Palomuurin vyöhykkeet

[SuperOscar]

En oikein honaa SUSEn palomuurin ”vyöhykkeitä”. Saako jostakin selville kunkin vyöhykkeen IP-osoitealuetta? YaST2:sta en ole löytänyt moista paikkaa.

Lähinnä tarpeena olisi sallia sisäverkosta (ja vain sieltä) SSH:lle ja NFS:lle vapaa pääsy koneelle.

[jmp]

En oikein honaa SUSEn palomuurin ”vyöhykkeitä”. Saako jostakin selville kunkin vyöhykkeen IP-osoitealuetta? YaST2:sta en ole löytänyt moista paikkaa.

Lähinnä tarpeena olisi sallia sisäverkosta (ja vain sieltä) SSH:lle ja NFS:lle vapaa pääsy koneelle.

Palomuurin määrityksen kanssa tuo YaST2 moduuli ei ole kaikkein paras. 
Mutta tutki tiedostoa /etc/sysconfig/SuSEfirewall2 veikkaan että saat homman toimimaan.

Edit: Unohdin kertoa ehkä tärkeimmän:
SuSEfirewall2 ohjeet löytyvät /usr/share/doc/packages/SuSEfirewall2-hakemistosta

[SuperOscar]

Ei se ihan helppoa ole

Ensin ajattelin, että riittää, kun määrittelen sisävyöhykkeen näin:

Koodia: [Valitse]

FW_TRUSTED_NETS="192.168.2.0/24"
Pelkästään tuo ei kuitenkaan avaa yhtään mitään.

Käytössä olevaa verkkokorttia eth0 taas ei voi liittää yhtä aikaa kahteen vyöhykkeeseen. Kokeilin asettaa sisäiselle vyöhykkeelle eth0 ja ulkoiselle any tai merkitä eth0:n ”ei määriteltyä vyöhykettä”, mutta kummassakin tapauksessa palomuuri estää kaiken ulospäin suuntautuvan liikenteen.

Helpompikäyttöistäkään palomuuria ei tunnu pakettivarastoissa olevan, joten...?

[jmp]

Ei se ihan helppoa ole

Ensin ajattelin, että riittää, kun määrittelen sisävyöhykkeen näin:

Koodia: [Valitse]

FW_TRUSTED_NETS="192.168.2.0/24"
Pelkästään tuo ei kuitenkaan avaa yhtään mitään.

Juu ei.

Koodia: [Valitse]

FW_SERVICES_INT_TCP="ssh nfs"
palvelujen salliminen saattaa auttaa

Helpompikäyttöistäkään palomuuria ei tunnu pakettivarastoissa olevan, joten...?

Veikkaan että löytyy

fwbuilder - Firewall Builder löytyy contrib asennuslähteestä

[SuperOscar]

Koodia: [Valitse]

FW_SERVICES_INT_TCP="ssh nfs"
palvelujen salliminen saattaa auttaa

Oukkidoukki, mutta oletko varma, että avain on _INT_ eikä _EXT_? Loppuviimeksihän eth0 on nyt kiinni vain ”ulko”-verkossa, josta erikseen rajataan 192.168.2.0/24 ”luotetuksi alueeksi”.

[jmp]

Koodia: [Valitse]

FW_SERVICES_INT_TCP="ssh nfs"
palvelujen salliminen saattaa auttaa

Oukkidoukki, mutta oletko varma, että avain on _INT_ eikä _EXT_? Loppuviimeksihän eth0 on nyt kiinni vain ”ulko”-verkossa, josta erikseen rajataan 192.168.2.0/24 ”luotetuksi alueeksi”.

Jos se on EXT niin silloin sallit palvelut ulkoverkolle
Siinä tapauksessa kannattaa tehdä muutamia muitakin korjauksia tuohon tiedostoon.

Koodia: [Valitse]

FW_SERVICES_ACCEPT_EXT="0/0,tcp,22,,hitcount=3,blockseconds=60,recentname=ssh"
Lue kyseisen kohdan ohje, se ei ihan noin helposti toimi. Tietenkin voit käyttää fail2ban-ohjelmaa tai jotain vastaavaa.

[SuperOscar]

Jos se on EXT niin silloin sallit palvelut ulkoverkolle

Aivan, mutta kun käsittääkseni jokainen verkko on omassa sovittimessaan: eth0 on liitetty vain ulkoverkkoon, kun taas sisäverkkoon ja DMZ:aan ei ole määritelty sovitinta laisinkaan. Tai sitten olen ymmärtänyt ihan väärin.

SSH:n voisin ulospäin avatakin, NFS(4):ää ei todellakaan viitsi.

[jmp]

En tiedä, enkä pysty testaamaan, toimiiko homma näin

Koodia: [Valitse]

## Type: string
#
# 10.)
# Which services should be accessible from 'trusted' hosts or nets?
#
# Define trusted hosts or networks (doesn't matter whether they are internal or
# external) and the services (tcp,udp,icmp) they are allowed to use. This can
# be used instead of FW_SERVICES_* for further access restriction. Please note
# that this is no replacement for authentication since IP addresses can be
# spoofed. Also note that trusted hosts/nets are not allowed to ping the
# firewall until you also permit icmp.
#
# Format: space separated list of network[,protocol[,port]]
# in case of icmp, port means the icmp type
#
# Example: "172.20.1.1 172.20.0.0/16 1.1.1.1,icmp 2.2.2.2,tcp,22"
#
FW_TRUSTED_NETS="192.168.2.0/24,icmp,tcp,ssh,nfs"
mutta ainahan voit kokeilla.

[SuperOscar]

Koodia: [Valitse]

...
# Format: space separated list of network[,protocol[,port]]
# in case of icmp, port means the icmp type
#
# Example: "172.20.1.1 172.20.0.0/16 1.1.1.1,icmp 2.2.2.2,tcp,22"
#
FW_TRUSTED_NETS="192.168.2.0/24,icmp,tcp,ssh,nfs"mutta ainahan voit kokeilla.

Kannattaako kokeillakaan: muoto ei vastaa Format: -rivillä annettua määritelmää. Nähtävästi verkkoalue pitäisi toistaa joka portille.

Kokeilin muuten jo aiemmin illasta näin:

Koodia: [Valitse]

192.168.2.0/24,tcp
...ajatuksenani sallia kaikki TCP-liikenne luotetulta alueelta, mutta se ei toiminut (= pingaus ei toiminut kuten olettaa sopiikin, koska icmp pitäisi määritellä erikseen, mutta SSH-kirjautuminenkaan ei onnistunut).

[jmp]

Koodia: [Valitse]

...
# Format: space separated list of network[,protocol[,port]]
# in case of icmp, port means the icmp type
#
# Example: "172.20.1.1 172.20.0.0/16 1.1.1.1,icmp 2.2.2.2,tcp,22"
#
FW_TRUSTED_NETS="192.168.2.0/24,icmp,tcp,ssh,nfs"mutta ainahan voit kokeilla.

Kannattaako kokeillakaan: muoto ei vastaa Format: -rivillä annettua määritelmää. Nähtävästi verkkoalue pitäisi toistaa joka portille.

No jos tuossa on virhe, niin komento

Koodia: [Valitse]

rcSuSEfirewall2 restart
kyllä kertoo siitä sinulle.

Kokeilin muuten jo aiemmin illasta näin:

Koodia: [Valitse]

192.168.2.0/24,tcp
...ajatuksenani sallia kaikki TCP-liikenne luotetulta alueelta, mutta se ei toiminut (= pingaus ei toiminut kuten olettaa sopiikin, koska icmp pitäisi määritellä erikseen, mutta SSH-kirjautuminenkaan ei onnistunut).

Mietin tuota illemmalla, nyt ei oikein siihen pysty.

[SuperOscar]

Sain lopulta NFS:n pelittämään.

Ratkaisuna on toistaiseksi tällainen rivi:

Koodia: [Valitse]

FW_CONFIGURATIONS_EXT="nfs-kernel-server sshd"
Löytymistä vaikeutti vähän se, että tiedoston kommenttiriveillä annettiin aivan vääränlaisia esimerkkejä palvelunimistä (esim. ”nfs-server”, joka ei toimi), mutta toisaalta kyllä kerrottiin, että palvelujen tulee löytyä hakemistosta /etc/sysconfig/SuSEfirewall2.d/services, joten ei kun vilkuilemaan.

Noh, tuossa on nyt EXT eikä INT, joten pahimmassa tapauksessa NFS on auki kuuhun saakka Toisaalta koneeni ovat palomuurillisen kytkimen takana, joten epäilenpä, pääseekö niihin käsiksi kuitenkaan. Huomenna kokeilen vielä, auttaisiko FW_CONFIGURATIONS_INT yhtä hyvin.

[jmp]

Olisi kyllä mukava tietää mikä estää sen FW_TRUSTED_NETS toimimisen?

[SuperOscar]

Olisi kyllä mukava tietää mikä estää sen FW_TRUSTED_NETS toimimisen?

Nii-in Minulla tämä oli puhdasta yritystä ja erehdystä: muokataan tiedostoa, käynnistetään palomuuri uudestaan, kokeillaan NFS-mounttausta... kunnes lopulta onnistuu.