SuSEfirewall2 Einstellungen

[Klawutke]

Wer kann mir da mal helfen.
MeinServer ist bei Strato und ich krieg die FW nicht konfiguriert.

Wenn ich die dann einschalte spere ich mich selbe aus.
Dann geht nur noch über Recovery die Firewall abzuschiessen bzw. neu zu installen.
Steht hie auch im Forum wie das geht. Danach hab ichs auch wieder geregelt gekriegt das ich übehaupt wieder auf den Server kam.

Hat da einer ein konfiguriertes Teil was funzt.

 

[Thorsten]

Hallo!
Ich kenne zwar die Strato-Firewall nicht, aber welche Regeln waren denn aktiv? Was bedeutet ausgesperrt? Welcher Zugriff war noch möglich - welcher nicht?

mfG
Thorsten

 

[Klawutke]

SuSEfirewall2

Nach aktivierung der FW kam ich überhaupt nicht mehr auf den server.

Es ging nur über den Kundenloggin dann die Recovery Konsole starten.

Anschliessend kam ich mit PuTTy wieder druff zum killen der FW.

Danach reboot und der server lief wieder ohne FW.

 

[garfield]

Also die Suse Firewall habe ich auch nicht hingekriegt.
Ausgesperrt.
Dann habe ich die Plesk Firewall eingerichtet, in kompletter Handarbeit, irre viel Schreiben, jeden Port TCP und UDP von Hand sperren, den man nicht braucht.
Ich habe 2 Wochen gebraucht um alles einzurichten, viel Spaß.
Und nein, für Suse Firewall gibt es kein fertiges Konzept, habe ich auch lange nach gesucht.
Die einzig nicht arbeitsintensive Lösung ist, verzichte auf die Firewall.
Ja das geht, man muß nicht eine Firewall haben, denn ohne Ahnung von den Vorgängen auf dem Server hilft die auch nicht viel.
Mit der Meinung des Verzichtes auf eine Firewall stehe ich auch nicht alleine da.
Wird von vielen vermutlcih zu Recht propagiert.
Das mit der Plesk Firewall habe ich nur aus Langeweile in Angriff genommen.

 

[Thorsten]

Hallo!

... jeden Port TCP und UDP von Hand sperren, den man nicht braucht.

Das ist nach meiner Meinung der falsche Ansatz. Nur alle Ports explizit offen lassen die man brauch. Letzte Regel einer Firewall sollte doch immer

(Source)ANY (Destination)ANY (Service)ANY (Action)DROP

heissen.

mfG
Thorsten

 

[tom.kuenstler]

mal abgesehen von der Diskussion, ob eine Firewall auf einem einzelnen Server sinnvoll ist oder nicht, habe ich aus Interesse per Mail bei Strato mal nachgefragt, was die Konfiguration der Suse FW2 angeht und habe (nach einer (!) Stunde) folgende Mail erhalten:

Konfiguration unter Suse 9.3 mit ServerAdmin24:
-----------------------------------------------

- Bereich "Start": Stellen Sie den "Systemstart" auf "Firewall beim Systemstart starten".

erstmal natürlich in die yast-Konsole -> Sicherheit gehen

- Bereich "Schnittstellen": Wählen Sie die Netzwerkkarte aus, für die die Firewall angelegt werden soll.
-Definieren Sie als "externe Schnittstelle" den Wert "eth0".
Die "interne Schnittstelle" muss auf "keine" stehen.

Bei mir war eth0 unbekannt. Ich habe unter /etc/sysconfig/network/ die eth-id-... der LAN-Karte rausgesucht und eingetragen (was hoffentlich kein Problem ist)

Führen Sie "Bearbeiten" aus, es erscheint das Dialogfenster "Zone für Netzwerkschnittstelle wählen". Wählen Sie in dem Pulldown-Menü mit dem voreingestellten Wert "Keine Zone zugew>" den Wert "Externe Zone" aus.

- Bereich "Erlaubte Dienste" ("Konfiguration der Firewall - Erlaubte Dienste") : Fügen Sie unter "Zu erlaubender Dienst" folgende Dienste hinzu:

DHCP-Client *
DNS-Server (falls gewünscht)
HTTP-Server
Mailserver
POP3-Server
SSH *

* zwingend notwendig für den Betrieb

Stellen Sie sicher, dass die Option "Firewall vor interner Zone schützen" nicht selektiert ist.

Betätigen Sie den Button "[Erweite[rt]]". Tragen Sie hier folgende Werte, getrennt durch Leerzeichen, im Feld "TCP-Ports" ein:

21 3306 22222

Falls der SSH-Port verschoben ist, muss man hier natürlich SSH als Dienst rauslassen und den neuen Port unter Erweitert eintragen, ggf. nicht benötigte Ports rausnehmen.

Port 22222 wird von Visas benötigt.

- Bereich "Masquerading": Stellen Sie sicher, dass die Option "Masquerading" nicht ausgewählt ist. Fügen Sie keine "Anfragen an Masqueraded IP umleiten" hinzu.

- Bereich "Broadcast": Stellen Sie sicher, dass die Option "Exter[n]" ausgewählt ist. Stellen Sie sicher, dass die anderen beiden Optionen nicht ausgewählt sind.

- Bereich "IPsec-Unterstützu[ng]": Stellen Sie sicher, dass die Option "IPsec-Unterstützung aktiviert" nicht ausgewählt ist.

- Bereich "Protokollierungs-[Level]": Die Voreinstellung "Nur kritische protokollieren" bei den hier beiden genannten Optionen sollten ausreichend sein. Falls gewünscht, ändern Sie diese Voreinstellungen auf einen anderen Wert um.

Nachdem Sie in allen Bereichen die Konfiguration vorgenommen haben, führen Sie den Button "Weiter" aus. Ihnen wird eine Übersicht über die vorgenommene Konfiguration angezeigt. Führen Sie den Button "Übernehmen" aus. Sie gelangen wieder in die allgemeine Übersicht über alle Bereiche in Yast. Öffnen Sie in Yast erneut die Firewall-Einstellungen.

Testen Sie, ob die Firewall-Einstellungen den Zugriff auf Ihren Server von außen nicht verhindern, indem Sie im Bereich "Start" unter "An- und ausschalten" die Option "Firewall nun starten" auswählen und anschließend einen Port-Scan auf Ihren Server ausführen, zum Beispiel über die Webseite www.port-scan.de. Geben Sie beim Portscan den Hostnamen Ihres Servers oder eine Domain an, die auf Ihren Server konnektiert ist.

Ich hoffe, die Infos erleichtern den Einstieg in die Suse FW2.

Grüße
Tom