hi,
ich möchte als ganz normaler anwender die susefirewall2 (version 2.3.1-43) nutzen.
wenn ich die installiere komm ich nicht mehr ins netz wennich sie deaktiviere bin ich wieder sofort drin.
eingestellt hab ich mit yast2 (bin anwender, kein linux programmierer!)
in der /var/log/messages erscheint:
Jan 10 08:51:54 linux kernel: SuSE-FW-ILLEGAL-TARGET IN=ippp0 OUT= MAC= SRC=217.5.112.145 DST=62.227.56.72 LEN=287 TOS=0x00 PREC=0x00 TTL=56 ID=12646 PROTO=UDP SPT=53 DPT=1025 LEN=267
axxo ich nutze ein völligst stinknormales suse 8.1 pro mit neuesten YOU-Update.
wie gesagt, ohne firewall klappt alles ganz toll.
wo liegt das problem?
Linux 15.036 Themen, 107.107 Beiträge
Du laesst die Antworten des Nameservers (DNS) nicht zu. Die kommen von Port 53. Schau dir das Script noch mal an und schalte das frei. Besser noch, beschaeftige dich etwas mit iptables und schreibe ein eigenes Script. Oder biete keine Dienste an und lass das ganz weg.
Bye, Klaus
Irgendwo in der /etc/sysconfig/SuSEfirewall2 Datei steht der Eintrag den du ändern musst.
Ich kann dir nicht auswendig sagen wie er heisst. Aber es geht darum incoming highports udp zuzulassen.
ext_allow_incoming_highports_udp="domain" ...oder so ähnlich.
XPectIT
Erstmal danke für die tipps, ich werds im laufe der tage mal testen. im moment habe ich sie im quickmode laufen, da funzt es anscheinend
wenn ich das richtig verstanden habe, kann ich doch bei zusätzliche dienste die ports freigeben oder?
da sind natürlich 53 und 139 freigegeben... aber trotzdem tut ers nicht.... oder hab ich das falsch verstanden?
Du siehst da etwas verkehrt. Dienste sind entweder auf deinem Rechner oder auf dem entfernten. Auf deinem rechner sollten keine laufen, damit ist deine Kiste zu, niemand kommt dadrauf, fertig.
Wenn du die Firewall (Paketfilter) laufen laesst, musst du die Ports freischalten, die von dem entfernten Rechner kommen und alle Ports ueber 1023 auf deinem Rechner eingehen.
Eine Nameserveranfrage erfolgt so:
Dein PC fragt von einem Port >1023 auf dem Port 53 des DNS an und bekommt von Port 53 des Rechners eine Antwort auf Port >1023 zurueck. Du musst also Diese Ports freischalten fuer diesen Dienst.
Bye, Klaus