openSUSEa suomeksi
openSUSE => Internet, tietoverkot ja viestintä => Aiheen aloitti: SuperOscar - 08.08.2009 - klo:00:32
-
En oikein honaa SUSEn palomuurin ”vyöhykkeitä”. Saako jostakin selville kunkin vyöhykkeen IP-osoitealuetta? YaST2:sta en ole löytänyt moista paikkaa.
Lähinnä tarpeena olisi sallia sisäverkosta (ja vain sieltä) SSH:lle ja NFS:lle vapaa pääsy koneelle.
-
En oikein honaa SUSEn palomuurin ”vyöhykkeitä”. Saako jostakin selville kunkin vyöhykkeen IP-osoitealuetta? YaST2:sta en ole löytänyt moista paikkaa.
Lähinnä tarpeena olisi sallia sisäverkosta (ja vain sieltä) SSH:lle ja NFS:lle vapaa pääsy koneelle.
Palomuurin määrityksen kanssa tuo YaST2 moduuli ei ole kaikkein paras.
Mutta tutki tiedostoa /etc/sysconfig/SuSEfirewall2 veikkaan että saat homman toimimaan.
Edit: Unohdin kertoa ehkä tärkeimmän:
SuSEfirewall2 ohjeet löytyvät /usr/share/doc/packages/SuSEfirewall2-hakemistosta
-
Ei se ihan helppoa ole :(
Ensin ajattelin, että riittää, kun määrittelen sisävyöhykkeen näin:
FW_TRUSTED_NETS="192.168.2.0/24"
Pelkästään tuo ei kuitenkaan avaa yhtään mitään.
Käytössä olevaa verkkokorttia eth0 taas ei voi liittää yhtä aikaa kahteen vyöhykkeeseen. Kokeilin asettaa sisäiselle vyöhykkeelle eth0 ja ulkoiselle any tai merkitä eth0:n ”ei määriteltyä vyöhykettä”, mutta kummassakin tapauksessa palomuuri estää kaiken ulospäin suuntautuvan liikenteen.
Helpompikäyttöistäkään palomuuria ei tunnu pakettivarastoissa olevan, joten...?
-
Ei se ihan helppoa ole :(
Ensin ajattelin, että riittää, kun määrittelen sisävyöhykkeen näin:
FW_TRUSTED_NETS="192.168.2.0/24"
Pelkästään tuo ei kuitenkaan avaa yhtään mitään.
Juu ei.
FW_SERVICES_INT_TCP="ssh nfs"
palvelujen salliminen saattaa auttaa ;)
Helpompikäyttöistäkään palomuuria ei tunnu pakettivarastoissa olevan, joten...?
Veikkaan että löytyy :)
fwbuilder - Firewall Builder löytyy contrib asennuslähteestä
-
FW_SERVICES_INT_TCP="ssh nfs"
palvelujen salliminen saattaa auttaa ;)
Oukkidoukki, mutta oletko varma, että avain on _INT_ eikä _EXT_? Loppuviimeksihän eth0 on nyt kiinni vain ”ulko”-verkossa, josta erikseen rajataan 192.168.2.0/24 ”luotetuksi alueeksi”.
-
FW_SERVICES_INT_TCP="ssh nfs"
palvelujen salliminen saattaa auttaa ;)
Oukkidoukki, mutta oletko varma, että avain on _INT_ eikä _EXT_? Loppuviimeksihän eth0 on nyt kiinni vain ”ulko”-verkossa, josta erikseen rajataan 192.168.2.0/24 ”luotetuksi alueeksi”.
Jos se on EXT niin silloin sallit palvelut ulkoverkolle ;)
Siinä tapauksessa kannattaa tehdä muutamia muitakin korjauksia tuohon tiedostoon.
FW_SERVICES_ACCEPT_EXT="0/0,tcp,22,,hitcount=3,blockseconds=60,recentname=ssh"
Lue kyseisen kohdan ohje, se ei ihan noin helposti toimi. Tietenkin voit käyttää fail2ban-ohjelmaa tai jotain vastaavaa.
-
Jos se on EXT niin silloin sallit palvelut ulkoverkolle ;)
Aivan, mutta kun käsittääkseni jokainen verkko on omassa sovittimessaan: eth0 on liitetty vain ulkoverkkoon, kun taas sisäverkkoon ja DMZ:aan ei ole määritelty sovitinta laisinkaan. Tai sitten olen ymmärtänyt ihan väärin.
SSH:n voisin ulospäin avatakin, NFS(4):ää ei todellakaan viitsi.
-
En tiedä, enkä pysty testaamaan, toimiiko homma näin
## Type: string
#
# 10.)
# Which services should be accessible from 'trusted' hosts or nets?
#
# Define trusted hosts or networks (doesn't matter whether they are internal or
# external) and the services (tcp,udp,icmp) they are allowed to use. This can
# be used instead of FW_SERVICES_* for further access restriction. Please note
# that this is no replacement for authentication since IP addresses can be
# spoofed. Also note that trusted hosts/nets are not allowed to ping the
# firewall until you also permit icmp.
#
# Format: space separated list of network[,protocol[,port]]
# in case of icmp, port means the icmp type
#
# Example: "172.20.1.1 172.20.0.0/16 1.1.1.1,icmp 2.2.2.2,tcp,22"
#
FW_TRUSTED_NETS="192.168.2.0/24,icmp,tcp,ssh,nfs"
mutta ainahan voit kokeilla. ;)
-
...
# Format: space separated list of network[,protocol[,port]]
# in case of icmp, port means the icmp type
#
# Example: "172.20.1.1 172.20.0.0/16 1.1.1.1,icmp 2.2.2.2,tcp,22"
#
FW_TRUSTED_NETS="192.168.2.0/24,icmp,tcp,ssh,nfs"
mutta ainahan voit kokeilla. ;)
Kannattaako kokeillakaan: muoto ei vastaa Format: -rivillä annettua määritelmää. Nähtävästi verkkoalue pitäisi toistaa joka portille.
Kokeilin muuten jo aiemmin illasta näin:
192.168.2.0/24,tcp
...ajatuksenani sallia kaikki TCP-liikenne luotetulta alueelta, mutta se ei toiminut (= pingaus ei toiminut kuten olettaa sopiikin, koska icmp pitäisi määritellä erikseen, mutta SSH-kirjautuminenkaan ei onnistunut).
-
...
# Format: space separated list of network[,protocol[,port]]
# in case of icmp, port means the icmp type
#
# Example: "172.20.1.1 172.20.0.0/16 1.1.1.1,icmp 2.2.2.2,tcp,22"
#
FW_TRUSTED_NETS="192.168.2.0/24,icmp,tcp,ssh,nfs"
mutta ainahan voit kokeilla. ;)
Kannattaako kokeillakaan: muoto ei vastaa Format: -rivillä annettua määritelmää. Nähtävästi verkkoalue pitäisi toistaa joka portille.
No jos tuossa on virhe, niin komento
rcSuSEfirewall2 restart
kyllä kertoo siitä sinulle.
Kokeilin muuten jo aiemmin illasta näin:
192.168.2.0/24,tcp
...ajatuksenani sallia kaikki TCP-liikenne luotetulta alueelta, mutta se ei toiminut (= pingaus ei toiminut kuten olettaa sopiikin, koska icmp pitäisi määritellä erikseen, mutta SSH-kirjautuminenkaan ei onnistunut).
Mietin tuota illemmalla, nyt ei oikein siihen pysty.
-
Sain lopulta NFS:n pelittämään.
Ratkaisuna on toistaiseksi tällainen rivi:
FW_CONFIGURATIONS_EXT="nfs-kernel-server sshd"
Löytymistä vaikeutti vähän se, että tiedoston kommenttiriveillä annettiin aivan vääränlaisia esimerkkejä palvelunimistä (esim. ”nfs-server”, joka ei toimi), mutta toisaalta kyllä kerrottiin, että palvelujen tulee löytyä hakemistosta /etc/sysconfig/SuSEfirewall2.d/services, joten ei kun vilkuilemaan.
Noh, tuossa on nyt EXT eikä INT, joten pahimmassa tapauksessa NFS on auki kuuhun saakka ::) Toisaalta koneeni ovat palomuurillisen kytkimen takana, joten epäilenpä, pääseekö niihin käsiksi kuitenkaan. Huomenna kokeilen vielä, auttaisiko FW_CONFIGURATIONS_INT yhtä hyvin.
-
Olisi kyllä mukava tietää mikä estää sen FW_TRUSTED_NETS toimimisen?
-
Olisi kyllä mukava tietää mikä estää sen FW_TRUSTED_NETS toimimisen?
Nii-in ??? Minulla tämä oli puhdasta yritystä ja erehdystä: muokataan tiedostoa, käynnistetään palomuuri uudestaan, kokeillaan NFS-mounttausta... kunnes lopulta onnistuu.