Страница 1 из 1

Не могу настроить SuSEfirewall2...

СообщениеДобавлено: 28 окт 2005, 16:59
Иван Левшин aka Ivan L.
Сразу прошу прощения у всех, кто сочтет тему ламерской - возможно, она такова на самом деле. Линух я взялся ковырять только что, потому многого не понимаю.

Итак, к существу вопроса. Имею OES, на котором хочу настроить упомянутую службу. Насколько я понял, SuSEfirewall2 есть скриптовая настройка над iptables, которая содержит правила доступа. С помощью яста попытался настроить файрволл - результат оказался совсем не таким, какого я ожидал.

1. Ни фига не понимаю, как открыть файрволл для конкретного адреса. В FW_MASQ_NETS прописал айпишники, которые хотелось бы иметь открытыми. Например, "192.168.0.1 192.168.0.2". При запуске файрволла появляется ругань на то, что integer value excepted, но, тем не менее, 192.168.0.1 наружу открывается. Второй адрес - нет! Эта переменная должна содержать адреса только сетей или можно все же прописывать и хосты тоже?

2. Несмотря на то, что FW_SERVICES_EXT_UDP="53", FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS" и FW_SERVICE_DNS="yes", 53 порт закрыт и обновить вторичный сервер ДНС я, соответственно, не могу. Может виновато FW_SERVICE_AUTODETECT="yes" или FW_AUTOPROTECT_SERVICES="yes"?

3. Как вообще настраивать ентот файрволл? Можно, конечно, поковыряться в /sbin/SuSEfirewall2, но имеются сомнения - насколько я понял, это как раз правила для iptables, генерируемые автоматом и, соответственно, нет гарантии, что мои настройки не убьются при перенастройке файрволла из яста. Во-вторых - я в принципе не уверен, что можно править этот файл вручную :)

sles_admin.pdf у меня есть, в силу возможностей изучен :)

Re: Не могу настроить SuSEfirewall2...

СообщениеДобавлено: 28 окт 2005, 17:34
Константин Ошмян
Иван Левшин aka Ivan L. писал(а):2. Несмотря на то, что FW_SERVICES_EXT_UDP="53", FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS" и FW_SERVICE_DNS="yes", 53 порт закрыт и обновить вторичный сервер ДНС я, соответственно, не могу. Может виновато FW_SERVICE_AUTODETECT="yes" или FW_AUTOPROTECT_SERVICES="yes"?
Насколько я помню, серверы DNS синхронизируются между собой (по крайней мере, транфер зоны происходит) не по UDP, а по TCP. А ещё можно посмотреть в логе - что этот firewall режет, может на какие мысли наведёт.

СообщениеДобавлено: 28 окт 2005, 17:47
Иван Левшин aka Ivan L.
Насколько я понял из описания, при установке автодетекта запущенных сервисов (например, ДНС), файрволл должен самостоятельно им открывать порты. Насчет синхронизации по ТСР - меня тоже эта мысль мучила, но я поставил UDP :) Попробую ТСР (по логике синхронизация действительно должна проходить по ТСР - UDP не гарантирует доставку, а это для синхронизации, ИМХО, не есть гуд).
Логи... Еще бы знать, куда он их пишет :) В /var/log пока ничего найти не удалось. FW_LOG - в ясте написано, что изменять параметр стоит только тогда, когда "вы действительно понимает, что и зачем делаете". Т.к. подобная уверенность у меня (или во мне?) отсутствует, менять не стал.

мнение

СообщениеДобавлено: 29 окт 2005, 10:58
skoltogyan
1. если руками писать команды для iptables, то на порядок меньше будет головняка.

На русском языке про немного более старый iptables можно почитать тут:
http://www.opennet.ru/docs/RUS/iptables/
http://www.opennet.ru/base/net/iptables_howto.txt.html

2. WS обращается к DNS по udp 53 порт

3. посмотреть на Линукс по какому порту к нему обращается станция можно так:
Например:
eth0 на линукс имеет IP: 192.168.11.8
станция имеет IP: 192.168.11.10

На линукс подать:
tcpdump -nl -i eth0 src or dst 192.168.11.10
и Вы увидите по какому порту к Линукс обращается станция и что отвечает (или не отвечает) Линукс.

СообщениеДобавлено: 29 окт 2005, 13:13
Иван Левшин aka Ivan L.
1. Насчет настройки руками - абсолютно, целиком и полностью согласен. Не люблю, когда за меня машина думает. Не уверен, что данная настройка не отразится на состоянии здоровья сервера :)

2. Имеется в виду синхронизация первичного и вторичного серверов зон через Инет. Она, по идее, должна проводиться по TCP - в отличие от запроса от хоста на разрешение имени здесь важно, чтобы каждая датаграмма была доставлена. Хотя - не уверен полностью :)

3. За tcpdump - спасибо :) Ибо начал я читать man и крышу подсорвало :oops:

СообщениеДобавлено: 20 янв 2006, 10:41
relax

СообщениеДобавлено: 20 янв 2006, 18:53
Иван Левшин aka Ivan L.
За ссылку спасибо, проблема давно решена

СообщениеДобавлено: 21 янв 2006, 09:18
Андрей Фисенко
Иван, тебе-ли не знать, что желательно писать, как решена проблема и закрывать тему. Может, люди специально искали что-то, чтобы тебе помочь.
Всем спасибо. Статью я сохранил в свой локальный KnowledgeBase.
Тему закрываю.

СообщениеДобавлено: 21 янв 2006, 15:41
Иван Левшин aka Ivan L.
Каюсб, грешен. Но тебе-то я говорил, что проблема решена - мы даже обсуждали, каким именно образом :) Однако формально - неправ. Буду исправляться. Еще раз огромное спасибо всем откликнувшимся.