Не могу настроить SuSEfirewall2...

Обсуждение технических вопросов по продуктам Novell под Linux, а также *nix систем

Не могу настроить SuSEfirewall2...

Сообщение Иван Левшин aka Ivan L. » 28 окт 2005, 16:59

Сразу прошу прощения у всех, кто сочтет тему ламерской - возможно, она такова на самом деле. Линух я взялся ковырять только что, потому многого не понимаю.

Итак, к существу вопроса. Имею OES, на котором хочу настроить упомянутую службу. Насколько я понял, SuSEfirewall2 есть скриптовая настройка над iptables, которая содержит правила доступа. С помощью яста попытался настроить файрволл - результат оказался совсем не таким, какого я ожидал.

1. Ни фига не понимаю, как открыть файрволл для конкретного адреса. В FW_MASQ_NETS прописал айпишники, которые хотелось бы иметь открытыми. Например, "192.168.0.1 192.168.0.2". При запуске файрволла появляется ругань на то, что integer value excepted, но, тем не менее, 192.168.0.1 наружу открывается. Второй адрес - нет! Эта переменная должна содержать адреса только сетей или можно все же прописывать и хосты тоже?

2. Несмотря на то, что FW_SERVICES_EXT_UDP="53", FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS" и FW_SERVICE_DNS="yes", 53 порт закрыт и обновить вторичный сервер ДНС я, соответственно, не могу. Может виновато FW_SERVICE_AUTODETECT="yes" или FW_AUTOPROTECT_SERVICES="yes"?

3. Как вообще настраивать ентот файрволл? Можно, конечно, поковыряться в /sbin/SuSEfirewall2, но имеются сомнения - насколько я понял, это как раз правила для iptables, генерируемые автоматом и, соответственно, нет гарантии, что мои настройки не убьются при перенастройке файрволла из яста. Во-вторых - я в принципе не уверен, что можно править этот файл вручную :)

sles_admin.pdf у меня есть, в силу возможностей изучен :)
Иван Левшин aka Ivan L.
 
Сообщения: 2378
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Re: Не могу настроить SuSEfirewall2...

Сообщение Константин Ошмян » 28 окт 2005, 17:34

Иван Левшин aka Ivan L. писал(а):2. Несмотря на то, что FW_SERVICES_EXT_UDP="53", FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS" и FW_SERVICE_DNS="yes", 53 порт закрыт и обновить вторичный сервер ДНС я, соответственно, не могу. Может виновато FW_SERVICE_AUTODETECT="yes" или FW_AUTOPROTECT_SERVICES="yes"?
Насколько я помню, серверы DNS синхронизируются между собой (по крайней мере, транфер зоны происходит) не по UDP, а по TCP. А ещё можно посмотреть в логе - что этот firewall режет, может на какие мысли наведёт.
Аватара пользователя
Константин Ошмян
 
Сообщения: 972
Зарегистрирован: 13 авг 2002, 21:36
Откуда: Рига

Сообщение Иван Левшин aka Ivan L. » 28 окт 2005, 17:47

Насколько я понял из описания, при установке автодетекта запущенных сервисов (например, ДНС), файрволл должен самостоятельно им открывать порты. Насчет синхронизации по ТСР - меня тоже эта мысль мучила, но я поставил UDP :) Попробую ТСР (по логике синхронизация действительно должна проходить по ТСР - UDP не гарантирует доставку, а это для синхронизации, ИМХО, не есть гуд).
Логи... Еще бы знать, куда он их пишет :) В /var/log пока ничего найти не удалось. FW_LOG - в ясте написано, что изменять параметр стоит только тогда, когда "вы действительно понимает, что и зачем делаете". Т.к. подобная уверенность у меня (или во мне?) отсутствует, менять не стал.
Иван Левшин aka Ivan L.
 
Сообщения: 2378
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

мнение

Сообщение skoltogyan » 29 окт 2005, 10:58

1. если руками писать команды для iptables, то на порядок меньше будет головняка.

На русском языке про немного более старый iptables можно почитать тут:
http://www.opennet.ru/docs/RUS/iptables/
http://www.opennet.ru/base/net/iptables_howto.txt.html

2. WS обращается к DNS по udp 53 порт

3. посмотреть на Линукс по какому порту к нему обращается станция можно так:
Например:
eth0 на линукс имеет IP: 192.168.11.8
станция имеет IP: 192.168.11.10

На линукс подать:
tcpdump -nl -i eth0 src or dst 192.168.11.10
и Вы увидите по какому порту к Линукс обращается станция и что отвечает (или не отвечает) Линукс.
skoltogyan
 
Сообщения: 1906
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Сообщение Иван Левшин aka Ivan L. » 29 окт 2005, 13:13

1. Насчет настройки руками - абсолютно, целиком и полностью согласен. Не люблю, когда за меня машина думает. Не уверен, что данная настройка не отразится на состоянии здоровья сервера :)

2. Имеется в виду синхронизация первичного и вторичного серверов зон через Инет. Она, по идее, должна проводиться по TCP - в отличие от запроса от хоста на разрешение имени здесь важно, чтобы каждая датаграмма была доставлена. Хотя - не уверен полностью :)

3. За tcpdump - спасибо :) Ибо начал я читать man и крышу подсорвало :oops:
Иван Левшин aka Ivan L.
 
Сообщения: 2378
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение relax » 20 янв 2006, 10:41

relax
 
Сообщения: 6
Зарегистрирован: 11 окт 2005, 08:17
Откуда: Красноярск

Сообщение Иван Левшин aka Ivan L. » 20 янв 2006, 18:53

За ссылку спасибо, проблема давно решена
Иван Левшин aka Ivan L.
 
Сообщения: 2378
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Андрей Фисенко » 21 янв 2006, 09:18

Иван, тебе-ли не знать, что желательно писать, как решена проблема и закрывать тему. Может, люди специально искали что-то, чтобы тебе помочь.
Всем спасибо. Статью я сохранил в свой локальный KnowledgeBase.
Тему закрываю.
Андрей Фисенко, Представитель Novell по Сибири и Дальнему Востоку
Изображение
Андрей Фисенко
 
Сообщения: 1308
Зарегистрирован: 05 июн 2002, 08:13
Откуда: Красноярск

Сообщение Иван Левшин aka Ivan L. » 21 янв 2006, 15:41

Каюсб, грешен. Но тебе-то я говорил, что проблема решена - мы даже обсуждали, каким именно образом :) Однако формально - неправ. Буду исправляться. Еще раз огромное спасибо всем откликнувшимся.
Иван Левшин aka Ivan L.
 
Сообщения: 2378
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.


Вернуться в *nix

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2