wie konfiguriere ich SuSEfirewall2 für freeswan |
||
---|---|---|
#0
| ||
05.02.2004, 01:39
Member
Beiträge: 31 |
||
|
||
06.02.2004, 23:25
Member
Beiträge: 326 |
#2
Bei mir laeuft zwar kein freeswan gateway aber ich musste auch meinem SuSE FW beibringen VPN Sessions zu routen.
Mein Tip: Benutze tcpdump/ethereal und das system log um hearsuzufinden welche ports bzw protokolle geblocked werden und schalte die successive mit iptables frei. Wenn Du es hast kannst Du die rules ins SuSE FW custom.script zur Permanenz einbauen. Meine Erfahrung mit SuSE FW ist, dass es zwar fuer Normalfaelle gut funktioniert - aber in einem VPN Fall ungeeignet ist. In Deinem Fall schein Protokoll 0 geblocked zu werden. Freischlalten und den naechsten Versuch. Einfach den interativen Ansatz waehlen __________ "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds |
|
|
||
07.02.2004, 12:54
Member
Themenstarter Beiträge: 31 |
#3
hallo framp
danke. aber wo finde ich genau SuSE FW custom.script und wie kann ich mit SuSE FW Protokoll 0 freisetzen ? gruss cc |
|
|
||
07.02.2004, 13:47
Member
Beiträge: 326 |
#4
Zitat aber wo finde ich genau SuSE FW custom.scriptAm Ende von /etc/sysconfig/SuSEFirewall2 steht wie das file heisst. Soweit ich weiss ist es standardmaessig auskommentiert. Zitat und wie kann ich mit SuSE FW Protokoll 0 freisetzen ?/usr/sbin/iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --sport $SPORT -j ACCEPT __________ "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds Dieser Beitrag wurde am 07.02.2004 um 13:48 Uhr von framp editiert.
|
|
|
||
07.02.2004, 14:08
Member
Themenstarter Beiträge: 31 |
#5
bekomme aber fehlermeldung:
# iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --sport $SPORT -h ACCEPT iptables v1.2.7a: invalid TCP port/service `-h' specified Try `iptables -h' or 'iptables --help' for more information. |
|
|
||
07.02.2004, 14:39
Member
Beiträge: 326 |
#6
Zitat # iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --sport $SPORT -h ACCEPTMan iptables hilft Fuer $SPORT musst Du Deine SourceAdresse Deine Counterparts eingeben sofern Du sie kennst. Ansonsten weglassen. Dann koennen allerdings alle Prot 0 benutzen. Es muss -j nicht -h ACCEPT heissen. Wenn Du diesen Weg beschreitest musst Du Dich wohl ein wenig mit iptables auseinandersetzen __________ "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds |
|
|
||
07.02.2004, 17:19
Member
Themenstarter Beiträge: 31 |
#7
hallo framp
danke, aber # iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --sport 195.X.X.X -j ACCEPT iptables v1.2.7a: invalid TCP port/service `195.X.X.X' specified Try `iptables -h' or 'iptables --help' for more information. # iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --sport -j ACCEPT iptables v1.2.7a: invalid TCP port/service `-j' specified Try `iptables -h' or 'iptables --help' for more information. # iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --sport -h ACCEPT iptables v1.2.7a: invalid TCP port/service `-h' specified Try `iptables -h' or 'iptables --help' for more information. auch wenn ich $SPORT weglasse mein linux hat grosse mühe mit diesen eintrag. und mit man iptables komme ich nicht weiter. gruss cc Dieser Beitrag wurde am 07.02.2004 um 17:20 Uhr von cc editiert.
|
|
|
||
07.02.2004, 18:31
Member
Beiträge: 326 |
#8
Sorry,
habe das nur abgetippt und nicht kopiert. Muss -s 195.x.x.x heissen. Nobody ist perfect __________ "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds |
|
|
||
07.02.2004, 19:14
Member
Themenstarter Beiträge: 31 |
#9
auch error
# iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --sport -s 195.x.x.x -j ACCEPT iptables v1.2.7a: invalid TCP port/service `-s' specified |
|
|
||
07.02.2004, 19:21
Member
Beiträge: 326 |
#10
Zitat cc postete--sport x.y.z => -s x.y.z, also --sport noch weg. __________ "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds |
|
|
||
07.02.2004, 20:04
Member
Themenstarter Beiträge: 31 |
#11
geht auch nicht
# iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp -s 195.x.x.x -s ACCEPT iptables v1.2.7a: multiple -s flags not allowed |
|
|
||
04.11.2004, 14:50
...neu hier
Beiträge: 2 |
#12
Hei Jungs,
habe bei mir fast das gleiche Problem. Bei mir aber mit einem VPN mit pptpd auf einem SuSE 8.0 Server. Der Tunnel steht soweit schon nur das Routing funktioniert nicht (sprich kein Ping möglich) wenn ich die Firewall aktiviert habe. Wenn ich sie deaktiviere funktioniert es. Port TCP 1723 und Protokoll GRE sind eigentlich freigegeben. Wie kann ich das Problem mit der Firewall beheben? Grüße |
|
|
||
habe enormes problem
mit meiner linux SuSE 8.2 kiste habe ein freeswan gateway
erfogreich eingerichtet:
extern eth0 195.X.X.10 und
intern eth1 192.168.115.1
internes netz ( trusted ) 192.168.115.0/24
remote:
extern 195.X.X.2
intern 192.168.0.0/24
bei eingeschalteter firewall:
# ipsec verify
Checking your system to see if IPsec was installed and started correctly
Version check and ipsec on-path [OK]
Checking for KLIPS support in kernel [OK]
Checking for RSA private key (/etc/ipsec.secrets) [OK]
Checking that pluto is running [OK]
DNS checks.
Looking for forward key for ext [FAILED]
Looking for TXT in reverse map: X.X.X.195.in-addr.arpa [OK]
Does the machine have at least one non-private address [OK]
# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
195.X.X.0 * 255.255.255.240 U 0 0 0 eth0
195.X.X.0 * 255.255.255.240 U 0 0 0 ipsec0
192.168.0.0 gw.net.x 255.255.255.0 UG 0 0 0 ipsec0
192.168.115.0 * 255.255.255.0 U 0 0 0 eth1
default gw.net.x 0.0.0.0 UG 0 0 0 eth0
freeswan funktioniert , aber wenn ich SuSEfirewall2 auf gleicher
linux kiste starte, dann ist es fertig lustig:
keine verbinung zum remote netz, pings funktionieren nicht mehr usw.
im log habe viele solche meldungen gesehen:
"SuSE-FW-ILLEGAL-TARGET IN=ipsec0 OUT=
MAC=00:02:b3:3f:41:9f:00:91:7f:04:41:2ab:09:00 SRC=192.168.0.1
DST=192.168.115.1 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=24827
PROTO=ICMP TYPE=0 CODE=0 ID=4115 SEQ=1345"
bei SuSEfirewall habe ungefähr solche konfigurationen:
FW_DEV_EXT="eth0 ipsec0"
FW_DEV_INT="eth1"
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_SERVICES="no"
FW_SERVICES_EXT_UDP="500"
FW_SERVICES_EXT_IP="50 51"
FW_TRUSTED_NETS=192.168.115.0/24 192.68.0.0/24
FW_ALLOW_INCOMING_HIGHPORTS_TCP="no"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS"
FW_SERVICE_AUTODETECT="yes"
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_KERNEL_SECURITY="no"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_CLASS_ROUTING="yes"
weiss jemand an was es liegt ?
ich habe schon fast alles mögliche probiert, komme aber nicht weiter.
gruss
cc