Debianserver aufsetzen - Endspurt (-probleme)

[Quintus14]

Zitat:

Könnte auch an Samba liegen. Aber ich würde vorschlagen, erst die Firewall fertig zu konfigurieren und dann das nächste.

OK, hast auch wieder Recht - eins nach dem anderen .

Zitat:

'/sbin/shorewall version' ergibt 1.2.12 ..... Wär da eine neuere Version nicht sinnvoller? In den neueren Versionen werden sicher einige Probleme behoben sein.

Ich hab' doch erst vor ein paar Tagen "apt-get update" gemacht - hab' ich da nicht von überall die neuesten Versionen automatisch drauf? Wenn nein, wie mach' ich das (nur-Shorewall-)Update step-by-step?

Zitat:

Versuch die run_iptables Zeilen alle auskommentieren....Ev. solltest auch /etc/shorewall/icmpdef und /etc/shorewall/icmp.def umbenennen.

Wenn ich das alles mach', dann kommt er ja zu überhaupt keinen Zeilen 'run_iptables -A icmpdef....'.

Alles auf einmal wird nicht sinnvoll sein(?) - sollen wir nicht doch zuerst das Update machen?

Dass Ping standardmäßig nicht funktioniert, hab' ich irgendwo in der Doku gelesen - ist auch gut so, könnte so bleiben, denk ich.

Zitat:

Ok, aber an der /etc/shorewall/rules hast aber sicher einiges geändert.

OK, die rules sieht jetzt so aus (ist das jetzt "dicht"?):
---------------------------------------

# Accept DNS connections from the firewall to the network
ACCEPT fw net tcp 53
ACCEPT fw net udp 53
# Accept SSH connections from the local network for administration
ACCEPT loc fw tcp 22
# Allow Ping To And From Firewall
ACCEPT loc fw icmp 8
ACCEPT net fw icmp 8
ACCEPT fw loc icmp 8
ACCEPT fw net icmp 8
# selbstdefinierte Eintraege lt Samba
ACCEPT fw loc udp 137:139
ACCEPT fw loc tcp 137,139
ACCEPT fw loc udp 1024: 137
ACCEPT loc fw udp 137:139
ACCEPT loc fw tcp 137,139
ACCEPT loc fw udp 1024: 137
# Webmin- und Cups-Zugriff
ACCEPT loc fw tcp 10000
ACCEPT loc fw tcp 631
---------------------------------------

Thx,
Quintus

[Lotussteve]

Zitat:

Original geschrieben von Quintus14
ad 1.) Ich hab' doch erst vor ein paar Tagen "apt-get update" gemacht - hab' ich da nicht von überall die neuesten Versionen automatisch drauf?

ad 2.) Wenn nein, wie mach' ich das (nur-Shorewall-)Update step-by-step?

Hallo!

ad 1.) Nein, ein "update" bringt nur die "Verfügbarkeitslisten" auf den gleichen Stand Lokal <--> Server. Eine Installation passiert dann erst bei einem "upgrade".

ad 2.) Ich kenne shorewall nicht, aber ich würde sagen:

apt-get update
apt-get -u install shorewall



Ciao,

Steve

[Quintus14]

Zitat:

apt-get update
apt-get -u install shorewall

Getan - "Sorry, shorewall is already the newest version".

---------------------------------------

Ist die FW jetzt "dicht" (siehe die rules 3 Postings oberhalb)?

---------------------------------------

Zitat:

Versuch die run_iptables Zeilen alle auskommentieren.
Ev. solltest auch /etc/shorewall/icmpdef und /etc/shorewall/icmp.def umbenennen.

Gemacht - war keine so gute Idee. Shorewall hat dann "zum Spinnen" angefangen.

Ich hab' dann alles wieder rückgängig gemacht - Shorewall ging trotzdem nicht mehr - und der Zugriff aufs Internet auch nicht mehr. Beim Starten bzw. Restarten von Shorewall kommt die Fehlermeldung:
Processing /etc/shorewall/params
Lockfile: Sorry, givingup on "var/state/shorewall/lock

obwhohl 'shorewall -c . check' nichts Außergewöhnliches findet.

Hab' dann die "russische Methode" angewandt und das shorewall-Verzeichnis umbenannt und neu gebootet - ich krieg' trotzdem keinen Zugriff mehr aufs Internet

Irgendwie hab' ich den Eindruck, das Routing von intern zu extern funktioniert nicht mehr, obwohl Shorewall mit Sicherheit ausgeschaltet ist (umbenanntes Shorewall-Verzeichnis).

Jetzt können wir wieder von vorne mit der Sucherei anfangen..... nur wo?

Der genannte 'params' ist übrigens völlig leer.

Thx
Quintus



P.S.: Wenns wieder läuft, hol' ich sofort die Knoppix-CD und mach ein Backup....

[flinx]

Zitat:

Gemacht - war keine so gute Idee

Bist so vorgegangen wie ein paar Postings

Zitat:

When changing the configuration of a production firewall, I recommend the following:.....

vorher beschrieben?

Zitat:

Processing /etc/shorewall/parms
Lockfile: Sorry, givingup on "var/state/shorewall/lock

Schaut für mich so aus, als ob sie noch gelaufen ist. Hast ein 'shorewall stop' bzw. 'shorewall clear' auch probiert?

Was sagt 'shorewall status'?
Hast auch probiert mittels 'shorewall debug start 2> /tmp/trace' dem Problem auf die Spur zu kommen?

[Quintus14]

Zitat:

Bist so vorgegangen wie ein paar Postings

Natürlich nicht (*schäm*).

Momentan wird der Server benötigt, Fehlersuche daher erst Abends möglich.

MfG
Quintus

[flinx]

Zitat:

Natürlich nicht (*schäm*).

Zitat:

Getan - "Sorry, shorewall is already the newest version".

http://packages.debian.org/testing/net/shorewall.html
Soweit ich des jetzt von apt mitbekommen habe, musst du irgendwo einstellen, daß apt auch die testing Versionen berücksichtigt. Aber da wird dir sicher jemand helfen können, der sich mit apt besser auskennt.

Noch was ist mir eingefallen:
AFAIK hast ja webmin und dazu das webmin-shorwall Module installiert, oder? Kannst du da nicht shorewall über das webmin konfigurieren? Wäre vielleicht einfacher, als händisch in den Konfigurationsdateien herumzubasteln.

[Quintus14]

Trace steht hier - weiß nicht, was es zum Schluss da mit dem Lockfile auf sich hat.

Der genannte Lockfile 'Sorry, givingup on "var/state/shorewall/lock"' enthält genau eine Null - und ist anscheinend readonly.

'shorewall status' schreibt eine Menge raus, gelingt mir aber nicht zu tracen ('> file').


*help*

Thx
Quintus

[flinx]

Schaut so aus, als ob shorewall noch laufen würde. Probier ein 'shorewall stop'.

BTW: Hab jetzt testweise webmin+shorewall installiert und shorewall lässt sich recht komfortabel über das webinterface konfigurieren.

edit: 'shorewall clear' (anstatt stop) ist besser.

[Quintus14]

Zitat:

Schaut so aus, als ob shorewall noch laufen würde. Probier ein 'shorewall stop'.
BTW: Hab jetzt testweise webmin+shorewall installiert und shorewall lässt sich recht komfortabel über das webinterface konfigurieren.

Es ging ja nicht darum, die Shorewall zu konfigurieren, sondern einen Fehler zu beseitigen: Der Restart funktionierte nicht.

Nach den Herumbasteleien und nach Wiederherstellung des ursprünglichen (glaub' ich wenigstens) Zustandes, bei dem es funktionierte sieht es so aus:

'shorewall clear' erstmals aufgerufen:
Processing /etc/shorewall/shorewall.conf....
iptables: Chain already exists

'shorewall clear' sofort danach ein zweites mal aufgerufen:
Processing /etc/shorewall/shorewall.conf....
Processing /etc/shorewall/params ....
lockfile: Sorry, giving up on "/var/state/shorewall/lock"

Wie gesagt: in der lock-Datei steht eine Null, sie ist readonly.

Das Ergebnis von 'shorewall debug start 2> /tmp/trace' steht hier.

Was tun?

Thx
Quintus

[Quintus14]

NACHTRAG: auch beim Shorewall-Start über Webmin gibts die Meldung:

Failed to start firewall :
Processing /etc/shorewall/shorewall.conf ...
Processing /etc/shorewall/params ...
lockfile: Sorry, giving up on "/var/state/shorewall/lock"

Soll ich die shorewall und iproute rückstandsfrei (wie???) runterschmeißen und nochmals neu installieren (wie gleich die 1.4er?)?

Thx
Quintus