Linux SuseFirewall2

#1 Hi Leute,

hab da mal ne Frage: Wie kann ich ganz einfach den Port 4662 etc. in meiner Firewall SuseFirewall2 freischalten??? Muss nicht unbedingt ein Script sein, es genügt auch ein Befehl oder so.
Freue mich schon auf Antworten,

cYa,
Fragmaster

#2 http://board.protecus.de/t286.htm
das sollte dir helfen
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#3 schick deine susefw zum teufel und pack iptables/ipchains aus
du ahst damit wenn du dich bischen reinarbeitest weniger probs
die SuSE FW ist fehlerhaft und ungenau

Code

ipchains Starthilfe
--------------------

Dieser text ist fuer anfaenger gedacht und deshalb wird nicht alles
moegliche erklaert.

---------------------------------------------------------------------

Auf den ersten blick sieht ipchains nicht anders aus als eine
Desktop-Firewall fuer windows. Aber es ist nicht so. waehren
unter windows alle bisherigen Firewalls mit eingehenden und
ausgehenden verbindungen arbeiten ist das bei ipchaisn etwas anders.
Es wird jedes packet beruecksichtigt. Das heisst das man nicht alle
eingehenden packete blokieren darf sonst ist eine Kommunikation mit
anderen Hosts unmoeglich. Es giebt zwar die moeglichkeit alle eingehenden
pakete zu blokieren und dann fuer die Protokolle (http, ftp, irc, ...) die
entsprechenden Ports freigeben. Aber ich rate dovon ab da es etwas
erfahrung mit ipchains fordert und genuegend zeit bis man eine
Konfiguration hat die auch funktioniert.

fuer die zwecke fuer die dieser Text gedacht ist sind nur die listen
"input" und "output" wichtig. Zuerst loeschen wir moegliche Regeln in den
Listen:

ipchains -F input
ipchains -F output
ipchains -F forward

[ipchains -F <name der Filter-Liste>]

So, nun muessen die Policys festgelegt werden. die sind da wenn keine der
Regeln die in der Liste stehen zutreffen.

ipchains -P input ACCEPT
ipchains -P output ACCEPT
ipchains -P forward DENY

Eingehende Packete und ausgehende werden jetzt immer akzeptiert. Da wir
uns hier nur mit grundlegenden dingen beschaeftigen wird am Ende wenn
dieser Text abgearbeitet wurde die Liste "forward" leer sein, also stellen
wir sie auf DENY. (man kann anstatt "DENY" auch "REJECT" benutzen, aber es
ist nicht wirklich sinnvoll, da bei "DENY" das Packet verworfen wird, bei
"REJECT" wird die verbindung abgewiesen. also ein packet geht wieder
zurueck zum absender. wird demjenigen besser gefallen der das packet
abschick da er nicht bisd auf den timeout warten muss aber einem selbst
bringt das wenig.)


hier erst mal die parameter die wir brauchen:

-A <ListenName>                die Regel wird ans Ende der Liste
                      gesetzt.
-I <ListenName>               die Regel wird an den Anfang der
                     Liste gesetzt.
-j (DENY | REJECT | ACCEPT | MASQ)   Handhabung (was mit dem packet das
                     auf die Regel zutrift gemacht werden
                                     soll. (MASQ wird hier in dem Text
                     nichtmehr erwaehnt da es nur auf der
                          forward-Liste verwendet werden kann.
--dport    startport:endport         Legt den ziel-Port/Port-range fest.
--sport    startport:endport         Legt den Quell-Port/Port-range fest.
-p (tcp | udp | icmp | all)         Legt das Protokoll fest
-s 127.0.0.1 12:130             Legt die Quelladresse und/oder Port
                     fest (in diesm beispiel wuerde die
                     Regel nur auf packete von 127.0.0.1
                     die vom Port 12 bis 130 kommen
                     zutreffen.
-d 192.168.0.1 12:111             legt die zieladresse und Port fest.
                     bei der die regel zutreffen soll.
-L <ListenName>                 Zeit alle regeln in der angegeben
                     liste an. wenn kein listenName
                     angegeben wird werden alle regeln
                     angezeig.
-i <dev>                 auf welchem netzwerk-device das
                     Paket ankommen muss das die Regeln
                     zutrifft
-l                     logging aktivieren                     
                     

Ich schreibe hier einmal eine beispiel-script den man eigentlich ohne groessere
Probleme uebernhemen koennen sollt:

#ipchains-configuration-script by Guinn3sS
#
#Erst mal alle moeglicherweise vorhandene Regeln loeschen:
ipchains -F input
ipchains -F output
ipchains -F forward
#
#Jetzt die Policys setzen das packete die keiner der festgelegten regel
#entsprechen dementsprechen gehandhabt werdn:
ipchains -P input ACCEPT
ipchains -P output ACCEPT
ipchains -P forward DENY
#
#Den syn-flood-schutz einschalten. (0 = aus / 1 = an)
sysctl -w net.ipv4.tcp_syncookies=1
#
#Pings an die broadcast-adresse(z.B. 192.168.0.255) ignorieren.
sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
#
#Echo-Replay blocken (nicht auf pings "antworten")
ipchains -A output -p icmp --icmp-type 0 -j DENY
#es kann auch noch ein "-i <dev>" angefuegt werden wenn man z.B.
#im netzwerk pingbar sein moechte nur ueber ppp-verbindungen nicht
#dann ist das anfuegen von "-i ppp0" sinnvoll.
#
#zugriff auf den DNS-Dienst erlauben.
ipchains -A output -p udp --sport 32768:60999 --dport 53 -j ACCEPT
ipchains -A input -p udp --dport 32768:60999 --sport 53 -j ACCEPT
ipchains -A output -p tcp --sport 32768:60999 --dport 53 -j ACCEPT
ipchains -A input -p tcp --dport 32768:60999 --sport 53 -j ACCEPT
#
#alle packete die ueber logehen erlauben.
ipchains -A input -i lo -j ACCEPT
ipchains -A output -i lo -j ACCEPT
#
#
#So, nun werden einzelen Ports geblockt bzw erlaubt. Wer was anders haben
#mag soll es bitte selbst aendern bzw sei eigenen script schreiben, denn
#wie gesagt ist dieser Text fuer anfaenger gedacht. wer das abaender trotzdem
#versuchen moechte hat hier die bedeutung von ACCEPT, DENY, ...
#ACCEPT = Akzeptieren
#  DENY = paket wird verworfen (der absender erhaelt keine nachricht)
#REJECT = paket wird zurueckgewiesen (der absender wird benachrichtigt)
#
#nun ein paar dienste die gerne fuer Probleme sorgen auf REJECT setzen.
#Das waeren Proxy-Ports, und den ident-dienst. nach Proxys wird gescanned wenn
#man eine verbindeung zu einem irc-server aufbaut was dann wenn einer leuft in
#einem einem server-ban endet. Der ident-dienst ist auch nicht zwingen
#erforderlich
ipchains -A input -p all --dport 8080 -j REJECT
ipchains -A input -p all --dport 8088 -j REJECT
ipchains -A input -p all --dport 3128 -j REJECT
ipchains -A input -p all --dport 113 -j REJECT
#NetBus und BO2K blokieren. (wiso DENY? Weil der der mit sowas spielt auch
#genug zeit hat um auf den "time out" warten zu koennen ;)
ipchains -A input -p tcp --dport 12345 -j DENY
ipchains -A input -p tcp --dport 31337 -j DENY
#
#ftp-data erlauben.
ipchains -A input -p tcp --dport 20 -j ACCEPT
#
#port 1 bis 1024 blokieren (logging (-l) ist an!!! Bitte abschalten bzw ab
#und zu die Logs loeschen)da machne daemons die auf den Ports listen als
#root laufen und so eine moegliche sicherheitsluecke sein koennen.
ipchains -A input -p all --dport 1:1024 -j DENY -l
#
#anzeigen der monentanen konfiguration.
ipchains -L
#
#Ende des scripts!!!

------------------------------------------------------------------------------

Wer noch fragen hat die durch den Text nicht beantwortet wurden kann diese
mir Gerne schicken (E-Mail, ICQ, irc, ...)

Dieser Text darf unveraendert verbreitet werden!!!
Aktuelle Versionen giebts auf: http://guinn3ss.myip.org

------------------------------------------------------------------------------

Written by: Guinn3sS
      ICQ#: 92262618
    E-Mail: guinn3ss@guinn3ss.servebeer.com
       irc:
        irc.euirc.net #the-security
        guinn3ss.servebeer.com #SecureNet

__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de