(gelöst) shorewall-Probleme

[guennid]

Also dieses Teil macht mich alle.

Ich versuche schon eine ganze Weile (Wochen/Monate) einen alten Schleppi mit squeeze+shorewall als router/firewall einzurichten. Ins I-Netz geht's per DSL-Modem. DHCP wird nicht benutzt, also statische IPs(?).
Die Verbindung zum Modem wird (wenn ich recht erinnere) beim Hochfahren des Routers automatisch hergetellt.

Die Situation ist:
Ich kann (eigentlich immer):
- Sowohl vom Router aus als auch von einem LAN-Rechner aus im I-Netz IP-Nummern anpingen (getestet mit 8.8.8.8 [google?] 176.9.147.233 [df.de]).

Ich kann vom LAN-Rechner aus (manchmal, z.B. jetzt):
- Mit Google suchen (midori, Suchbegriff oben rechts in einer der Leisten eingegeben), aber keine der nach der Suche angezeigten Seiten lässt sich öffnen ("Cannot resolve hostname"). Ich habe versucht, möglichst von mir noch nie benutzte Suchbegriffe zu verwenden.
- Die Hauptseite des Debian-Forums öffnen, sowohl per IP, als auch mit Namen
Im debianforum scheint alles zu gehen: Suche, Beiträge verfassen, Wiki).

Im Router ist in resolv.conf eingetragen: 85.214.73.63 auf dem LAN-Rechner in Wicd habe ich zwei DNS-Server eingetragen. Nr. 1 wie Resolv.conf-Router, Nr. 2 LAN-IP des Routers

Welche weiteren Infos werden noch benötigt. Ich blick in dem Dschungel nicht mehr durch?

Grüße, Günther

[Cae]

"Cannot resolve hostname"

DNS will/darf nicht? Wäre Port 53/UDP und evtl. noch 53/TCP, von den Clients in Richtung "heißes" Interface. Geht das mit einem anderen Browser (Proxy vermurkst, etc.)? Ich kenne shorewall nicht, aber man kann das Teil bestimmt zum Loggen bringen. Plain iptables ist zwar noch kryptischer, aber ich blicke da wenigstens noch durch.

Gruß Cae

[Saxman]

Poste doch mal deine shorewall configs (rules/zones/interfaces/policy) nach nopaste dann lässt sich der Fehler sicher aufspüren. Außerdem wäre noch wichtig zu wissen wie viele Netzwerk interfaces du an deinem "Laptop-Router" benutzt.

[guennid]

Ich hab's mal des besseren handlings wegen hierher gepostet, soviel ist es ja gar nicht, obwohl es vier configs sind.
Es gibt zwei NICs: eth0 fürs LAN, eth1 zum Modem (I-Net)

interfaces:

Code: Alles auswählen

net     ppp0            detect          tcpflags,nosmurfs,routefilter,logmartians
loc     eth0            detect          routeback,tcpflags,nosmurfs,routefilter,logmartians

zones:

Code: Alles auswählen

#ZONE   TYPE    OPTIONS                 IN                      OUT
#                                       OPTIONS                 OPTIONS
fw      firewall
net     ipv4
loc     ipv4

policy:

Code: Alles auswählen

#SOURCE         DEST            POLICY          LOG LEVEL       LIMIT:BURST

loc             net             ACCEPT
net             all             DROP            info
# THE FOLLOWING POLICY MUST BE LAST
all             all             REJECT          info

rules:

Code: Alles auswählen

#ACTION         SOURCE          DEST            PROTO   DEST    SOURCE          ORIGINAL        RATE            USER/   MARK
#                                                       PORT    PORT(S)         DEST            LIMIT           GROUP
#
#       Accept DNS connections from the firewall to the network
DNS(ACCEPT)     $FW             net
#
#       Accept SSH connections from the local network for administration
SSH(ACCEPT)     loc             $FW
#
#       Allow Ping from the local network
Ping(ACCEPT)    loc             $FW
#
# Drop Ping from the "bad" net zone.. and prevent your log from being flooded..
Ping(DROP)      net             $FW

ACCEPT          $FW             loc             icmp
ACCEPT          $FW             net             icmp
ACCEPT          $FW             loc             tcp
#ACCEPT         $FW             net             tcp     21,80,443
ACCEPT          $FW             net             tcp     www -

Es gibt z.Z. keinen Proxy. squid hatte ich auch mal drauf, aber wieder runtergeworfen, um erstmal überhaupt Land zu sehen.

Mit Opera geht gar nichts.
Ich versteh nicht viel, von dem, was in den configs steht, insbesondere nicht, wofür www und das Minuszeichen in der letzten Zeile der rules steht. Deutsche Referenzen gibt's, soweit ich sehe, nicht. Anleitungen sind sehr unterschiedlich und meist auch für komplexere LANs. Auch mit der englischen Doku von shorewall bin ich nicht wirklich zurechtgekommen.

[Saxman]

Im Router ist in resolv.conf eingetragen: 85.214.73.63 auf dem LAN-Rechner in Wicd habe ich zwei DNS-Server eingetragen. Nr. 1 wie Resolv.conf-Router, Nr. 2 LAN-IP des Routers

Ich hoffe doch in der Form?

Code: Alles auswählen

nameserver 85.214.73.63

Die restliche Config schaut auf den ersten Blick in Ordnung aus. Evtl noch einen Blick auf die /etc/shorewall/masq werfen.

[guennid]

Ich hoffe doch in der Form?

Code: Alles auswählen

nameserver 85.214.73.63

Ich hoffe doch, du meinst die /etc/resolv.conf des Routers? In diesem Falle: Ja.

masq:

Code: Alles auswählen

#INTERFACE              SOURCE          ADDRESS         PROTO   PORT(S) IPSEC   MARK
ppp0                    192.168.100.0/16

Was bedeutet die 16 am Ende?

Grüße, Günther

[Saxman]

Ich hoffe doch in der Form?

Code: Alles auswählen

nameserver 85.214.73.63

Ich hoffe doch, du meinst die /etc/resolv.conf des Routers? In diesem Falle: Ja.

Grüße, Günther

Genau die.

[Saxman]

masq:

Code: Alles auswählen

#INTERFACE              SOURCE          ADDRESS         PROTO   PORT(S) IPSEC   MARK
ppp0                    192.168.100.0/16

Nur so eine Idee, aber versuch hier mal noch eine Zeile hinzuzufügen, bzw. die vorhandene zu ersetzen.

Code: Alles auswählen

ppp0         eth0

Verstehe ich dich richtig, dass auch auf dem router keine Namensauflösung erfolgt?

[Cae]

Code: Alles auswählen

#INTERFACE              SOURCE          ADDRESS         PROTO   PORT(S) IPSEC   MARK
ppp0                    192.168.100.0/16

Was bedeutet die 16 am Ende?

Das ist eine verkürzte Schreibweise für 192.168.100.0, Subnetzmaske 255.255.0.0, was nichts anderes bedeutet, als dass alle Hosts mit 192.168.x.y im selben Netz sind. Wobei sich fragt, ob das so sinnvoll ist, schließlich hast du die 100 im dritten Oktett ja schon vorgegeben. Wenn ich den Sinn der masq-Konfiguration richtig verstanden habe, macht das allerdings nichts aus, weil "das große Netz" maskiert wird und das kleine automatisch darin liegt. Wobei man sich wohl entweder für 192.168.100.0/24 *oder* 192.168.0.0/16 entscheiden sollte. Wenn alle Hosts im 100-er Netz liegen, nimm' die erste Variante.
Alle Klarheiten beseitigt?

Gruß Cae

[Saxman]

In der shorewall Doku wird noch vorgeschlagen bei ppp0 Verbindungen CLAMPMSS=yes in der /etc/shorewall/shorewall.conf zu setzen.

[guennid]

Au Mann!

Also: shorewall.conf geändert und System neugestartet.
Die manpage sagt:

Code: Alles auswählen

This option requires CONFIG_IP_NF_TARGET_TCPMSS in your kernel

Das Modul habe ich in der config des Kerns gefunden, ist als Modul vorhanden und heißt dort auch so, wie in der manpage bezeichnet. lsmod liefert aber nur

Code: Alles auswählen

xt_TCPMSS               2307  1
xt_tcpmss               1013  0

Ist das das Modul, dass für CLAMPMSS benötigt wird?

Namensauflösung? Tja, wie soll man das interpretieren? Inwieweit das auf dem Router funktioniert, vermag ich aufgrund folgender Phänomene nicht zu sagen: ping debianforum.de funktioniert. Die dabei gezeigte IP-Nummer in midori auf dem client eingegeben bringt auch das Forum auf den Schirm.

ping otr.datenkeller.at funktioniert. Die dabei gezeigte IP-Nummer 91.121.1.117 in midori auf dem client eingegeben, bringt aber wieder nur:

Code: Alles auswählen

Die Seite »http://otr.datenkeller.at/« konnte nicht geladen werden.

Cannot resolve hostname

ping ebay.de funktioniert nicht, es wird aber eine Nummer genannt (66.135.215.61) gebe ich die auf dem client im browser ein, kommt:

Code: Alles auswählen

The page you are looking for has been moved. If this page does not redirect you in 10 Secs, please click here.

Klicke ich, kommt:

Code: Alles auswählen

Die Seite »http://www.ebay.com/« konnte nicht geladen werden.

Cannot resolve hostname

[Saxman]

Ich habe mal den von dir verwendeten DNS Server ausprobiert mit dem selben Effekt wie bei dir. Es wird nichts aufgelöst. Du solltest den Namesever z.B auf Opendns ändern:

Code: Alles auswählen

nameserver  208.67.222.222

[guennid]

Da hatten wir wohl beide die gleiche Idee.

Ich habe mittlerweile mal einen ausprobiert, den mir wvdial genannt hat, wenn ich mich per UMTS mit dem I-Netz verbunden habe. Gleiches Ergebnis wie bei dir: Die Namensauflösung funktioniert.

Scheinbar ist der Chaos-Computer-Club auch nicht mehr das, was er mal war. Daher hatte ich nämlich den DNS-Server.

Na, da wäre ich ja endlich mal einen Schritt weiter. Danke für deine Mühen!

Nächste Frage: Ich kann doch wohl zwei Nameservers in der resolv.conf des Routers eintragen? Gehen auch noch mehr? wicd gestattet mir drei im Profil, wenn ich recht sehe.

Nochmal zurück zur rules-Datei von shorewall:

Code: Alles auswählen

#ACCEPT         $FW             net             tcp     21,80,443

Gehe ich recht in der Annahme, dass, wenn ich diese Zeile aktivierte, ich Pakete nur auf den Ports 21,80,443 empfangen könnte? (Wofür die gut sind, brauchst du mir nicht zu sagen, das googele ich mir.) Ein Internet-Rechner, der mir was nach, sagen wir, Port 23 schicken wollte, käme nicht durch?

Aber wie verstehe ich diese Zeile:

Code: Alles auswählen

ACCEPT          $FW             net             tcp     www -

?

Grüße, Günther

[Saxman]

Sicher kannst du auch 2 oder mehr Nameserver angeben.

Nochmal zurück zur rules-Datei von shorewall:

Code: Alles auswählen

#ACCEPT         $FW             net             tcp     21,80,443

Gehe ich recht in der Annahme, dass, wenn ich diese Zeile aktivierte, ich Pakete nur auf den Ports 21,80,443 empfangen könnte? (Wofür die gut sind, brauchst du mir nicht zu sagen, das googele ich mir.) Ein Internet-Rechner, der mir was nach, sagen wir, Port 23 schicken wollte, käme nicht durch?

Diese Zeile besagt, dass shorewall TCP Verbindungen von der firewall ins Internet zu den Ports 21,80,443 akzeptiert.

Aber wie verstehe ich diese Zeile:

Code: Alles auswählen

ACCEPT          $FW             net             tcp     www -

?

Zu dieser Frage, siehe Manpage:

SOURCE PORT(S) (Optional) -
{-|port-name-number-or-range[,port-name-number-or-range]...}
Port(s) used by the client. If omitted, any source port is
acceptable. Specified as a comma- separated list of port names,
port numbers or port ranges.

Warning
Unless you really understand IP, you should leave this column
empty or place a dash (-) in the column. Most people who try to
use this column get it wrong.
If you don't want to restrict client ports but need to specify an
ORIGINAL DEST in the next column, then place "-" in this column.

[guennid]

Also, für besonders verständlich halte ich das nicht, was da steht. - Aber ich bin auch kein Spezialist.

Nun gut, ich geb' mir Mühe.
Sehe ich recht, dass in dieser rules-Datei in maximal maximal 10 Spalten etwas eingetragen werden kann, aber nicht muss. Bei 'ner dBase-Tabelle hätte ich die Spalten als Felder bezeichnet, aber sei's drum.

Die fünfte Spalte "heißt" Dest.Port. Das übersetze ich mal mit "Bestimmungshafen", akzeptabel?
Die sechste Spalte heißt "SourcePort" und das übersetze ich mir mit "Absendehafen" auch akzeptabel?

"www "steht in Spalte 5, richtig?
Aber was bedeutet jetzt: "www" im Bestimmungshafen? Alles mit www in der Adresse? Wohl kaum, denn dann dürfte das debianforum den Bestimmungshafen (auf meinem Rechner) ja nicht erreichen, weil das kein www in der Adresse hat.

"-" steht in Spalte 6, richtig?

Was wäre, wenn ich sowohl "www" als auch "-" wegließe? Die manpage sagt ja offenbar, dass wohl eigentlich nur Ihr Verfasser hier mit Einträgen klar kommt.

Grüße, Günther

[Saxman]

www ist gleichbedeutend mit Destination Port 80 und ja, das - kannst du auch weglassen. Und wenn du in der rules Datei nichts einträgst, dann hast du eine Firewall ohne Regeln.

[guennid]

Ok, danke für deine Geduld! Tut mir leid,ich bin ein Erbsenzähler, was ich nicht verstehe, lässt mir keine Ruhe.

Was ist mit "-"? Steht's in Spalte 6? ist es ebenfalls weglassbar?

Grüße, Günther

[Saxman]

Das "-" in Spalte 6, steht für den Source Port und kann weggelassen werden. Darauf bezog ich mich im mittleren Teil meiner letzten Antwort. Ich hätte vielleicht Anführungszeichen um das "-" setzten sollen.

[guennid]

wenn du in der rules Datei nichts einträgst, dann hast du eine Firewall ohne Regeln.

Schon klar, aber eine rules mit Regeln, die ich nicht kapiere, dürfte doch tendenziell genauso schlimm sein.

Grüße, Günther

[Saxman]

Eine schlecht konfigurierte Firewall ist tendenziell sogar schlimmer als "keine Firewall."

[guennid]

So sehe ich das auch, und wenn du jetzt immer noch Lust hast, beurteile das Ding mal. Ich will keine webserver betreiben und keine sonstigen Dienste im web anbieten, ich will hier nur mit den vier bis fünf Rechnern im LAN vernünftig abgesichert surfen, mailen, downloaden. Ist das dafür soweit ok. ("www" und "-" habe ich jetzt rausgenommen)?

[Saxman]

Naja, deine Config entspricht weitestgehend der shorewall Vorgabe für 2 Interfaces. Insofern ist das schon ok. Wenn du auf der Firewall nichts machst kannst du evtl. noch jeglichen Verkehr von der Firewall nach außen verbieten. Wenn du ganz paranoid sein willst, dann kannst du auch per default alle ausgehenden Verbindungen verbieten und nur manuell bestimmte Ports aus dem lokalen Netz nach außen lassen. Das wird dann allerdings deutlich komplexer und mach die Fehlersuche schwieriger wenn Programme zicken. Ansonsten wie gesagt, default Einstellungen und insoweit ok.

[guennid]

Na, dann will ich das mal als gelöst markieren.

Und abschließend nochmals ein großes Dankeschön!