Linux => Neueinsteiger => Frustration => Hilfe

#76

Zitat

Der Einfachheit halber werde ich aber auch in Zukunft nur 'Linux' zu 'GNU/Linux' sagen. Ist weniger Tipp-Arbeit.

Hoffentlich schaffst du es noch bis zum Kühlschrank zu laufen
Ich find einfach das dies ein ganz wichtiger Punkt ist der leider irgendwie oft untergeht. Ohne GNU wär nichts mit dem Linux was du jetzt kennst - abgesehen vom kernel kommt ja alles von GNU (all das was du evntl. täglich benutzt - userland, applikationen etc)

Zitat

Übrigens ... Ich bin schon nicht mehr so frustriert wie zu Beginn dieses Threads.

Das ist doch mal was positives.

Zitat

Die PC's habe ich aber immer noch nicht dazu bringen können eine Verbindung miteinander herzustellen. Ich nehme mal an, daß das an den Firewalls liegt, die auf beiden System aktiviert sind.

Kommt drauf an ob der netfilter ( so nennt man die firewall die in Linux eingebaut ist ) kompiliert ist oder nicht - ich denke schon da es sich bestimmt um einen fertig distro handelt - wenn du per iptables (das admin tool für den netfilter) von dem netfilter gebrauch machst wird er automatisch aktiviert falls er nicht schon im kernel ist. Dann solltest du dich wohl mal mehr mit iptables bekannt machen. Oder einfach erstmal alle Policies auf ACCEPT stellen und dich hinterher drum kümmern falls du das dingen überhaupt brauchst.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#77

Zitat

Die PC's habe ich aber immer noch nicht dazu bringen können eine Verbindung miteinander herzustellen. Ich nehme mal an, daß das an den Firewalls liegt, die auf beiden System aktiviert sind.

Bei SuSE gibt es da /etc/sysconfig/SuSEfirewall2 und da laesst sich vieles FW maessiges konfigurieren.
@Xeper
Ich weiss - das ist nicht das gelbe vom Ei - aber als Einstieg in netfilter durchaus zu gebrauchen.
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds

#78 @framp

Ich erinner mich an die Zeit an der ich SuSEfirewall2 benutzt hab (oder wars 1??) - und ich erinnere mich auch das ich irgendwann doch selbst durch iptables durchsteigen musste und das leider SuSEfirewall2 nur auf schrott aufgebaut hatte und es mir in keinster weise weiterhalf - im endeffekt war es viel komplizierter als sich einfach die eigenen Regeln in ein script zu schreiben und es war auch sehr verwrirrend. (außerdem gings sowieso nie). Ich kann es jedenfalls gerade zum Einstieg überhaupt gar nicht empfehlen weil es null mit den iptables regeln zu tuen hat auch wenn es iptables benutzt (muss es ja). Trozdem ist es einfach nur tausendmal komplizierter und im endeffekt hast du nur deine Zeit dadurch verschwendet weil du sowieso nicht an iptables vorbei kommst.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#79 dem kann ich nicht zustimmen xeper (wäre ja auch öde)

ich selbst habe die SuSE-FW (2) zwar nie benutzt und nutze selbst die netfilter/iptables syntax, bin aber letztens bei einem kunden mit diesen SuSE scripten in kontakt gekommen, da der kunde sich selbst nicht in die iptables syntax "reinlernen" wollte (demnach durfte ich es ihm anhand der SuSE-FW einrichten)

die graphische oberfläche im yast hilft binnen kurzer zeit (4 schritte) eine rel. sichere firewall (netzwerkgrundlagen vorausgesetzt) aufzusetzen

und wenn man sich das script anschaut (siehe posting von framp), so ist es überhaupt nicht kompliziert - in ähnlicher weise baut man auch eigene FW-Scripte für iptables (sourcen eines config files, bash script mit iptables anweisungen)

nebenbei werden auch noch einige /proc schalterchen gesetzt, die der ein oder andere wohl (aufgrund mangelnden wissens) nicht in sein "erstes" iptables-bash-script gepackt hätte

es dauert auch eine weile, bis man sich so in die syntax von iptables eingearbeitet hat, dass man nicht seine FW durch config-fehler aushebelt und nutzlos macht - bei der SuSE-FW ist dies rel. schwer

Fazit: für jeden, der zunächst eine linux fw installieren/einrichten möchte und noch keine weiteren erfahrungen in sache netzwerk und bash-scripting (incl iptables) hat, empfehle ich die SuSE-FW (oder adäquate generatoren)

greez

#80

Zitat

Fazit: für jeden, der zunächst eine linux fw installieren/einrichten möchte und noch keine weiteren erfahrungen in sache netzwerk und bash-scripting (incl iptables) hat, empfehle ich die SuSE-FW (oder adäquate generatoren)

@Emba
Haette mein Posting sein koennen. Mir fehlen eben immer die Worte . Exakt so meinte ich es oben. Als Einsteiger ohne grosse netfilter Kenntnisse mal schnell eine geschuetzte Netzwerkverbindung aufbauen - dazu ist es gut. Nach einer Weile merkt man dass manches nicht so geht wie man will und kann sich dann (mit geschuetztem Linux) langsam in netfilter einarbeiten.
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds

#81

Zitat

Als Einsteiger ohne grosse netfilter Kenntnisse mal schnell eine geschuetzte Netzwerkverbindung aufbauen - dazu ist es gut.

falsch - der netfilter dient nicht als schutz - sondern zum überwachen und kontrollieren des netz verkehrs.

Du verschwendest nur zeit mit dem susi script und portierbar ist es ja auch nicht. Es wäre besser von Anfang an zu raffen wie der netfilter funktioniert - danach ist alles nur noch schwerer und komplizierter (oder es erscheint so).
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#82 Eine sicherlich interessante FW Lektuere in Deustch:
http://board.protecus.de/t9424.htm
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds

#83 Hallo Leute,

so, jetzt bin ich mal wieder da. Zuerst mal Danke für Eure Beiträge.

@Xeper:

Zitat

Hoffentlich schaffst du es noch bis zum Kühlschrank zu laufen

Ja danke, ich bin noch recht rüstig für mein Alter.
Es ist doch absolut nicht so, daß ich die Leistungen und Verdienste der GNU-Gemeinde nicht anerkenne, im Gegenteil.

Trotzdem bin ich tippfaul. Hmmm .... vielleicht gibt es ja ein Programm, welches im Hintergrund läuft und das jedesmal den von Tastatur eingegebenen Begriff 'Linux' automatisch durch den kompletten Begriff ersetzt. Ist nur Spaß, nicht gleich schimpfen.

Aber jetzt mal wieder im Ernst:

Zitat

Die PC's habe ich aber immer noch nicht dazu bringen können eine Verbindung miteinander herzustellen. Ich nehme mal an, daß das an den Firewalls liegt, die auf beiden System aktiviert sind.

Dem ist mittlerweile nicht mehr so.

Die Firewall scheint doch nicht die Ursache für das Problem zu sein.
Auf beiden PC's ist die Firewall gleich eingerichtet. Es werden keinerlei Dienste angeboten und es sind keinerlei Ports freigegeben. Jedenfalls nicht über die YAST-Konfigurationseinstellungen. Andere habe ich nicht vorgenommen.

Wie ich schon mal erwähnt hatte, laufen bei mir zwei PC's die ich mit einander vernetzen möchte. Konfiguration:

PC (A):
- Internetverbindung über DSL-Karte
- USB-Scanner angeschlossen

PC (B):
- USB-Drucker angeschlossen
- ISDN-Verbindung über Fritz!-Card (Fax, etc.)

Drucken von PC (A) auf dem Drucker an PC (B) funktioniert seit kurzem, mittels CUPS. Da bin ich jetzt eigentlich ganz zufrieden mit.

Der Datei-Austausch zwischen PC (A) und PC (B) macht jedoch Probleme.

Es ist mir schon gelungen, mittels DFS-Server- und DFS-Client-Einstellungen, Dateien von PC (A) nach PC (B) und von PC (B) nach PC (A) zu kopieren. Auf beiden PC's hatte ich dazu NFS-Server und NFS-Client eingerichtet. Dateien von PC (A) auf PC (B) zu übertragen geht dabei ohne Probleme, vorausgesetzt PC (B) wird vor PC (A) gestartet.

Dateien von PC (B) nach PC (A) zu übertragen geht nur, wenn ich erst PC (B) starte und dann PC (A), sonst bleibt PC (B) während des Einbindens der Verzeichnisse von PC (A) beim nfs-Verbindungsaufbau zu PC (A) hängen und es dauert eine Ewigkeit, bis das Timeout abgelaufen ist.

Danach muß ich dann die Verbindung manuell herstellen, indem ich über YAST die nfs-Client Einstellungen auf PC (B) vornehme. Anschließend werden die Dateien auf PC (A) korrekt von PC (B) aus erkannt und können auch von PC (B) aus geändert werden.Nach einem Neustart des PC's (B) ist dann alles wieder wie im Absatz vorher beschrieben.

------
Übrigens:
Wie kann man dieses Timeout einstellen ? Erst dachte ich, das System wäre abgestürzt, denn auch nach 10 Minuten hing es immer noch an der gleichen Stelle. Irgendwann lief es dann doch endlich weiter. Mit den gefunden Hinweisen auf die möglichen Optionen kann ich nichts anfangen, weil die Optionen vom System abgelehnt werden, wenn ich sie mittels YAST angebe.
------

Vielleicht sollte ich mal die Startup-Logs und die Shutdown-Logs der beiden PC's hier posten. Könnte das weiterhelfen ?

Also wie gesagt, die Firewall ist es offensichtlich doch nicht. Auch wenn ich die Firewalls abschalte kann ich keine Veränderung am Systemverhalten erkennen.

In letzter Zeit gehe ich übrigens immer häufiger mit Linux ins Internet, weniger mit Windows. Ist doch auch schon was wert, oder nicht ?
Kürzlich war ich auf grc.com und habe einen Port-Scan durchführen lassen.
Bis auf Port 113, der dabei als CLOSED gemeldet wurde, wurden alle Ports als STEALTHED gemeldet. Wie erreicht man unter GNU/Linux, daß auch Port 113 zu STEALTHED wird ?


Gruß

Cascade
__________
Der Pessimist sagt: "Schlimmer, als es jetzt ist, kann es nicht kommen." Der Optimist sagt: "Doch, es kann ..."
Ich bin sehr optimistisch, was die Zukunft angeht ...

#84

Zitat

In letzter Zeit gehe ich übrigens immer häufiger mit Linux ins Internet, weniger mit Windows. Ist doch auch schon was wert, oder nicht ?
Kürzlich war ich auf grc.com und habe einen Port-Scan durchführen lassen.
Bis auf Port 113, der dabei als CLOSED gemeldet wurde, wurden alle Ports als STEALTHED gemeldet. Wie erreicht man unter GNU/Linux, daß auch Port 113 zu STEALTHED wird ?

Offensichtlich ist dein Netfilter falsch konfiguriert wenn alle ports bis auf einen gefiltert werden. Es ist wirklich sinnlos einen port zu filtern der sowieso geschloßen ist da eh kein Dienst dahinter ist. Eine Firewall bietet dir keinen zusätzlichen Schutz evntl. verstehst du das ja falsch - das mag bei einer Desktop Firewall auf Windows so sein da sie lokale Programme blocken kann aber beim GNU/Linux Netfilter ist dies keinesfalls der Fall.

Zitat

Dateien von PC (B) nach PC (A) zu übertragen geht nur, wenn ich erst PC (B) starte und dann PC (A), sonst bleibt PC (B) während des Einbindens der Verzeichnisse von PC (A) beim nfs-Verbindungsaufbau zu PC (A) hängen und es dauert eine Ewigkeit, bis das Timeout abgelaufen ist.

Ja das ist nichts ungewöhnliches - client sucht nach server ansonsten gibts timeout. Server laufen ja ehm eigentlich immer

Zitat

Wie kann man dieses Timeout einstellen ?

ja man nfsd oder so dafür gibts bestimmt ne config.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#85 @Xeper:

Zitat

Offensichtlich ist dein Netfilter falsch konfiguriert wenn alle ports bis auf einen gefiltert werden.

Tja, mag sein. Ich habe jedenfalls an der voreingestellten Netfiltereinstellung von Suse nichts geändert. Laut grc.com haben viele Firewalls Probleme mit der Einstellung des Ports 113. Angeblich würde bisher nur ZoneAlarm die STEALTHED - Einstellung dieses Ports bieten.

Zitat

Ja das ist nichts ungewöhnliches - client sucht nach server ansonsten gibts timeout

Naja, das wäre ja an sich nicht schlimm. Wenn der Timeout dann auch mal in akzeptabler Zeit ablaufen würde.

Zitat

man nfsd oder so

Habe ich mir angeguckt, bisher habe ich nichts gefunden, daß mir in irgendeiner Weise weiterhelfen könnte, jedenfalls nicht bei Verwendung von YAST.

Gruß
Cascade
__________
Der Pessimist sagt: "Schlimmer, als es jetzt ist, kann es nicht kommen." Der Optimist sagt: "Doch, es kann ..."
Ich bin sehr optimistisch, was die Zukunft angeht ...

#86

Zitat

Tja, mag sein. Ich habe jedenfalls an der voreingestellten Netfiltereinstellung von Suse nichts geändert. Laut grc.com haben viele Firewalls Probleme mit der Einstellung des Ports 113. Angeblich würde bisher nur ZoneAlarm die STEALTHED - Einstellung dieses Ports bieten.

Das ist natürlich schwachsinn - tcp/113 ist ein Port wie jeder andere auch aber die Frage stellt sich bei mir gar nicht weil es genauso schwachsinn wäre ihn zu filtern erstrecht wenn er sowieso nicht in benutzung ist.

Zitat

Habe ich mir angeguckt, bisher habe ich nichts gefunden, daß mir in irgendeiner Weise weiterhelfen könnte, jedenfalls nicht bei Verwendung von YAST.

YaST kann dir da auch nicht immer helfen - am besten ist es wenn du die shares nicht am start mountest und dann nur halt wenn du sie brauchst.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#87 @Xeper:

Was meinst Du damit ?

Zitat

am besten ist es wenn du die shares nicht am start mountest und dann nur halt wenn du sie brauchst.

Cascade

-------------------------

Wenn ich das Scanning bei grc.com unter Windows (und NIS2004) durchführe, werden alle Ports (auch 113) als STEALTHED angezeigt.
Allerdings habe ich da Zweifel, ob das wirklich so ist, denn bei NIS ist es so, daß die scannende IP für eine halbe Stunde gesperrt wird, sobald eine Scannung der Ports festgestellt wird. Es ist daher also m.E. kein Wunder, daß die nachfolgenden Scans abgewiesen werden.

Cascade
__________
Der Pessimist sagt: "Schlimmer, als es jetzt ist, kann es nicht kommen." Der Optimist sagt: "Doch, es kann ..."
Ich bin sehr optimistisch, was die Zukunft angeht ...

#88 @Cascade

naja die nfs shares werden ja am start gemountet wenn jetz PC (A) nicht an ist dann wartet PC (B) auf timeout - oder hab ich da jetz was falsch verstanden?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#89 @Xeper:

Ja, stimmt. Bei PC (A) ist das timeout erträglich. Außerdem ist während der Zeit des Verbindungsversuchs 'piep.........piep...........' uws. aus dem Systemlautsprecher zu hören, bis das timeout abgelaufen ist. Ich weiß allerdings nicht, ob das nur anzeigen soll, daß der PC noch arbeitet, oder ob es evtl. eine andere Bedeutung hat. Ich nehme mal an, es ist ersteres.

Bei PC (B) ist das timeout unterträglich lang. Außerdem gibt es während dieser Zeit auch kein 'piep .....' aus dem Systemlautsprecher.

Ich weiß nicht wieso die beiden Systeme sich so unterschiedlich verhalten.

Zitat

am besten ist es wenn du die shares nicht am start mountest und dann nur halt wenn du sie brauchst.

Wie, Du meinst, daß ich dann jedesmal den nfs-Client per Hand neu einstellen muss ? Oh Mann, geht das nicht auch automatisch ???????


Um noch einmal auf mein Posting von 18:38 Uhr zurück zu kommen, bezüglich dem Online-Scan bei grc.com:

Zu Port 113 ist bei grc.com folgendes zu finden

Zitat

Adaptive IDENT Stealthing Experimentation

The IDENT protocol's port 113 is quite problematical and tricky to stealth. If the user's port 113 is completely stealthed, connections to some remote Internet servers such as eMail, Internet Relay Chat (IRC), and others, may be delayed or denied altogether. For this reason, many NAT routers and personal firewalls do not attempt to stealth port 113, they settle for leaving it closed. One of the first things that caught my eye about the ZoneAlarm personal firewall was that it was clever about handling port 113: It "adaptively stealthed" the port.

To understand the following discussion, you should familiarize yourself with the details of the IDENT protocol and port 113. Please read port 113's Port Authority database page before proceeding.

Even after many years, the (free) ZoneAlarm personal firewall from Zone Labs is the only personal firewall to "adaptively" stealth port 113. Unlike any other firewall or NAT router (any of which could also do the same) this allows port 113 to be stealthed to any passing Internet scanners or probes, but "unstealthed" for any valid IDENT connection attempts originating from remote servers with which the user's computer is attempting to connect. (Since this could easily be done by any personal firewall or even NAT routers, I am hopeful that this feature might yet appear in other products.)

"Adaptive Stealthing" means that when a TCP SYN packet arrives to request a connection to your machine's port 113, ZoneAlarm checks, on the fly, to see whether your machine currently has any sort of "relationship" with the remote machine (such as a pending outgoing connection attempt). If so, the remote machine is considered to be "friendly" and its IDENT request packet is allowed to pass through ZoneAlarm's firewall. But if the IDENT originating machine is not known to ZoneAlarm as a "friendly" machine, the connection requesting packet is dropped and discarded, rendering port 113 stealth to all unknown port scanners. It's very slick.

IDENT, ZoneAlarm, and ShieldsUP!

Even though your computer's web browser already has a relationship with the web server at GRC, our tests originate from a different "foreign" IP address. ZoneAlarm therefore drops incoming packets to port 113 from this different probing IP address and ZoneAlarm users see that port 113 is stealthed to passing Internet scans.

Gruß
Cascade
__________
Der Pessimist sagt: "Schlimmer, als es jetzt ist, kann es nicht kommen." Der Optimist sagt: "Doch, es kann ..."
Ich bin sehr optimistisch, was die Zukunft angeht ...

#90

Zitat

Wie, Du meinst, daß ich dann jedesmal den nfs-Client per Hand neu einstellen muss ? Oh Mann, geht das nicht auch automatisch ???????

Oje so faul kann doch gar niemand sein

Wo ist das Problem mal "mount -t nfs gateway:/mnt/storage/ftp /mnt/ftp" einzugeben?? - Nein das sollst du jetz nicht bei dir eingeben - das ist ja nur ein beispiel
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode