Yastu a nebo dopsat vlastní pravidla. Udělat v něm jde dost.

Myslet špatně je lepší než nemyslet vůbec.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.