✔ Linux Firewall - Problem Rechnername

[donleonardo]

@reptiler: Vielen Dank für die Hilfe. Ich habe bei nmap die Portnummer weggelassen, dann werden scheinbar alle Ports angezeigt. Ich kriege dabei folgendes Ergebnis:

Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2005-02-25 16:06 CET
Interesting ports on localhost (127.0.0.1):
(The 1648 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
80/tcp open http
111/tcp open rpcbind
139/tcp open netbios-ssn
389/tcp open ldap
427/tcp open svrloc
445/tcp open microsoft-ds
631/tcp open ipp
737/tcp open unknown
2049/tcp open nfs

und

Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2005-02-25 16:09 CET
Interesting ports on localhost (127.0.0.1):
(The 1472 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
68/udp open dhcpclient
111/udp open rpcbind
137/udp open netbios-ns
138/udp open netbios-dgm
734/udp open unknown
2049/udp open nfs


Wie krieg ich jetzt die Firewall hin, dass sie mir die für Samba und z.B. nfs, ldap... benötigten Ports freigibt?

 

[Dennis Wronka]

Hast Du ein Firewall-Script oder nutzt Du irgendein Admin-Tool um die Firewall zu konfigurieren?

 

[Dennis Wronka]

Hier mal ein kleines Firewall-Script:

case "$1" in
    start)
 $0 enablefirewall
 ;;
    stop)
 $0 disablefirewall
iptables -F
iptables -X
 ;;
    enablefirewall)
     echo "Enabling Firewall"
iptables -N firewall
iptables -A firewall -i eth0 -p tcp --dport 139 -j ACCEPT
iptables -A firewall -i eth0 -p tcp --dport 445 -j ACCEPT
iptables -A firewall -i eth0 -p tcp --dport 389 -j ACCEPT
iptables -A firewall -i eth0 -p tcp --dport 2049 -j ACCEPT
iptables -A firewall -i eth0 -p udp --dport 137 -j ACCEPT
iptables -A firewall -i eth0 -p udp --dport 138 -j ACCEPT
iptables -A firewall -i eth0 -p udp --dport 2049 -j ACCEPT
iptables -A firewall -j DROP
iptables -A INPUT -j firewall
iptables -A FORWARD -j firewall
     ;;
    disablefirewall)
     echo "Disabling Firewall"
iptables -D INPUT -j firewall
iptables -D FORWARD -j firewall
iptables -F firewall
iptables -X firewall
     ;;
    restart)
 $0 stop  &&  $0 start  ||  return=$rc_failed
 ;;
    *)
 echo "Usage: $0 {start|stop||restart|enablefirewall|disablefirewall}"
 exit 1
 ;;
esac

 

[donleonardo]

Vielen Dank für das Skript. Ich werde es mal ausprobieren. Wenn ich das richtig beurteilen kann, werden dabei die ports für Samba, nfs und ldap freigegeben. Was ist denn der Dienst "rpcbind"?

Wie ist das mit dem Skript, muss ich das bei jedem Neustart ausführen oder sind bleiben die Einstellungen irgendwie gespeichert?

Zur Frage vorher: Normalerweise benutze ich immer yast2 als Admin-Tool.

 

[Dennis Wronka]

Richtig, die Ports sind fuer Samba, NFS und LDAP.
Was der rpcbind ist kann ich Dir leider auch nicht sagen, RPC steht fuer Remote Procedure Call, soviel weiss ich.
Das Script muss nach jedem hochfahren neu ausgefuehrt werden, kann aber auch beim Booten ausgefuehrt werden.
Hab das bei mir auch so, weiss leider nicht wie Suse das handhabt, da ich die Slackware benutz.
Aber ein Blick in's Verzeichnis /etc/rc.d/ koennte da schon Klarheit bringen.

 

[donleonardo]

Hallo, das Skript habe ich zwei Mal ausprobiert. Leider blieb jedesmal der Server stehen. Ich konnte vorher noch meinen Administrator-Account abmelden, aber als ich mich wieder anmelden wollte, ging gar nichts mehr und ich musste neu starten.

Ne Ahnung, woran das liegen konnte?

 

[Dennis Wronka]

Im Moment nicht wirklich.
Meldest Du Dich lokal an, oder remote?
Starte das Script mal nicht mit Parameter start, sondern mit restart.
Der wird dann zwar wohl meckern, dass es die Chain firewall nicht gibt, aber das braucht Dich nicht interessieren. Das wichtige ist, dass evtl. vorhandene andere Chains geloescht werden.

 

[donleonardo]

Das erste Mal per remote, das zweite Mal lokal. Ich werde das mal mit restart probieren, denke aber nicht, dass Chains aktiv sind, da die Firewall laut yast2 ja ausgeschaltet ist.

Muss jetzt aber erstmal weg, werde mich später oder morgen mal melden, obs geklappt hat.

 

[Dennis Wronka]

Nach ausfuehren des Scripts kannst Du Dich nicht mehr Remote anmelden, da sowohl SSH als auch Telnet geblockt werden.
Wirst wahrscheinlich sogar aus 'ner bestehenden Session geschmissen, weil die Einstellungen fuer's Connection-Tracking nicht drin sind.
Falls Du das Remote-Login benoetigst musst Du den entsprechenden Port noch in das Script einfuegen. Sollte anhand der schon vorhandenen Eintraege ja nicht das Problem sein denk ich.

Hab grad gesehen, dass Du wohl SSH nutzt, da Telnet nicht beim Portscan auftaucht.
Also einfach noch TCP-Port 22 dazupacken und gut, dann kannste auch weiterhin mit SSH auf die Box zugreifen.

 

[donleonardo]

Dass meine SSH-Box nicht mehr ging, hatte ich beim ersten Mal gemerkt

Daher hatte ich beim zweiten Versuch den tcp-Port 22 schon mit eingebunden.

So, jetzt muss ich aber wirklich los...