Debianserver aufsetzen - Endspurt (-probleme)

[MANX]

Hi!

Wie gesagt, keine Ahnung wie die shorewall funktioniert.
Wenn Du ihm in der shorewall.conf am Anfang:
"run_iptables -N icmpdef"
einfügst, legt er die chain icmpdef an (vielleicht ), und es sollte funktionieren.
Obwohl ich nicht weiß, ob diese chain nicht eine spezielle, durch ein spezielles Modul vorhandene, chain ist.

mal googlen

Manx

[flinx]

Wenn ich mir http://www.shorewall.net/Documentation.htm#Conf anschau, dann steht dort:

Zitat:

/etc/shorewall/shorewall.conf
This file is used to set the following firewall parameters:
...

aber keiner der Parameter ist was mit run_iptables.
Hingegen

Zitat:

/etc/shorewall/common
The /etc/shorewall/common file is expected to contain iptables commands; rather than running iptables directly, you should run it indirectly using the Shorewall function 'run_iptables'. That way, if iptables encounters an error, the firewall will be safely stopped.

Ich würd mal die run_iptables Zeilen auskommentieren und es noch mal probieren.

[Quintus14]

Zitat:

Wenn Du ihm in der shorewall.conf am Anfang: "run_iptables -N icmpdef" einfügst, legt er die chain icmpdef an

Teilerfolg: er kommt beim Starten jetzt 15 statt bisher 3 Zeilen weit.

Jetzt hängt's hier - die letzten Zeilen:
----------------------------------------
.....
Validating host files...
Determining Hosts in Zones...
Net Zone: eth0:0.0.0.0/0
Local Zone: eth1:0.0.0.0/0
/etc/shorewall/firewall: ip: command not found
/etc/shorewall/firewall: ip: command not found
Terminated
----------------------------------------

Wieso IP-Nummern 0.0.0.0 - die sollten doch bekannt sein - oder? Welcher 'command not found'?

Thx
Quintus


P.S.: 'shorewall clear' bingt auch: "Clearing shorewall ... /etc/shorewall/firewall: ip: command not found" - aber der Befehl nutzt endlich was!!!

[MANX]

apt-get install iproute

Grüße

Manx

[flinx]

Was steht bei dir in
/etc/shorewall/zones und
etc/shorewall/hosts ?

[Quintus14]

/etc/shorewall/zones:
-------------------------------------
#ZONE DISPLAY COMMENTS
net Net Internet
loc Local Local Networks
-------------------------------------


etc/shorewall/hosts: da steht gar nichts drinnen - alles ausgekreuzelt.

=====================================


Der Durchbruch ist geschafft:

• Der Shorewall-Start lief bis zum Ende fehlerlos durch .
• Die Firewall funzt mal grundsätzlich - ich schreib gegenständliches Posting bereits über den Server bzw. über die Firewall .
• FTP-Übertragung funzt auch .
• Drucken über den Server geht auch .
• Webmin und die CUPS-Webadministration gehen (fast erwartungsgemäß) noch nicht - ich denke, da fehlen noch irgendwo ein bis zwei Einträge. Welche/wo?

Ganz dickes "Danke" einmal zwischendurch .

MfG
Quintus


P.S.: Ich wäre geneigt, jenem gut halben Dutzend Linux-Gurus, die mir in den letzten Wochen so hilfreich zur Seite standen, einmal zu ein paar Runden Getränke im GH Prilisauer (Endstation 49er) einzuladen. Was hält Ihr davon?

[Quintus14]

NACHTRAG:

• 'Shorewall restart' funktioniert nicht: "iptables: Chain already exists / Terminated". Ich muss bei Konfigurationsänderungen ein 'shorewall stop' und ein 'shorewall start' machen. Irgendwas funzt da mit den iptables nicht ganz astrein.
• Was tun, damit Webmin per http://meinserver:10000 und das Cups-Webadmin via http://meinserver:631 wieder funktioniert?
• Ist die Firewall jetzt "dicht" - oder muss ich mich da noch um offene/geschlossene Ports etc. kümmern?

Thx
Quintus

[flinx]

Grats.

Mir ist aufgefallen:

Zitat:

++ cat /etc/shorewall/version
+ version=1.2.12
+ strip_file interfaces

in der Doku ist von Version 1.4. die Rede.
Gibts für Debian nicht die neueste Version zum Download oder ist das die iptables Version (check mit '/sbin/iptables --version')?

zu icmpdef:
Wie hast das jetzt gelöst?
Steht das in der shorewall.conf (mit dem Befehl von Manx ?) oder in icmpdef?
Hab dazu noch http://www.shorewall.net/ping.html gefunden.

Zitat:

Was tun, damit Webmin per http://meinserver:10000 und das Cups-Webadmin via http://meinserver:631 wieder funktioniert?

In der /etc/shorewall/rules :
ACCEPT loc fw tcp 10000
ACCEPT loc fw tcp 631
hinzufügen und firewall restarten. Beim testen bzw. hinzufügen von neuen Regeln würd ich nach dem vorgeschlagenen Prinzip vorgehen:

Zitat:

When changing the configuration of a production firewall, I recommend the following:
mkdir /etc/test
cd /etc/test
<copy any files that you need to change from /etc/shorewall to . and change them here>
shorewall -c . check
<correct any errors found by check and check again>
/sbin/shorewall try .
If the configuration starts but doesn't work, just "shorewall restart" to restore the old configuration. If the new configuration fails to start, the "try" command will automatically start the old one for you.

When the new configuration works then just
cp * /etc/shorewall
cd
rm -rf /etc/test

Zitat:

Ist die Firewall jetzt "dicht" - oder muss ich mich da noch um offene/geschlossene Ports etc. kümmern?

IMHO kommt drauf an was in /etc/shorewall/rules resp. /etc/shorewall/policy drinnensteht.

[Quintus14]

Zitat:

check mit '/sbin/iptables --version'

Ergibt v1.2.6a
'/sbin/shorewall version' ergibt 1.2.12

Zitat:

Wie hast das jetzt gelöst? Steht das in der shorewall.conf (mit dem Befehl von Manx ?) ....

Ja, Befehl von MANX - aber auf diese Methode funktioniert 'restart' nicht.

Die shorewall.conf sieht jetzt so aus:

------------------------------------
run_iptables -N icmpdef
run_iptables -A icmpdef -p ICMP --icmp-type echo-reply -j ACCEPT
run_iptables -A icmpdef -p ICMP --icmp-type source-quench -j ACCEPT
run_iptables -A icmpdef -p ICMP --icmp-type destination-unreachable -j ACCEPT
run_iptables -A icmpdef -p ICMP --icmp-type time-exceeded -j ACCEPT
run_iptables -A icmpdef -p ICMP --icmp-type parameter-problem -j ACCEPT
NAT_ENABLED=Yes
IP_FORWARDING=On
--------------------------------------

Zitat:

In der /etc/shorewall/rules : ACCEPT loc fw tcp 10000; ACCEPT loc fw tcp 631

Danke, funzt .

Zitat:

IMHO kommt drauf an was in /etc/shorewall/rules resp. /etc/shorewall/policy drinnensteht.

Den Inhalt dieser beiden Dateien hab' ich heute schon gepostet - Seite 2 dieses Threads.



Noch was ist mir (unangenehm) aufgefallen: wenn ich einen Windows-Client boote, dauert das "Wiederherstellen der Netzwerkverbindung (zum Server)" viel länger als früher. Ich bin da netzwerkmäßig nicht so sattelfest - aber es dürfte was mit nicht vorhandenem DNS zu tun haben. Kann/soll ich dem Debian-Server irgendwie beibringen, dass er sich um DNS kümmert?

Zur Info: ich hab' allen Rechnern und Printerservern und auch dem Router fixe IP-Nummern gegeben, beim Router, der jetzt auf der externen Seite hängt, ist DHCP ausgeschaltet. Weiters hab' ich in dieser Richtung nichts unternommen - fehlt da noch was?

Thx
Quintus

[flinx]

Zitat:

'/sbin/shorewall version' ergibt 1.2.12

Wär da eine neuere Version nicht sinnvoller? In den neueren Versionen werden sicher einige Probleme behoben sein.

Zitat:

Die shorewall.conf sieht jetzt so aus: ...

Versuch die run_iptables Zeilen alle auskommentieren.
Ev. solltest auch /etc/shorewall/icmpdef und /etc/shorewall/icmp.def umbenennen.
Schau dir dazu auch den Link mit der ping-Behandlung an. Für Shorewall Versionen < 1.3.14 schaut das offensichtlich etwas anders aus, als in der Doku.

Zitat:

Den Inhalt dieser beiden Dateien hab' ich heute schon gepostet - Seite 2 dieses Threads.

Ok, aber an der /etc/shorewall/rules hast aber sicher einiges geändert.

Zitat:

wenn ich einen Windows-Client boote, dauert das "Wiederherstellen der Netzwerkverbindung (zum Server)" viel länger als früher.

Könnte auch an Samba liegen. Aber ich würde vorschlagen, erst die Firewall fertig zu konfigurieren und dann das nächste.