Debianserver aufsetzen - Endspurt (-probleme)

[valo]

die 10.255.255.255 is die broadcast adresse für das 10.x.x.x netz, die firewall dürfte aber den zugriff aufs netzwerk blockiert haben, deswegen die meldung...

[Quintus14]

... und was tu' ich jetzt in meinem Schmerz, damit die Firewall ins Laufen kommt, was liegt noch schief bzw. ist noch zu tun....?

Thx
Quintus

[flinx]

Zitat:

Die zwei Einträge 'NAT_ENABLED=Yes' sowie 'IP_FORWARDING=On' sollte man (ebenfalls lt. Two-Interfaces-Dokument) in die shorewall.conf schreiben - dort wiederum steht, man solle selbige als icmpdef wegkopieren und Änderungen ebendort vornehmen. Ich hab' die Einträge jetzt in der icmpdef vorgenommen.

Hab die Doku nur kurz überflogen, aber ich würde dies nur in der shorewall.conf setzen. Hab auch in http://www.shorewall.net/Documentation.htm#Conf nichts von icmpdef gelesen.
Um Traffic von localen Netz zu empfangen, müsste man IMHO (nach durchlesen von http://www.shorewall.net/two-interface.htm) im /etc/shorewall/policy file noch loc fw ACCEPT setzen, um Traffic vom lokalen Netz auf die Firewall zu erlauben.
In /etc/shorewall/rules sollte dann natürlich nichts stehen, was den Traffic vom lokalen Netz zur Firewall blockiert.
Obiges mit Vorsicht genießen, habe shorewall selber auch nicht.

[Quintus14]

Zitat:

...würde dies nur in der shorewall.conf setzen...

Nunmehr getan.

Zitat:

...im /etc/shorewall/policy file noch loc fw ACCEPT setzen,...

Laut http://www.shorewall.net/two-interface.htm ist vor einer ausgekreuzelten Zeile das Kreuzel wegzunehmen ("If you want your firewall system to have full access to servers on the internet, uncomment that line."). Schaut in der policy jetzt so aus (d.h. nicht ganz so, wie Du es schriebst):

-------------------------------------
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST
loc net ACCEPT
# If you want open access to the Internet from your Firewall
# remove the comment from the following line.
fw net ACCEPT
net all DROP info
all all REJECT info
--------------------------------------


Die rules sieht so aus:

--------------------------------------
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL
# PORT PORT(S) DEST
#
# Accept DNS connections from the firewall to the network
#
ACCEPT fw net tcp 53
ACCEPT fw net udp 53
#
# Accept SSH connections from the local network for administration
#
ACCEPT loc fw tcp 22
#
# Allow Ping To And From Firewall
#
ACCEPT loc fw icmp 8
ACCEPT net fw icmp 8
ACCEPT fw loc icmp 8
ACCEPT fw net icmp 8
---------------------------------------


Trotzdem bleibt es beim Starten der Shorewall beim Fehler:

ip_tables: (C) 2000-2002 Netfilter core team
iptables: No chain/target/match by that name.
/etc/init.d/shorewall: line2: 610 Terminated $SRWL "Restart"

In der /etc/init.d/shorewall lauten dann die ersten 2 Zeilen:

LOCKFILE = /var/lock/shorewall
SWRL = /sbin/shorewall


Was tun? Und was heißt diese blöde Fehlermeldung?

Thx
Quintus

[flinx]

Zitat:

("If you want your firewall system to have full access to servers on the internet, uncomment that line.")

Ok, damit gibst du IMHO dem fw-Rechner Zugriff aufs I-net.

Zitat:

Trotzdem bleibt es beim Starten der Shorewall beim Fehler:

Wie genau startest du die Firewall? lt. http://www.shorewall.net/starting_an..._shorewall.htm sollte ein 'shorewall start' reichen.

Zitat:

/etc/init.d/shorewall: line2: 610 Terminated $SRWL "Restart"

Hmm... hast vielleicht 'Restart' anstatt 'restart' verwendet?

Bei den rules, wirst dann IMHO noch den Zugriff auf die Netzwerk-Shares gestatten müssen.

[Quintus14]

Zitat:

Wie genau startest du die Firewall?

'/etc/init.d/shorewall start' oder '/etc/init.d/shorewall restart'.

Zitat:

Hmm... hast vielleicht 'Restart' anstatt 'restart' verwendet?

Groß-/Kleinschreibung hab' ich nicht verwendet.

Zitat:

Bei den rules, wirst dann IMHO noch den Zugriff auf die Netzwerk-Shares gestatten müssen.

Ich nehme an, in 'rules' gehört eine Zeile rein - wo genau und wie muss die heißen?

---------

Weiters komisch: es gibt eine 'shorewall.conf', eine 'icmp.def' sowie die von mir kopierte 'icmpdef' - in allen steht dasselbe drinnen, lediglich in der shorewall.conf stehen noch die zwei Einträge 'NAT_ENABLED=Yes' sowie 'IP_FORWARDING=On'.

Thx
Quintus

[flinx]

Probier mal ein ( wie in http://www.shorewall.net/starting_an..._shorewall.htm) beschrieben ein 'shorewall check' auszuführen und schau, ob es irgendwelche Fehlermeldungen gibt. Wenn nein, dann probier 'shorewall start' (ohne /etc/init.d/).

Für samba:
http://www.shorewall.net/samba.htm

[Quintus14]

Samba-Einträge in der 'rules' eingefügt und 'shorewall check' gemacht. Dieselbe Fehlermeldung:

Processing /etc/shorewall.conf ...
iptables: No chain/target/match by that name.
Terminated.

Immer die gleiche Fehlermeldung seit Beginn der Probs....

Die shorewall.conf sieht übrigens jetzt so aus (die letzten 2 Zeilen wurden von mir eingefügt):
---------------------------------------
run_iptables -A icmpdef -p ICMP --icmp-type echo-reply -j ACCEPT
run_iptables -A icmpdef -p ICMP --icmp-type source-quench -j ACCEPT
run_iptables -A icmpdef -p ICMP --icmp-type destination-unreachable -j ACCEPT
run_iptables -A icmpdef -p ICMP --icmp-type time-exceeded -j ACCEPT
run_iptables -A icmpdef -p ICMP --icmp-type parameter-problem -j ACCEPT
NAT_ENABLED=Yes
IP_FORWARDING=On
----------------------------------------




Quintus

[MANX]

Hi!

... da tut sich ja schon wieder ganz schön was
Welche Version der shorewall (stable oder testing)? ich schau mir's mal an.
Was mir beim überfliegen der Problematik aufgefallen ist:
So 100%ig passt die two-interfaces Konfiguration nicht, da Du auf der Firewall kein Masquerading brauchst, das macht dann ja der Router.
Hat aber mit dem Problem nix zu tun.

Grüße

Manx

[Quintus14]

Noch was, eine Spur: ich hab' bei http://www.shorewall.net/troubleshoot.htm nachgelesen: ganz zu Beginn des Dokuments steht, wie man den Start mittract - hab' ich natürlich dann gemacht.

Der untenstehende Auszug dürfte der Teil sein, wo es den Start schmeißt. Dürfte was mit 'echo-reply' der iptables zu tun haben (was immer das ist....).

-------------------------------------

+ version_file=/etc/shorewall/version
+ '[' -f /etc/shorewall/version ']'
++ cat /etc/shorewall/version
+ version=1.2.12
+ strip_file interfaces
+ local fname
+ '[' 1 = 1 ']'
++ find_file interfaces
++ '[' -n '' -a -f /interfaces ']'
++ echo /etc/shorewall/interfaces
+ fname=/etc/shorewall/interfaces
+ '[' -f /etc/shorewall/interfaces ']'
+ cut -d# -f1 /etc/shorewall/interfaces
+ grep -v '^[[:space:]]*$'
+ strip_file hosts
+ local fname
+ '[' 1 = 1 ']'
++ find_file hosts
++ '[' -n '' -a -f /hosts ']'
++ echo /etc/shorewall/hosts
+ fname=/etc/shorewall/hosts
+ '[' -f /etc/shorewall/hosts ']'
+ cut -d# -f1 /etc/shorewall/hosts
+ grep -v '^[[:space:]]*$'
+ run_user_exit shorewall.conf
++ find_file shorewall.conf
++ '[' -n '' -a -f /shorewall.conf ']'
++ echo /etc/shorewall/shorewall.conf
+ local user_exit=/etc/shorewall/shorewall.conf
+ '[' -f /etc/shorewall/shorewall.conf ']'
+ echo 'Processing /etc/shorewall/shorewall.conf ...'
+ . /etc/shorewall/shorewall.conf
++ run_iptables -A icmpdef -p ICMP --icmp-type echo-reply -j ACCEPT
+++ echo -A icmpdef -p ICMP --icmp-type echo-reply -j ACCEPT
+++ sed 's/!/! /g'
++ iptables -A icmpdef -p ICMP --icmp-type echo-reply -j ACCEPT
iptables: No chain/target/match by that name
++ '[' -z '' ']'
++ stop_firewall
++ stopping=Yes
++ deletechain shorewall

----------------------------------------

Hilft das was?

@Manx: dürfte stable sein - die testing-files haben wir ja erst eingebunden, wie wir Webmin 1.070 installiert haben (bin mir aber nicht sicher, ob da nicht shorewall irgendwo mit upgedatet wurde).

Thx
Quintus