|
Debianserver aufsetzen - Endspurt (-probleme)
Hi,
ich hab' nun meinen Debian-Server in Betrieb genommen: Samba, Webmin, 2 Drucker. Vor der Datenübernahme hab' ich bei den im Netzwerk freigegebenen Datenverzeichnissen sehr wohl File-Neuanlage und -Änderung getestet und - nachdem ich 'chmod 777 /home/meindatenwurzelverzeichnis/' gemacht hab' - auch für in Ordnung befunden. Und daraufhin hab' ich heute die Daten übernommen. Erstes Problem: in Unterverzeichnissen, die ich bei der Übernahme auf den Sambaserver von der Workstation-1 kopiert habe, hab' ich jetzt keine Schreibberechtigung von Workstation-2 aus! Was tun? Thx Quintus P.S.: in den File-Permissions, die Webmin standardmäßig anlegt, steht: "New Unix file mode / New Unix directory mode = 755" |
OK, anscheinend muss man in den Filepermissions unter "New Unix file mode" bzw. "New Unix directory mode" auch überall 777 angeben.
Hab' jetzt die Daten nochmals neu übernommen, scheint jetzt zu funktionieren. Apropos: gibt's dafür auch einen Befehl, mit dem man die Persmissions eines ganzen Astes (Daten + Ordner) auf 777 verdrehen könnte (wenn ja, hätt' ich mir das Neupartitionieren, Formatieren und die 2. Datenübernahme sparen können)? Thx Qutinus |
chmod -r * 777
Sloter |
@Sloter: danke :)
Webmin / langsam ohne Internet-Zugang: Es ist nach wie vor so, dass der Seitenaufbau am Windows-Client lähmend langsam geht (bis zu einer Minute), wenn am Debian-Server an der 2. NIC das Internet nicht dran hängt. Hinweis: ich hab' die Firewall noch nicht konfiguriert (soll nächste Woche passieren), daher hängt der Router meistens noch im internen Netz - und das mag Webmin anscheinend nicht. Eine Idee, warum das so langsam geht bzw. was ich dagegen tun kann? Webmin / https vs. http: Beim ersten Probeaufsetzen, wo mir jede Menge sonstiger SW unabsichtlich installiert wurde ("Webmin komplett") ging der Zugriff vom Windows-PC mit "https" - jetzt funktioniert es nur mit "http" (ohne "s"). Soll ich da was nachinstallieren (was?) - oder ist es ohnedies belanglos? Thx, Quintus |
Der hat ein Problem mit den DNS abfragen.
Wie kommen die Seiten? Langsam Bild für Bild oder ist der Schirm leer und dann kommt alles auf einmal? http-https SSL schützt deinen Browserverkehr mit dem Server. Ohne https könnte man Mitsnifen und deine Zugangsdaten auslesen. IMHO aber im internen Netz egal. Sloter |
Zitat:
Zitat:
MfG Quintus |
NACHTRAG: die CUPS-Admin-SW ("http://meinserver:631") zeigt dieses Verhalten nicht - die funktioniert flott, egal, ob das Internet dranhängt oder nicht.
MfG Quintus |
Hm...kenne webmin zu wenig.
Mach mal top am Linuxserver und ruf die Seite auf. Denke aber er wird nicht überlastet sein. Tut leid, kann nicht weiterhelfen :( Sloter |
Nein, dem Linuxserver ist zur Zeit furchbar fad. Vieleicht hat jemand anderer noch eine Idee, hier noch mal die Ausgangsfrage:
Zitat:
Quintus P.S.: Ab dem Zeitpunkt, ab dem die Firewall in Betrieb sein = der ISDN-Router fix an der 2. NIC hängen wird, stellt sich das Problem nicht mehr. Nur bis dahin nervt es.... |
Hast du einen Gateway auf der Winworkstation eingetragen?
Sloter |
Zitat:
Auf dem Debian-Server ist auch der Router als Gateway definiert, allerdings unter einer anderen IP-# - diese muss ich im Router immer umändern, wenn ich selbigen auf die zweite NIC umhänge, damit der Linuxserver Kontakt zum Internet kriegt. Shorewall ist auch drauf, allerdings noch nicht konfiguriert. Nachdem ich annehme, dass Shorewall (wenn man noch keine Ahnung davon hat, wie's geht) nicht in einer halben Stunde funktionieren wird, werde ich mit der Konfiguration derselben auf einen Tag warten, wo es nichts ausmacht, wenn der Internetbetrieb stundenlang nicht funktioniert. Nächste Woche voraussichtlich. MfG Quintus |
Da laufen die Pakete im Kreis :)
Hat der Debianserver eine echte IP? Sloter |
Shorewall Konfiguration - 1. Versuch
Shorewall-Konfiguration
Hab' jetzt begonnen, das Dokument http://www.shorewall.net/two-interface.htm durchzuackern, hab' auch das Sample runtergeladen und - wie geheißen - die Dateien nach /etc/shorewall entpackt. Sollte funktionieren, denn wie in der Beispieldatei ist eth0 -> Router und eth1 -> intern. Neu gestartet - er meckert beim Booten bzw. Start der Shorewall: Zitat:
Was tun? Thx, Quintus P.S.: @Sloter: ja, der Debianserver hat echte IPs. Vielleicht kriegen wir doch kurzfristig die Shorewall zum Laufen, dann erübrigt sich das Problem vielleicht. |
Hilfe - die angefangene Shorewall-Konfiguration hat mir anscheinend einen Stealth-Modus eingeschaltet - ich kann den Server nicht mal mehr anpingen.
Wie krieg' ich das jetzt kurzfristig wieder weg (damit ich wenigstens auf die Daten komm)? Und wie die Shorewall aus der Autostart raus? Thx Quintus P.S.: 'ifup -a' bringt lo eth0 eth1 already configured |
In deinem Link (http://www.shorewall.net/two-interface.htm) ganz unten gibts Tipps zu 'Starting and Stopping Your Firewall'. Hast das schon ausprobiert?
|
Puh, *zweistundenschwitz* - ich konnt' mir soeben selbst helfen, hab' die 6 Beispiel-Files aus /etc/shorewall rausgelöscht (liegen noch sicherheitshalber woanders), die shorewall.conf umbenannt und neu gebootet - der Trick hat funktioniert, weil der Start der Shorewall jetzt in die Hose geht *).
Jetzt seh' ich zumindest meine Daten wieder :). Muss an die Installation der Shorewall nochmal rangehen, wenn mehr Zeit ist (ein Kinobesuch der Family ist zu wenig). Ich frag' mich nur, was da alles noch schief gelegen ist bzw. warum der Server auf Pings nicht geantwortet hat. Jemand eine Idee???? Thx, Quintus :zzz: *) = russische Methode |
ich kenn diese fw nicht, aber guck mal unter /etc/init.d/ ob nicht hier das startscript zu finden ist. wenn ja solltest du es zb mit "/etc/init.d/name stop" anhalten und mit start starten können.
für mich klingt das ganze eher danach das die firewall zur sicherheit mal alles dicht gemacht hat. |
Zitat:
Zitat:
Russische, provisorische Lösung: Umbenennen des /etc/shorewall/-Directories und reboot. ---------------------------------------------------- Aber wie krieg' ich Shorewall jetzt zum Laufen? Folgendes hab' ich gemacht:
Dieselbe Fehlermessage schreibt er auch beim 'etc/init.d/shorewall stop'-command. Was hat es mit der Fehlermeldung auf sich, was fehlt noch bzw. wie krieg' ich die Shorewall jetzt zum laufen ? :heul: :heul: :heul: Thx, Quintus |
wie gesagt, ich kenne diese fw nicht. aber es wäre ev hilfreich wenn du deine config noch etwas genauer beschreiben könntest.
welche ip adressen auf welcher nic? steht im log file genaueres? (guck mal unter /var/log) was für eine chain will er da? gibts die auch? |
Zitat:
------------------- auto lo eth0 eth1 iface lo inet loopback iface eth0 inet static address 10.168.110.xx netmask 255.0.0.0 gateway 10.168.110.yy iface eth1 inet static address 192.168.0.zzz netmask 255.255.255.0 ------------------- Die Netzwerkverbindungen funktionieren tadellos, wenn ich den ISDN-Router vom internen Netz (Provisorium) auf Debian-Server's eth0 hänge, kriegt auch selbiger tadellosen Zugriff aufs Internet. Zitat:
Im Fraglichen Zeitraum, in dem ich gestern abends keinen Serverzugriff hatte, findet sich in einer syslog.0: 'Packet send failed to 10.255.255.255(137) ERRNO:Operation not permitted' - wobei interessant ist, wo er die IP-Nummer her hat. Es findet sich auch: 'retransmit_or_expire_response_records: Failed to resend packet id 5788 to IP 10.255.255.255 on subnet 10.168.110.xx Verwechselt der Kerl da IP-Nummern mit Subnet-Masken? Zitat:
Thx Quintus (bis mittags offline) |
die 10.255.255.255 is die broadcast adresse für das 10.x.x.x netz, die firewall dürfte aber den zugriff aufs netzwerk blockiert haben, deswegen die meldung...
|
... und was tu' ich jetzt in meinem Schmerz, damit die Firewall ins Laufen kommt, was liegt noch schief bzw. ist noch zu tun....?
Thx Quintus |
Zitat:
Um Traffic von localen Netz zu empfangen, müsste man IMHO (nach durchlesen von http://www.shorewall.net/two-interface.htm) im /etc/shorewall/policy file noch loc fw ACCEPT setzen, um Traffic vom lokalen Netz auf die Firewall zu erlauben. In /etc/shorewall/rules sollte dann natürlich nichts stehen, was den Traffic vom lokalen Netz zur Firewall blockiert. Obiges mit Vorsicht genießen, habe shorewall selber auch nicht. :) |
Zitat:
Zitat:
------------------------------------- #SOURCE DEST POLICY LOG LEVEL LIMIT:BURST loc net ACCEPT # If you want open access to the Internet from your Firewall # remove the comment from the following line. fw net ACCEPT net all DROP info all all REJECT info -------------------------------------- Die rules sieht so aus: -------------------------------------- #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL # PORT PORT(S) DEST # # Accept DNS connections from the firewall to the network # ACCEPT fw net tcp 53 ACCEPT fw net udp 53 # # Accept SSH connections from the local network for administration # ACCEPT loc fw tcp 22 # # Allow Ping To And From Firewall # ACCEPT loc fw icmp 8 ACCEPT net fw icmp 8 ACCEPT fw loc icmp 8 ACCEPT fw net icmp 8 --------------------------------------- Trotzdem bleibt es beim Starten der Shorewall beim Fehler: ip_tables: (C) 2000-2002 Netfilter core team iptables: No chain/target/match by that name. /etc/init.d/shorewall: line2: 610 Terminated $SRWL "Restart" In der /etc/init.d/shorewall lauten dann die ersten 2 Zeilen: LOCKFILE = /var/lock/shorewall SWRL = /sbin/shorewall Was tun? Und was heißt diese blöde Fehlermeldung? Thx Quintus |
Zitat:
Zitat:
Zitat:
Bei den rules, wirst dann IMHO noch den Zugriff auf die Netzwerk-Shares gestatten müssen. |
Zitat:
Zitat:
Zitat:
--------- Weiters komisch: es gibt eine 'shorewall.conf', eine 'icmp.def' sowie die von mir kopierte 'icmpdef' - in allen steht dasselbe drinnen, lediglich in der shorewall.conf stehen noch die zwei Einträge 'NAT_ENABLED=Yes' sowie 'IP_FORWARDING=On'. Thx Quintus |
Probier mal ein ( wie in http://www.shorewall.net/starting_an..._shorewall.htm) beschrieben ein 'shorewall check' auszuführen und schau, ob es irgendwelche Fehlermeldungen gibt. Wenn nein, dann probier 'shorewall start' (ohne /etc/init.d/).
Für samba: http://www.shorewall.net/samba.htm |
Samba-Einträge in der 'rules' eingefügt und 'shorewall check' gemacht. Dieselbe Fehlermeldung:
Processing /etc/shorewall.conf ... iptables: No chain/target/match by that name. Terminated. Immer die gleiche Fehlermeldung seit Beginn der Probs.... Die shorewall.conf sieht übrigens jetzt so aus (die letzten 2 Zeilen wurden von mir eingefügt): --------------------------------------- run_iptables -A icmpdef -p ICMP --icmp-type echo-reply -j ACCEPT run_iptables -A icmpdef -p ICMP --icmp-type source-quench -j ACCEPT run_iptables -A icmpdef -p ICMP --icmp-type destination-unreachable -j ACCEPT run_iptables -A icmpdef -p ICMP --icmp-type time-exceeded -j ACCEPT run_iptables -A icmpdef -p ICMP --icmp-type parameter-problem -j ACCEPT NAT_ENABLED=Yes IP_FORWARDING=On ---------------------------------------- :confused: :confused: :confused: Quintus |
Hi!
... da tut sich ja schon wieder ganz schön was ;) Welche Version der shorewall (stable oder testing)? ich schau mir's mal an. Was mir beim überfliegen der Problematik aufgefallen ist: So 100%ig passt die two-interfaces Konfiguration nicht, da Du auf der Firewall kein Masquerading brauchst, das macht dann ja der Router. Hat aber mit dem Problem nix zu tun. Grüße Manx |
Noch was, eine Spur: ich hab' bei http://www.shorewall.net/troubleshoot.htm nachgelesen: ganz zu Beginn des Dokuments steht, wie man den Start mittract - hab' ich natürlich dann gemacht.
Der untenstehende Auszug dürfte der Teil sein, wo es den Start schmeißt. Dürfte was mit 'echo-reply' der iptables zu tun haben (was immer das ist....). ------------------------------------- + version_file=/etc/shorewall/version + '[' -f /etc/shorewall/version ']' ++ cat /etc/shorewall/version + version=1.2.12 + strip_file interfaces + local fname + '[' 1 = 1 ']' ++ find_file interfaces ++ '[' -n '' -a -f /interfaces ']' ++ echo /etc/shorewall/interfaces + fname=/etc/shorewall/interfaces + '[' -f /etc/shorewall/interfaces ']' + cut -d# -f1 /etc/shorewall/interfaces + grep -v '^[[:space:]]*$' + strip_file hosts + local fname + '[' 1 = 1 ']' ++ find_file hosts ++ '[' -n '' -a -f /hosts ']' ++ echo /etc/shorewall/hosts + fname=/etc/shorewall/hosts + '[' -f /etc/shorewall/hosts ']' + cut -d# -f1 /etc/shorewall/hosts + grep -v '^[[:space:]]*$' + run_user_exit shorewall.conf ++ find_file shorewall.conf ++ '[' -n '' -a -f /shorewall.conf ']' ++ echo /etc/shorewall/shorewall.conf + local user_exit=/etc/shorewall/shorewall.conf + '[' -f /etc/shorewall/shorewall.conf ']' + echo 'Processing /etc/shorewall/shorewall.conf ...' + . /etc/shorewall/shorewall.conf ++ run_iptables -A icmpdef -p ICMP --icmp-type echo-reply -j ACCEPT +++ echo -A icmpdef -p ICMP --icmp-type echo-reply -j ACCEPT +++ sed 's/!/! /g' ++ iptables -A icmpdef -p ICMP --icmp-type echo-reply -j ACCEPT iptables: No chain/target/match by that name ++ '[' -z '' ']' ++ stop_firewall ++ stopping=Yes ++ deletechain shorewall ---------------------------------------- Hilft das was? @Manx: dürfte stable sein - die testing-files haben wir ja erst eingebunden, wie wir Webmin 1.070 installiert haben (bin mir aber nicht sicher, ob da nicht shorewall irgendwo mit upgedatet wurde). Thx Quintus |
Hi!
Wie gesagt, keine Ahnung wie die shorewall funktioniert. Wenn Du ihm in der shorewall.conf am Anfang: "run_iptables -N icmpdef" einfügst, legt er die chain icmpdef an (vielleicht ;)), und es sollte funktionieren. Obwohl ich nicht weiß, ob diese chain nicht eine spezielle, durch ein spezielles Modul vorhandene, chain ist. mal googlen Manx |
Wenn ich mir http://www.shorewall.net/Documentation.htm#Conf anschau, dann steht dort:
Zitat:
Hingegen Zitat:
|
Zitat:
Jetzt hängt's hier - die letzten Zeilen: ---------------------------------------- ..... Validating host files... Determining Hosts in Zones... Net Zone: eth0:0.0.0.0/0 Local Zone: eth1:0.0.0.0/0 /etc/shorewall/firewall: ip: command not found /etc/shorewall/firewall: ip: command not found Terminated ---------------------------------------- Wieso IP-Nummern 0.0.0.0 - die sollten doch bekannt sein - oder? Welcher 'command not found'? Thx Quintus P.S.: 'shorewall clear' bingt auch: "Clearing shorewall ... /etc/shorewall/firewall: ip: command not found" - aber der Befehl nutzt endlich was!!!;) |
apt-get install iproute
Grüße Manx |
Was steht bei dir in
/etc/shorewall/zones und etc/shorewall/hosts ? |
/etc/shorewall/zones:
------------------------------------- #ZONE DISPLAY COMMENTS net Net Internet loc Local Local Networks ------------------------------------- etc/shorewall/hosts: da steht gar nichts drinnen - alles ausgekreuzelt. ===================================== Der Durchbruch ist geschafft:
MfG Quintus P.S.: Ich wäre geneigt, jenem gut halben Dutzend Linux-Gurus, die mir in den letzten Wochen so hilfreich zur Seite standen, einmal zu ein paar Runden Getränke im GH Prilisauer (Endstation 49er) einzuladen. Was hält Ihr davon? |
NACHTRAG:
Thx Quintus |
Grats. :)
Mir ist aufgefallen: Zitat:
Gibts für Debian nicht die neueste Version zum Download oder ist das die iptables Version (check mit '/sbin/iptables --version')? zu icmpdef: Wie hast das jetzt gelöst? Steht das in der shorewall.conf (mit dem Befehl von Manx ?) oder in icmpdef? Hab dazu noch http://www.shorewall.net/ping.html gefunden. Zitat:
ACCEPT loc fw tcp 10000 ACCEPT loc fw tcp 631 hinzufügen und firewall restarten. Beim testen bzw. hinzufügen von neuen Regeln würd ich nach dem vorgeschlagenen Prinzip vorgehen: Zitat:
Zitat:
|
Zitat:
'/sbin/shorewall version' ergibt 1.2.12 Zitat:
Die shorewall.conf sieht jetzt so aus: ------------------------------------ run_iptables -N icmpdef run_iptables -A icmpdef -p ICMP --icmp-type echo-reply -j ACCEPT run_iptables -A icmpdef -p ICMP --icmp-type source-quench -j ACCEPT run_iptables -A icmpdef -p ICMP --icmp-type destination-unreachable -j ACCEPT run_iptables -A icmpdef -p ICMP --icmp-type time-exceeded -j ACCEPT run_iptables -A icmpdef -p ICMP --icmp-type parameter-problem -j ACCEPT NAT_ENABLED=Yes IP_FORWARDING=On -------------------------------------- Zitat:
Zitat:
Noch was ist mir (unangenehm) aufgefallen: wenn ich einen Windows-Client boote, dauert das "Wiederherstellen der Netzwerkverbindung (zum Server)" viel länger als früher. Ich bin da netzwerkmäßig nicht so sattelfest - aber es dürfte was mit nicht vorhandenem DNS zu tun haben. Kann/soll ich dem Debian-Server irgendwie beibringen, dass er sich um DNS kümmert? Zur Info: ich hab' allen Rechnern und Printerservern und auch dem Router fixe IP-Nummern gegeben, beim Router, der jetzt auf der externen Seite hängt, ist DHCP ausgeschaltet. Weiters hab' ich in dieser Richtung nichts unternommen - fehlt da noch was? Thx Quintus :zzz: |
Zitat:
Zitat:
Ev. solltest auch /etc/shorewall/icmpdef und /etc/shorewall/icmp.def umbenennen. Schau dir dazu auch den Link mit der ping-Behandlung an. Für Shorewall Versionen < 1.3.14 schaut das offensichtlich etwas anders aus, als in der Doku. Zitat:
Zitat:
|
| Alle Zeitangaben in WEZ +2. Es ist jetzt 15:32 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag