Hallo Community :)
Ich schlage mich seit Tagen mit einem äußerst kniffligen Problem herum ):
System: Suse Linux 9.2
Netzwerk:
eth0 192.168.1.155 (internes Netz)
eth1 192.168.100.1 (->DSL)
dsl0 PPPoE -> Interface
Problem: SuSEfirewall2 blockt (verzögert?!) die Kommunikation zwischen CUPS (Server auf: 192.168.1.155) und einem Printserver (192.168.1.60) auf Port 515 im internen Netz.
Keine Druckprobleme bei deaktivierter firewall!
Voilà – hier ist der entscheidende(?) syslog-Eintrag:
kernel: SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.1.155 DST=192.168.1.60 LEN=44 TOS=0x00 PREC=0x00 TTL=64 ID=56421 DF PROTO=TCP SPT=6853 DPT=515 WINDOW=5840 RES=0x00 ACK PSH URGP=0
Was bedeutet der SFW2-OUT-ERROR? Was habe ich falsch konfiguriert??
(Auf einem 9.1-System mit ähnlicher Konfiguration gibt es übrigens keinerlei Probleme)
any help very much appreciated!!!
thanx Till
ANHANG:——————————————————
Die firewall-Konfiguration:
FW_DEV_EXT=”dsl0″
FW_DEV_INT=”eth0″
FW_DEV_DMZ=””
FW_ROUTE=”yes”
FW_MASQUERADE=”yes”
FW_MASQ_DEV=”dsl0″
FW_MASQ_NETS=”192.168.1.0/24″
FW_PROTECT_FROM_INTERNAL=”no”
FW_AUTOPROTECT_SERVICES=”no”
FW_SERVICES_EXT_TCP=”http ssh 10000 3306 631 515″
FW_SERVICES_EXT_UDP=”515 631″
FW_SERVICES_EXT_IP=””
FW_SERVICES_EXT_RPC=””
FW_SERVICES_DMZ_TCP=”80″
FW_SERVICES_DMZ_UDP=””
FW_SERVICES_DMZ_IP=””
FW_SERVICES_DMZ_RPC=””
FW_SERVICES_INT_TCP=”80 515 631″
FW_SERVICES_INT_UDP=”515 domain 631″
FW_SERVICES_INT_IP=””
FW_SERVICES_INT_RPC=””
FW_SERVICES_DROP_EXT=””
FW_SERVICES_REJECT_EXT=”0/0,tcp,113″
FW_SERVICES_QUICK_TCP=””
FW_SERVICES_QUICK_UDP=””
FW_SERVICES_QUICK_IP=””
FW_TRUSTED_NETS=”192.168.1.0/24,tcp 192.168.1.0/24,udp”
FW_ALLOW_INCOMING_HIGHPORTS_TCP=”no”
FW_ALLOW_INCOMING_HIGHPORTS_UDP=””
FW_REDIRECT=””
FW_LOG_DROP_CRIT=”yes”
FW_LOG_DROP_ALL=”no”
FW_LOG_ACCEPT_CRIT=”yes”
FW_LOG_ACCEPT_ALL=”no”
FW_LOG_LIMIT=””
FW_LOG=””
FW_KERNEL_SECURITY=”yes”
FW_ANTISPOOF=”no”
FW_STOP_KEEP_ROUTING_STATE=”no”
FW_ALLOW_PING_FW=”yes”
FW_ALLOW_PING_DMZ=”no”
FW_ALLOW_PING_EXT=”no”
FW_ALLOW_FW_TRACEROUTE=”yes”
FW_ALLOW_FW_SOURCEQUENCH=”yes”
FW_ALLOW_FW_BROADCAST=”int”
FW_IGNORE_FW_BROADCAST=”no”
FW_ALLOW_CLASS_ROUTING=”no”
FW_CUSTOMRULES=””
FW_REJECT=”no”
FW_HTB_TUNE_DEV=””
FW_IPv6=””
FW_IPv6_REJECT_OUTGOING=”yes”
FW_IPSEC_TRUST=”no”
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
r5ffm.de.vianw. * 255.255.255.255 UH 0 0 0 dsl0
192.168.100.0 * 255.255.255.0 U 0 0 0 eth1
192.168.1.0 * 255.255.255.0 U 0 0 0 eth0
link-local * 255.255.0.0 U 0 0 0 eth0
loopback * 255.0.0.0 U 0 0 0 lo
default r5ffm.de.vianw. 0.0.0.0 UG 0 0 0 dsl0
Hi,
vielleicht hat SuSE in der /etc/sysconfig/SuSEfirewall2 den von Dir konfigurierten Fall einfach nicht vorgesehen. Aber am Ende dieser Konfigurationsdatei gibt es doch den Eintrag FW_CUSTOMRULES=””. Denn könntest Du wie folgt setzen (was bei SuSE 9.3 den Einträgen in der Doku entspricht):
FW_CUSTOMRULES=”/etc/sysconfig/scripts/SuSEfirewall2-custom”
In der /etc/sysconfig/scripts/SuSEfirewall2-custom sind bereits einige Regeln konfiguriert, ich denke, Du müßtest das Template wie folgt abändern:
fw_custom_before_port_handling() {
iptables -A OUTPUT -p tcp –dport 515 -j ACCEPT
}
Weitere Hinweise für “exotische” Konfigurationsmöglichkeiten findest Du unter
/usr/share/doc/packages/SuSEfirewall2.
Viel Erfolg,
Stefan
—
********************************************
in-put GbR – Das Linux-Systemhaus
Stefan-Michael Guenther
Moltkestrasse 49 D-76133 Karlsruhe
Tel./Fax : +49 (0)721 / 83044 – 98/93
http://www.in-put.de
********************************************
Schulungen Installationen Support
********************************************
Hallo Stefan (und Mitlesende) :-)
ausgezeichneter Hinweis – Das Problem ist gelöst! Allerdings ist mir nach wie vor schleierhaft, warum solche “Verrenkungen” notwendig sind, um in einem lokalen Netz (trusted) einen Port zu öffnen. Das Drucken via CUPS auf LPD (Printserver) ist eigentlich kein besonders exotischer Fall!? Egal – erlaubt ist, was gefällt. Dennoch würde ich gerne verstehen, warum die LPD-Pakete an der output-chain-Regel
ACCEPT all — anywhere anywhere state NEW,RELATED,ESTABLISHED
vorbei gehen?
DANKE
Till