SuSEfirewall2 und Esel

#1 hallo,

schlage mich auf nervenaufreibene weise mit meiner SuSEfirewall2 rum. will nichts weiter machen, als mich dicht zu halten und lediglich einige ports zu öffnen, für e-donkey z.b.. alles drehen an der config-datei hat wenig geholfen, ich krieg die ports einfach nicht auf, bzw. kann der esel über seine defaults (4661 nicht wahr?) einfach nicht connecten.
hat jemand eine idee oder ähnliches prob bereits gelöst.
bin für alles dankbar
adios

#2 Hallo, hast Du alle Ports freigegeben? tcp 4661, 4662 und 4663 glaube ich und dann dazu noch den udp 4665? Die benötigten Ports sind auf diversen Esel-Seiten beschrieben. Wie äussert sich der Fehler eigentlich?
Kannst Du mir Deine Firewall Konfiguration mal zuschicken (rb@brr-dresden.de)?
Ciao
:-)

#3 Also ich mach seit 2 Tagen damit rum.
Diese SF2 von SuSE lässt sich null konfigurieren.
Starten und stoppen Das wars dann aber auch.
Nach dieser Config her ... sollte der Esel laufen (als Server) !
Tja .. ich kann einstellen was ich will. Er sagt mir immer
das 25 und der 110 auf sind (beim scannen, komischerweise IMMER).
Auch wenn ich kein POP oder SMTP will.

ARGL !




# 8.)
# Do you want to autoprotect all running network services on the firewall?
#
# If set to "yes", all network access to services TCP and UDP on this machine
# will be prevented (except to those which you explicitly allow, see below:
# FW_SERVICES_{EXT,DMZ,INT}_{TCP,UDP})
#
# Choice: "yes" or "no", defaults to "yes"
#
FW_AUTOPROTECT_SERVICES="yes"
#
# Common: smtp domain
FW_SERVICES_DMZ_TCP="4661 4662 6436 http https"
# Common: domain
FW_SERVICES_DMZ_UDP="4665 6346 53 3128"
# For VPN/Routing which END at the firewall!!
FW_SERVICES_DMZ_IP=""
# For VPN/Routing which END at the firewall!!
FW_SERVICES_INT_IP=""
#
# Common : edonkey domain
FW_SERVICES_EXT_TCP="4661 4662 4665 6346 http https"
# Common : edonkey domain
FW_SERVICES_EXT_UDP="4665 6346"
# Common : edonkey domain
FW_SERVICES_INT_UDP="4665 6346 53 3128"
# For VPN/Routing which EMD at the firewall!!
FW_SERVICES_EXT_IP=""
# Common : edonkey domain
FW_SERVICES_INT_TCP="4661 4662 6346 53 3128 http https"
#
#FW_ALLOW_INCOMING_HIGHPORTS_TCP="4661:4662"
#FW_ALLOW_INCOMING_HIGHPORTS_UDP="4665"

#4 Falls du noch nen alten Kernel hast (2.2 )mit ipchains, dann lad dir ma pmfirewall runter! Der is super easy zu konfigurieren und du musst nich jedesmal nen Port aufmachen, wenn du auf deiner Moehre nen client startest, das macht der dann selber!

gruesse,
KnOxX
PSmfirewall unterstuetzt z.Z leider nur ipchains...

#5 Hallo,

ich nutze ebenfalls die SuSE-Firewall und hatte anfänglich große Problem.
Ich dümpelte beim Transfer zwischen 3-10 KB/s und hatte i.d.R eine ID < 500.

Die Erleuchtung kam als ich was Port-Forwarding las. Das setze ich um und schon ging`s. Jetzt habe ich eine Traffic zwischen 5-70 KB/s und eine 10-stellige-ID.

Die EINZIGE Stelle, an der die eDonkey-Ports bei mir im Firewall2-Skript auftauchen ist unter FW_FORWARD_MASQ="0.0/0,192.168.x.x,tcp,4661:4662 0.0/0,192.168.x.x,udp,4665".

Dadurch werde alle Verbindungen auf Port 46xx direkt an den Windows-Client weitergeleitet.

Gruss
trooper_666

#6 Hallo, Trooper_666!
Einen Portforward machst du aber auch nur, wenn Dein edonkey-client nicht auf der Firewall laeuft...

Ausserdem: Wieso benutzt du einen Windows-Client, wenn du ne Linux-Firewall hast??? Sauch dir ma mldonkey(z.B ueber freshmeat), da hast du dann immer volle Bandbreite! hehe

Gruesse,
KnOxX

PS: Es gibbet ein Windows-GUI fuer mldonkey, der connected sich dann ueber telnet auf den mldonkey, falls du mehr auf Windowsbasierten Programmen stehst....

#7 Der Inhalt der Server.ini bzw. Server.met muss aktuell sein.
Weiter Infos+Links hier: http://www.edonkey-faq.de/faq.htm
Alle Posts zu E-donkey, die nicht direkt mit Firewall-Einstellungen zu tun haben, werden gelöscht !
Grüsse, Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#8 Pfff...

Wer macht denn schon mit der SFW2 rum???!? Lasst die Pfoten von dem Scheiß und machte es so wie es sich gehört. IPCHAINS bzw IPTABLES sind das womit mal ein FW-Script macht und net mit nem dämlichen von SuSE gefummelten Schrott, der sich kaum konfigurieren lässt.

Geht mal www.linuxeinsteiger.org und lernt wie das richtig funzt. Das ist leichter als ihr denkt. Ich kann es nur empfehlen!!!

LordDarkmage

#9

Zitat

�CutLaRoc postete
Also ich mach seit 2 Tagen damit rum.
Diese SF2 von SuSE l�sst sich null konfigurieren.
Starten und stoppen Das wars dann aber auch.
Nach dieser Config her ... sollte der Esel laufen (als Server) !
Tja .. ich kann einstellen was ich will. Er sagt mir immer
das 25 und der 110 auf sind (beim scannen, komischerweise IMMER).
Auch wenn ich kein POP oder SMTP will.

ARGL !

Versuchs mal mit: FW_AUTOPROTECT_SERVICES="no". So geht dann alles zu, ausser den Port die Du explizit offenhälst.

Zitat

# 8.)
# Do you want to autoprotect all running network services on the firewall?
#
# If set to "yes", all network access to services TCP and UDP on this machine
# will be prevented (except to those which you explicitly allow, see below:
# FW_SERVICES_{EXT,DMZ,INT}_{TCP,UDP})
#
# Choice: "yes" or "no", defaults to "yes"
#
FW_AUTOPROTECT_SERVICES="yes"
#
# Common: smtp domain
FW_SERVICES_DMZ_TCP="4661 4662 6436 http https"
# Common: domain
FW_SERVICES_DMZ_UDP="4665 6346 53 3128"
# For VPN/Routing which END at the firewall!!
FW_SERVICES_DMZ_IP=""
# For VPN/Routing which END at the firewall!!
FW_SERVICES_INT_IP=""
#
# Common : edonkey domain
FW_SERVICES_EXT_TCP="4661 4662 4665 6346 http https"
# Common : edonkey domain
FW_SERVICES_EXT_UDP="4665 6346"
# Common : edonkey domain
FW_SERVICES_INT_UDP="4665 6346 53 3128"
# For VPN/Routing which EMD at the firewall!!
FW_SERVICES_EXT_IP=""
# Common : edonkey domain
FW_SERVICES_INT_TCP="4661 4662 6346 53 3128 http https"
#
#FW_ALLOW_INCOMING_HIGHPORTS_TCP="4661:4662"
#FW_ALLOW_INCOMING_HIGHPORTS_UDP="4665"

#10 Mit lesen habt ihr's nicht so, oder?

1. SuSEfirewall2 ist nur n Frontend für iptables.
Das Ding erzeugt einen Satz von iptables-Regeln aus den Einstellungen in seinem Konfigfile.

2. Wenn man was außer der Reihe einbauen will, kann man immer noch Regeln mit iptables machen
und die dann über SuSEfirewall2-custom einbauen, wo sie automatisch mit der Firewall zusammen gestartet oder gestoppt werden.

3. RTFM!

#11 Infos zum Suse Firewall 2 findet Ihr auch im Buch von kofler (www.kofler.cc).
Im Anhang stehen Suse Linux 8.0 spezifische Einstellungen und Tipps:
http://www.kofler.cc/pdf/linux6_suse80.pdf -> Firewall-Abschnitt suchen, lesen [...] Aha!
---
www.schnorpser.de
---

#12 hat eigentlich irgendjemand das jetzt zum laufen bekommen? bei mir geht der forward den trooper beschrieben hat nicht... such jetzt seit 5 tagen das netz ab und hab 1000 sachen probiert und niemand hat ne info die richtig ist...
bitte helft :o)

#13 FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_NETS="192.168.XX.X/24"
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_TCP="4661 4662"
FW_SERVICES_EXT_UDP="4665"
FW_SERVICES_INT_TCP="ssh domain 4661 4662"
FW_SERVICES_INT_UDP="ssh domain 4665"
FW_ALLOW_INCOMING_HIGHPORTS_TCP="4661 4662"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="4665"
FW_SERVICE_AUTODETECT="yes"
FW_FORWARD=""
FW_FORWARD_MASQ="0/0,192.168.XX.XX/24,tcp,4661:4662 0/0,192.168.XX.XX/24,udp,4665 192.168.XX.XX/24,0/0,tcp,4661:4662 192.168.XX.XX/24,0/0,udp,4665"

Diese .config funktioniert !!! viel glück (btw wenn jemand eine bessere Lösung hat "her damit")

#14 Erst einmal : Darkmage ist auf der richtigen Seite.
Ehrlich gesagt halte ich ein überkompliziertes Startkonzept für FW2, wie es betrieben wird, für fragwürdig. Zum anderen .. könnt ihr euch das erlernen der Sytnax von FW2 sparen und werdet damit auch weniger abhängig von einer Distri, schaut einfach bei netfilter.org in die FAQs und Docus zu iptables und lernt euren Kernel anzupassen, so noch nicht geschehen.
Wenn ich das Skript oben mit dem FW_FORWARD_MASQ richtig interpretiere, schiebt macw die incoming Ports einfach auf sein C-Class Subnetz intern durch. Kann man machen, muss aber nicht sein.
Ich habe in der Tat eine andere Lösung sowohl für netmeeting, icq inbound file transfer wie auch z.B. Krempel ala Kaazaa gefunden, es nennt sich Dante Socks Proxy. Der läuft unter einem eigenen User -nicht root - und benutzt somit nur highports. Die INPUT CHAIN kommt dennoch ohne "NEW" matching aus. Für das edonky (was ich nicht kenne) : wenn es keinen Socks Proxy unterstützt, kann man einen socksifier downloaden. Das tool wäre z.B. sockscap 2.0
Dante gibts bei
http://www.inet.no/dante/
sockscap als halbjahres trial
http://www.socks.nec.com/reference/sockscap.html
Wer mein komplettes FW script und die Dante socksd.conf haben möchte, kann mir eine Email schreiben an awenir@web.de
Bye for now
Awe

#15 Dat Funzt leider nicht richtig.
Mittels Webmin kann man über Niemüller's Iptables - Frontend Rules erstellen.
Diese werden in der SuSEfirewall2-custom eingebettet.
Soweit so gut.
Nur funzt dat nicht korrektamundomäßig.
Nachträglich zur SuSEFirewall2 gesetzte (zu öffnende) Ports / Services werden nicht akzeptiert....
Theorie, 'TFM' & Wirklichkeit klaffen da auseinander...