[gelöst] Dienste auf Debian Sid über LAN nicht erreichbar

[kreuzschnabel]

Nabend, merkwürdige Sache hier: Ich habe heute erstmalig Sid direkt über den Installer mini.iso installiert (also nicht erst stable und dann die Quellen auf Sid umgebogen). Der läuft auch einwandfrei mit folgender Ausnahme, die mir jetzt erst auffällt:

Kein auf dem Rechner laufender Dienst ist übers WLAN erreichbar. Das betrifft

• KDEconnect
• Samba
• NoMachine

KDEconnect findet meine Mobilgeräte nicht. NoMachine (Client) findet die anderen Rechner nicht, auf denen der Server läuft. Eine von einem anderen Rechner oder einem Mobilgerät (TotalCommander mit Plugin) aufgebaute smb-Verbindung endet mit „Host nicht erreichbar“ bzw mit (TotalCommander):

Code: Alles auswählen

SMB2 CONNECT:failed to connect to /192.168.0.10 (port 445) from /192.168.0.110 (port 45458) after 5000ms: isConnected

Der Rechner hat eine statische IP-Adresse, die ist korrekt und ist vom fremden Rechner auch pingbar. Nur Verbindungen werden nicht aufgebaut.

Mit Stable funktioniert das alles wunderbar, an den anderen Geräten wurde nichts geändert.

Internet läuft einwandfrei.

Wo könnte ich da mal schrauben?

Infos auf Verdacht:

Code: Alles auswählen

root@marvin:/home/volker# ifconfig
enp0s31f6: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.0.10  netmask 255.255.255.0  broadcast 192.168.0.255
        inet6 [snip]
        ether 8c:16:45:55:5f:92  txqueuelen 1000  (Ethernet)
        RX packets 8233  bytes 7542485 (7.1 MiB)
        RX errors 0  dropped 1135  overruns 0  frame 0
        TX packets 3523  bytes 526555 (514.2 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device interrupt 16  memory 0xf2300000-f2320000
        […]

Code: Alles auswählen

root@marvin:/home/volker# route
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
default         fritz.box       0.0.0.0         UG    100    0        0 enp0s31f6
192.168.0.0     0.0.0.0         255.255.255.0   U     100    0        0 enp0s31f6
root@marvin:/home/volker#

Code: Alles auswählen

root@marvin:/home/volker# iptables --list-rules
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
root@marvin:/home/volker# 

--ks

[kreuzschnabel]

Update: NoMachine geht nach erneutem Neustart. Die anderen Dienste unverändert.

--ks

[kreuzschnabel]

Test am anderen Notebook:

Code: Alles auswählen

volker@eddie:~$ telnet 192.168.0.10 445
Trying 192.168.0.10...
telnet: Unable to connect to remote host: Keine Route zum Zielrechner

aber:

Code: Alles auswählen

volker@eddie:~$ ping 192.168.0.10
PING 192.168.0.10 (192.168.0.10) 56(84) bytes of data.
64 bytes from 192.168.0.10: icmp_seq=1 ttl=64 time=1.90 ms
64 bytes from 192.168.0.10: icmp_seq=2 ttl=64 time=0.519 ms
[…]

Da muss doch irnkwas die Ports blocken …

--ks

[cosinus]

Dass in einer default Konfig Ports geblockt hab ich so noch nie erlebt. Ist der Port denn wirklich offen also ist der Dienst überhaupt getstartet? Was ergibt denn

Code: Alles auswählen

netstat -tulpen

für eine Ausgabe?

[kreuzschnabel]

Ich steh hier auch einigermaßen ratlos … aber wenn zwei Dienste gleichzeitig betroffen sind, kanns doch nur an der Netzwerk-Konfig liegen.

Code: Alles auswählen

volker@marvin:~$ sudo netstat -tulpen
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       Benutzer   Inode      PID/Program name    
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      0          6731       1324/cupsd          
tcp        0      0 0.0.0.0:8200            0.0.0.0:*               LISTEN      114        5115       872/minidlnad       
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN      0          7021       1484/smbd           
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      0          7022       1484/smbd           
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      0          10346      1338/sshd: /usr/sbi 
tcp6       0      0 :::1716                 :::*                    LISTEN      1000       52414      2363/kdeconnectd    
tcp6       0      0 :::445                  :::*                    LISTEN      0          7019       1484/smbd           
tcp6       0      0 :::139                  :::*                    LISTEN      0          7020       1484/smbd           
tcp6       0      0 :::22                   :::*                    LISTEN      0          10348      1338/sshd: /usr/sbi 
tcp6       0      0 ::1:631                 :::*                    LISTEN      0          6730       1324/cupsd          
tcp6       0      0 :::5201                 :::*                    LISTEN      116        6711       1325/iperf3         
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           104        5981       865/avahi-daemon: r 
udp        0      0 192.168.0.10:39033      0.0.0.0:*                           114        48065      872/minidlnad       
udp        0      0 192.168.0.255:137       0.0.0.0:*                           0          6988       1474/nmbd           
udp        0      0 192.168.0.10:137        0.0.0.0:*                           0          6987       1474/nmbd           
udp        0      0 0.0.0.0:137             0.0.0.0:*                           0          6975       1474/nmbd           
udp        0      0 192.168.0.255:138       0.0.0.0:*                           0          6990       1474/nmbd           
udp        0      0 192.168.0.10:138        0.0.0.0:*                           0          6989       1474/nmbd           
udp        0      0 0.0.0.0:138             0.0.0.0:*                           0          6976       1474/nmbd           
udp        0      0 0.0.0.0:631             0.0.0.0:*                           0          13417      1466/cups-browsed   
udp        0      0 0.0.0.0:50629           0.0.0.0:*                           104        5983       865/avahi-daemon: r 
udp        0      0 239.255.255.250:1900    0.0.0.0:*                           114        5114       872/minidlnad       
udp6       0      0 :::5353                 :::*                                104        5982       865/avahi-daemon: r 
udp6       0      0 :::57542                :::*                                1000       95403      9803/firefox        
udp6       0      0 fe80::7117:f4f4:a5e:546 :::*                                0          52544      1017/NetworkManager 
udp6       0      0 :::1716                 :::*                                1000       52413      2363/kdeconnectd    
udp6       0      0 :::36830                :::*                                1000       91960      9803/firefox        
udp6       0      0 :::37033                :::*                                104        5984       865/avahi-daemon: r 

[mat6937]

Code: Alles auswählen

volker@marvin:~$ sudo netstat -tulpen 
tcp6       0      0 :::445                  :::*                    LISTEN      0          7019       1484/smbd           

Starte auf "volker@marvin":

Code: Alles auswählen

tcpdump -c 100 -vvveni enp0s31f6 port 445

und führe danach auf "volker@eddie":

Code: Alles auswählen

nc -zv 192.168.0.10 445
# oder
nping -c 3 --tcp --flags syn --delay 500ms -g 12345 -p 445 192.168.0.10

aus. Zeigt danach tcpdump was an?

EDIT:

BTW: Wenn der Dienst mit Hilfe einer service-unit gestartet wird, ist es in der service-unit möglich den Zugang zu blocken oder zu erlauben. Z. B. bei meinem cupsd:

Code: Alles auswählen

:~# systemctl cat cups | grep -i ipaddress
IPAddressDeny=any
IPAddressAllow=192.168.178.53

[kreuzschnabel]

Code: Alles auswählen

tcpdump: listening on enp0s31f6, link-type EN10MB (Ethernet), snapshot length 262144 bytes
22:29:22.762729 a4:34:d9:fe:1a:37 > 8c:16:45:55:5f:92, ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 64, id 28425, offset 0, flags [DF], proto TCP (6), length 60)
    192.168.0.108.37302 > 192.168.0.10.445: Flags [S], cksum 0x01dd (correct), seq 2538401088, win 32120, options [mss 1460,sackOK,TS val 2226629163 ecr 0,nop,wscale 7], length 0

bzw.

Code: Alles auswählen

22:31:19.660464 a4:34:d9:fe:1a:37 > 8c:16:45:55:5f:92, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 64, id 53327, offset 0, flags [none], proto TCP (6), length 40)
    192.168.0.108.12345 > 192.168.0.10.445: Flags [S], cksum 0x2f99 (correct), seq 1026066844, win 1480, length 0
22:31:20.160572 a4:34:d9:fe:1a:37 > 8c:16:45:55:5f:92, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 64, id 53327, offset 0, flags [none], proto TCP (6), length 40)
    192.168.0.108.12345 > 192.168.0.10.445: Flags [S], cksum 0x2f99 (correct), seq 1026066844, win 1480, length 0
22:31:20.661839 a4:34:d9:fe:1a:37 > 8c:16:45:55:5f:92, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 64, id 53327, offset 0, flags [none], proto TCP (6), length 40)
    192.168.0.108.12345 > 192.168.0.10.445: Flags [S], cksum 0x2f99 (correct), seq 1026066844, win 1480, length 0

Und deine nachgeschobene Idee gibt nur eine leere Ausgabe:

Code: Alles auswählen

volker@marvin:~$ systemctl cat smb | grep -i ipaddress
volker@marvin:~$ 

--ks

[mat6937]

Code: Alles auswählen

tcpdump: listening on enp0s31f6, link-type EN10MB (Ethernet), snapshot length 262144 bytes
22:29:22.762729 a4:34:d9:fe:1a:37 > 8c:16:45:55:5f:92, ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 64, id 28425, offset 0, flags [DF], proto TCP (6), length 60)
    192.168.0.108.37302 > 192.168.0.10.445: Flags [S], cksum 0x01dd (correct), seq 2538401088, win 32120, options [mss 1460,sackOK,TS val 2226629163 ecr 0,nop,wscale 7], length 0

D. h. der Port 445 wird erreicht bzw. mit dem syn-Flag angefragt, aber der lauschende Dienst ignoriert die Anfrage bzw. er antwortet (warum auch immer) nicht mit syn+ack.

EDIT:

Es wird ja nichts blockiert. Debian Sid ist über LAN erreichbar.

EDIT 2:

BTW: Du kannst auch mit nmap scannen und schauen ob der Port closed oder filtered ist:

Code: Alles auswählen

nmap -sS 192.168.0.10 -p445

[kreuzschnabel]

Aber was stimmt dann mit meinen Diensten nicht? Und gleich zwei auf einmal?

EDIT: Topic angepasst

--ks

[kreuzschnabel]

BTW: Du kannst auch mit nmap scannen und schauen ob der Port closed oder filtered ist:

Code: Alles auswählen

nmap -sS 192.168.0.10 -p445

Läuft:

Code: Alles auswählen

volker@marvin:~$ sudo nmap -sS 192.168.0.10 -p445
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-05-30 22:46 CEST
Nmap scan report for marvin.fritz.box (192.168.0.10)
Host is up (0.00013s latency).

PORT    STATE SERVICE
445/tcp open  microsoft-ds

Nmap done: 1 IP address (1 host up) scanned in 0.12 seconds
volker@marvin:~$ 

Der andere Rechner meldet:

Code: Alles auswählen

volker@eddie:~$ sudo nmap -sS 192.168.0.10 -p445
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-05-30 22:47 CEST
Nmap scan report for marvin.fritz.box (192.168.0.10)
Host is up (0.0048s latency).

PORT    STATE    SERVICE
445/tcp filtered microsoft-ds
MAC Address: [snip]

Nmap done: 1 IP address (1 host up) scanned in 0.14 seconds
volker@eddie:~$ 

--ks

[mat6937]

Aber was stimmt dann mit meinen Diensten nicht? Und gleich zwei auf einmal?

Lass mal nc auf Sid (marvin) lauschen:

Code: Alles auswählen

nc -4nv -l 192.168.0.10 3333

und schau von eddie aus, ob der antwortet:

Code: Alles auswählen

nc -zv 192.168.0.10 3333

EDIT:

Ja filtered passt zum nicht antworten auf syn.

[kreuzschnabel]

Aber was stimmt dann mit meinen Diensten nicht? Und gleich zwei auf einmal?

Lass mal nc auf Sid l(marvin) auschen:

Code: Alles auswählen

nc -4nv -l 192.168.0.10 3333

Die 4 frisst er nicht, Tippfehler?

Code: Alles auswählen

volker@marvin:~$ sudo nc -nv -l 192.168.0.10 3333
listening on [any] 38837 ...

und schau von eddie aus, ob der antwortet:

Code: Alles auswählen

nc -zv 192.168.0.10 3333

Keine Reaktion auf marvin. eddie meldet „connect […] failed: No route to host“.

--ks

[mat6937]

Die 4 frisst er nicht, Tippfehler?

Nein, kein Tippfehler, die -4 steht für IPv4, so wie -6 für IPv6 steht. Aber seit bookworm gibt es Probleme mit der Koexistenz von IPv4 + IPv6.

Keine Reaktion auf marvin. eddie meldet „connect […] failed: No route to host“.

Das wird evtl. ein "Sicherheitsfeature" sein in Sid. Etwas muss noch konfiguriert werden, damit die Dienste antworten.

EDIT:

Z. B. was auf bullseye mit deaktiviertem IPv6 funktioniert, geht mit bookworm und deaktiviertem IPv6, nicht mehr:

Code: Alles auswählen

:~# scanssh -n 22 -s ssh debianforum.de
scanssh: intf_open: Address family not supported by protocol

[kreuzschnabel]

Etwas muss noch konfiguriert werden, damit die Dienste antworten.

Damit wär meine Vermutung von Anfang an festgeklopft. Nur was? Vermutlich ist eine libnetserviceportsopen oder so was noch nicht installiert, die ansonsten mit im Grundsystem ist

Ansonsten läufts perfekt, soweit ich sehe. Ich warte noch etwas auf Ideen, und wenn keiner eine hat und kein Update die Sache richtet, kommt halt wieder stable drauf :/

--ks

[MSfree]

Ansonsten läufts perfekt, soweit ich sehe. Ich warte noch etwas auf Ideen, und wenn keiner eine hat und kein Update die Sache richtet, kommt halt wieder stable drauf :/

Oben wird ja geraten, zu prüfen, ob iptables etwas blockiert. Allerdings gilt iptables als veraltet und ist schon länger durch nftables ersetzt worden, iptables exisitiert noch zur Kompatibilität mit alten Filterregeln. Das Äquivalent zum iptables-Befehl wäre:

Code: Alles auswählen

nft list ruleset

Ansonsten spricht eine Fehlermeldung wie no route to host eher dafür, daß im Netzwerk etwas falsch konfiguriert ist. Das ist typischerweise dann der Fall, wenn man sein Netzwerk teilweise oder vollständig mit statischen IP-Adressen konfiguriert statt DHCP zu nutzen. Mit DHCP entstehen solche Fehler nicht, bei menschlicher Manuellkonfiguration schon.

[kreuzschnabel]

Ansonsten läufts perfekt, soweit ich sehe. Ich warte noch etwas auf Ideen, und wenn keiner eine hat und kein Update die Sache richtet, kommt halt wieder stable drauf :/

Oben wird ja geraten, zu prüfen, ob iptables etwas blockiert.

Wo wird das empfohlen? Ich habe nur im ersten Posting die Ausgabe von iptables angegeben.

Allerdings gilt iptables als veraltet und ist schon länger durch nftables ersetzt worden, iptables exisitiert noch zur Kompatibilität mit alten Filterregeln. Das Äquivalent zum iptables-Befehl wäre:

Code: Alles auswählen

nft list ruleset

Damit hab ich mich noch nie befasst (und selbst garantiert nichts dran geschraubt), hier bitte:

Code: Alles auswählen

root@marvin:/home/volker# nft list ruleset
table inet firewalld {
        chain mangle_PREROUTING {
                type filter hook prerouting priority mangle + 10; policy accept;
                jump mangle_PREROUTING_POLICIES
        }

        chain mangle_PREROUTING_POLICIES {
                iifname "enp0s31f6" jump mangle_PRE_policy_allow-host-ipv6
                iifname "enp0s31f6" jump mangle_PRE_public
                iifname "enp0s31f6" return
                jump mangle_PRE_policy_allow-host-ipv6
                jump mangle_PRE_public
                return
        }

        chain nat_PREROUTING {
                type nat hook prerouting priority dstnat + 10; policy accept;
                jump nat_PREROUTING_POLICIES
        }

        chain nat_PREROUTING_POLICIES {
                iifname "enp0s31f6" jump nat_PRE_policy_allow-host-ipv6
                iifname "enp0s31f6" jump nat_PRE_public
                iifname "enp0s31f6" return
                jump nat_PRE_policy_allow-host-ipv6
                jump nat_PRE_public
                return
        }

        chain nat_POSTROUTING {
                type nat hook postrouting priority srcnat + 10; policy accept;
                jump nat_POSTROUTING_POLICIES
        }

        chain nat_POSTROUTING_POLICIES {
                iifname "enp0s31f6" oifname "enp0s31f6" jump nat_POST_public
                iifname "enp0s31f6" oifname "enp0s31f6" return
                oifname "enp0s31f6" jump nat_POST_public
                oifname "enp0s31f6" return
                iifname "enp0s31f6" jump nat_POST_public
                iifname "enp0s31f6" return
                jump nat_POST_public
                return
        }

        chain nat_OUTPUT {
                type nat hook output priority dstnat + 10; policy accept;
                jump nat_OUTPUT_POLICIES
        }

        chain nat_OUTPUT_POLICIES {
                oifname "enp0s31f6" jump nat_OUT_public
                oifname "enp0s31f6" return
                jump nat_OUT_public
                return
        }

        chain filter_PREROUTING {
                type filter hook prerouting priority filter + 10; policy accept;
                icmpv6 type { nd-router-advert, nd-neighbor-solicit } accept
                meta nfproto ipv6 fib saddr . mark . iif oif missing drop
        }

        chain filter_INPUT {
                type filter hook input priority filter + 10; policy accept;
                ct state { established, related } accept
                ct status dnat accept
                iifname "lo" accept
                ct state invalid drop
                jump filter_INPUT_POLICIES
                reject with icmpx admin-prohibited
        }

        chain filter_FORWARD {
                type filter hook forward priority filter + 10; policy accept;
                ct state { established, related } accept
                ct status dnat accept
                iifname "lo" accept
                ct state invalid drop
                ip6 daddr { ::/96, ::ffff:0.0.0.0/96, 2002::/24, 2002:a00::/24, 2002:7f00::/24, 2002:a9fe::/32, 2002:ac10::/28, 2002:c0a8::/32, 2002:e000::/19 } reject with icmpv6 addr-unreachable
                jump filter_FORWARD_POLICIES
                reject with icmpx admin-prohibited
        }

        chain filter_OUTPUT {
                type filter hook output priority filter + 10; policy accept;
                ct state { established, related } accept
                oifname "lo" accept
                ip6 daddr { ::/96, ::ffff:0.0.0.0/96, 2002::/24, 2002:a00::/24, 2002:7f00::/24, 2002:a9fe::/32, 2002:ac10::/28, 2002:c0a8::/32, 2002:e000::/19 } reject with icmpv6 addr-unreachable
                jump filter_OUTPUT_POLICIES
        }

        chain filter_INPUT_POLICIES {
                iifname "enp0s31f6" jump filter_IN_policy_allow-host-ipv6
                iifname "enp0s31f6" jump filter_IN_public
                iifname "enp0s31f6" reject with icmpx admin-prohibited
                jump filter_IN_policy_allow-host-ipv6
                jump filter_IN_public
                reject with icmpx admin-prohibited
        }

        chain filter_FORWARD_POLICIES {
                iifname "enp0s31f6" oifname "enp0s31f6" jump filter_FWD_public
                iifname "enp0s31f6" oifname "enp0s31f6" reject with icmpx admin-prohibited
                iifname "enp0s31f6" jump filter_FWD_public
                iifname "enp0s31f6" reject with icmpx admin-prohibited
                oifname "enp0s31f6" jump filter_FWD_public
                oifname "enp0s31f6" reject with icmpx admin-prohibited
                jump filter_FWD_public
                reject with icmpx admin-prohibited
        }

        chain filter_OUTPUT_POLICIES {
                oifname "enp0s31f6" jump filter_OUT_public
                oifname "enp0s31f6" return
                jump filter_OUT_public
                return
        }

        chain filter_IN_public {
                jump filter_IN_public_pre
                jump filter_IN_public_log
                jump filter_IN_public_deny
                jump filter_IN_public_allow
                jump filter_IN_public_post
                meta l4proto { icmp, ipv6-icmp } accept
        }

        chain filter_IN_public_pre {
        }

        chain filter_IN_public_log {
        }

        chain filter_IN_public_deny {
        }

        chain filter_IN_public_allow {
                tcp dport 22 accept
                ip6 daddr fe80::/64 udp dport 546 accept
        }

        chain filter_IN_public_post {
        }

        chain filter_OUT_public {
                jump filter_OUT_public_pre
                jump filter_OUT_public_log
                jump filter_OUT_public_deny
                jump filter_OUT_public_allow
                jump filter_OUT_public_post
        }

        chain filter_OUT_public_pre {
        }

        chain filter_OUT_public_log {
        }

        chain filter_OUT_public_deny {
        }

        chain filter_OUT_public_allow {
        }

        chain filter_OUT_public_post {
        }

        chain nat_OUT_public {
                jump nat_OUT_public_pre
                jump nat_OUT_public_log
                jump nat_OUT_public_deny
                jump nat_OUT_public_allow
                jump nat_OUT_public_post
        }

        chain nat_OUT_public_pre {
        }

        chain nat_OUT_public_log {
        }

        chain nat_OUT_public_deny {
        }

        chain nat_OUT_public_allow {
        }

        chain nat_OUT_public_post {
        }

        chain nat_POST_public {
                jump nat_POST_public_pre
                jump nat_POST_public_log
                jump nat_POST_public_deny
                jump nat_POST_public_allow
                jump nat_POST_public_post
        }

        chain nat_POST_public_pre {
        }

        chain nat_POST_public_log {
        }

        chain nat_POST_public_deny {
        }

        chain nat_POST_public_allow {
        }

        chain nat_POST_public_post {
        }

        chain filter_FWD_public {
                jump filter_FWD_public_pre
                jump filter_FWD_public_log
                jump filter_FWD_public_deny
                jump filter_FWD_public_allow
                jump filter_FWD_public_post
        }

        chain filter_FWD_public_pre {
        }

        chain filter_FWD_public_log {
        }

        chain filter_FWD_public_deny {
        }

        chain filter_FWD_public_allow {
                oifname "enp0s31f6" accept
        }

        chain filter_FWD_public_post {
        }

        chain nat_PRE_public {
                jump nat_PRE_public_pre
                jump nat_PRE_public_log
                jump nat_PRE_public_deny
                jump nat_PRE_public_allow
                jump nat_PRE_public_post
        }

        chain nat_PRE_public_pre {
        }

        chain nat_PRE_public_log {
        }

        chain nat_PRE_public_deny {
        }

        chain nat_PRE_public_allow {
        }

        chain nat_PRE_public_post {
        }

        chain mangle_PRE_public {
                jump mangle_PRE_public_pre
                jump mangle_PRE_public_log
                jump mangle_PRE_public_deny
                jump mangle_PRE_public_allow
                jump mangle_PRE_public_post
        }

        chain mangle_PRE_public_pre {
        }

        chain mangle_PRE_public_log {
        }

        chain mangle_PRE_public_deny {
        }

        chain mangle_PRE_public_allow {
        }

        chain mangle_PRE_public_post {
        }

        chain filter_IN_policy_allow-host-ipv6 {
                jump filter_IN_policy_allow-host-ipv6_pre
                jump filter_IN_policy_allow-host-ipv6_log
                jump filter_IN_policy_allow-host-ipv6_deny
                jump filter_IN_policy_allow-host-ipv6_allow
                jump filter_IN_policy_allow-host-ipv6_post
        }

        chain filter_IN_policy_allow-host-ipv6_pre {
        }

        chain filter_IN_policy_allow-host-ipv6_log {
        }

        chain filter_IN_policy_allow-host-ipv6_deny {
        }

        chain filter_IN_policy_allow-host-ipv6_allow {
                icmpv6 type nd-neighbor-advert accept
                icmpv6 type nd-neighbor-solicit accept
                icmpv6 type nd-router-advert accept
                icmpv6 type nd-redirect accept
        }

        chain filter_IN_policy_allow-host-ipv6_post {
        }

        chain nat_PRE_policy_allow-host-ipv6 {
                jump nat_PRE_policy_allow-host-ipv6_pre
                jump nat_PRE_policy_allow-host-ipv6_log
                jump nat_PRE_policy_allow-host-ipv6_deny
                jump nat_PRE_policy_allow-host-ipv6_allow
                jump nat_PRE_policy_allow-host-ipv6_post
        }

        chain nat_PRE_policy_allow-host-ipv6_pre {
        }

        chain nat_PRE_policy_allow-host-ipv6_log {
        }

        chain nat_PRE_policy_allow-host-ipv6_deny {
        }

        chain nat_PRE_policy_allow-host-ipv6_allow {
        }

        chain nat_PRE_policy_allow-host-ipv6_post {
        }

        chain mangle_PRE_policy_allow-host-ipv6 {
                jump mangle_PRE_policy_allow-host-ipv6_pre
                jump mangle_PRE_policy_allow-host-ipv6_log
                jump mangle_PRE_policy_allow-host-ipv6_deny
                jump mangle_PRE_policy_allow-host-ipv6_allow
                jump mangle_PRE_policy_allow-host-ipv6_post
        }

        chain mangle_PRE_policy_allow-host-ipv6_pre {
        }

        chain mangle_PRE_policy_allow-host-ipv6_log {
        }

        chain mangle_PRE_policy_allow-host-ipv6_deny {
        }

        chain mangle_PRE_policy_allow-host-ipv6_allow {
        }

        chain mangle_PRE_policy_allow-host-ipv6_post {
        }
}
root@marvin:/home/volker# 

Ansonsten spricht eine Fehlermeldung wie no route to host eher dafür, daß im Netzwerk etwas falsch konfiguriert ist.

In der Netzwerkumgebung hat sich – außer dem Rechner „marvin“ selbst – nichts geändert.

Das ist typischerweise dann der Fall, wenn man sein Netzwerk teilweise oder vollständig mit statischen IP-Adressen konfiguriert statt DHCP zu nutzen. Mit DHCP entstehen solche Fehler nicht, bei menschlicher Manuellkonfiguration schon.

Ist mir klar, dass sich da Zahlendreher einschleichen können. Aber das ist hier nicht der Fall, die statische IP von marvin ist ja problemlos von eddie aus pingbar. Deshalb ist mir das „no route to host“ auch ein Rätsel. Da ich marvin von mehreren Stellen aus als Server beanspruche, ist mir die statische IP lieber, um nicht auch noch Auflösungsproblemen von Hostnamen begegnen zu müssen

Der Host ist jedenfalls da, einen simplen IP-Konflikt schließe ich aus:

Code: Alles auswählen

root@marvin:/home/volker# nmap -sP 192.168.0/24
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-05-31 08:44 CEST
Nmap scan report for fritz.box (192.168.0.1)
Host is up (0.0016s latency).
[…]
Nmap scan report for marvin.fritz.box (192.168.0.10)
Host is up.
Nmap done: 256 IP addresses (5 hosts up) scanned in 6.22 seconds
root@marvin:/home/volker# 

--ks

[kreuzschnabel]

Info: Ein Power-Reset der Fritzbox (in dem Verdacht, dass sich da im Routing was verhakt hat) hat auch nichts geändert. Ich bin mit meinem Latein einigermaßen am Ende.

--ks

[MSfree]

Damit hab ich mich noch nie befasst (und selbst garantiert nichts dran geschraubt), hier bitte:

Code: Alles auswählen

root@marvin:/home/volker# nft list ruleset
table inet firewalld {...

Das ist ja ein ziemlich umfangreiches Regelwerk. Da ich dort firewalld lese, würde ich zumindest für Debugzwecke vorschlagen, den mal zu stoppen.

Da ich marvin von mehreren Stellen aus als Server beanspruche, ist mir die statische IP lieber, um nicht auch noch Auflösungsproblemen von Hostnamen begegnen zu müssen

Nunja, die Fritzbox löst auch mit DHCP vergebene IP-Adresssen zuverlässig auf. Ausserdem kann man in der Fritzbox gewissen Hosts eine IP zuweisen, die dann per DHCP ausgeliefert wird. Ich habe in meinem Netz jedenfalls überhaupt keine Probleme dank DHCP auch für Server. Man braucht sich nicht um Netmask, Braodcastadresse, DNS-Adresse und eigene IP-Adresse kümmern.

[kreuzschnabel]

Das ist ja ein ziemlich umfangreiches Regelwerk. Da ich dort firewalld lese, würde ich zumindest für Debugzwecke vorschlagen, den mal zu stoppen.

Bingo! Nach einem

Code: Alles auswählen

sudo service firewalld stop

sind die Dienste erreichbar. SMB läuft, KDEconnect läuft.

Also eine Sid-interne überdefensive Firewall. Aber wie kommt das rein? Das ist 100% Werkskonfiguration ab Installation.

Und wie sähe eine Dauerlösung aus? firewalld ganz runterwerfen oder sinnvoll umkonfigurieren?

--ks

[mat6937]

Also eine Sid-interne überdefensive Firewall. Aber wie kommt das rein?

Hast Du etwas installiert bzw. konfiguriert, das von firewalld abhängig ist? Oder wird das in Zukunft (bei debian) so sein, dass firewalld per default installiert und aktiviert ist (... mit default policy auf DROP).

[MSfree]

Also eine Sid-interne überdefensive Firewall. Aber wie kommt das rein?

Die Firewall und/oder deren Konfiguration ist wahrscheinlich durch irgendeine Abhängigkeit oder Suggests bzw. Recommends reingekommen.

Das ist 100% Werkskonfiguration ab Installation.

Wurde da schonmal ein full-upgrade/dist-upgrade gemacht? In SID und Testing ändert sich täglich so viel, daß man nach einem upgrade das nicht mehr als "100% Werkskonfiguration" bezeichnen kann.

Es ist halt empfehlendswert, vor einem dist-upgrade dieses erstmal zu simulieren und zu schauen, was das alles einspülen würde, vor allem bei SID aber auch in Testing.

Und wie sähe eine Dauerlösung aus? firewalld ganz runterwerfen oder sinnvoll umkonfigurieren?

Bei einem Heimserver, der nur im LAN errreichbar sein soll, würde ich die Firewall deinstallieren. Sollte die Kiste von außen erreichbar sein, müßtest du einzelne Ports durch die Fritzbox forwarden und dann auch in den Firewallregeln öffnen. Da die Ports dann ohnehin offen sein müßten, bringt die Firewall hinter der Fritzbox keinen zusätzlichen Schutz. Mit anderen Wortten, das Ding ist dann überflüssig.

Ansonsten könntest du das Regelwerk natürlich auch anpassen, damit SMB und andere Dienste erreichbar sind. Ich bin allerdings mit nftabels auch nicht so vertraut, daß ich dir spontan sagen könnte, welche Regel wie anzupassen ist.

[kreuzschnabel]

Also eine Sid-interne überdefensive Firewall. Aber wie kommt das rein?

Hast Du etwas installiert bzw. konfiguriert, das von firewalld abhängig ist? Oder wird das in Zukunft (bei debian) so sein, dass firewalld per default installiert und aktiviert ist (... mit default policy auf DROP).

Hier:

Code: Alles auswählen

volker@marvin:~$ apt-cache rdepends firewalld
firewalld
Reverse Depends:
  firewall-applet
 |plasma-firewall
  nftables
  libvirt-daemon-system
  iptables
  freedombox
  firewalld-tests
  firewall-config
  cloud-init
  fbx-all
volker@marvin:~$ 

Nichts davon habe ich manuell installiert.

--ks

[kreuzschnabel]

Ich hab jetzt mal das Paket firewall-applet installiert, mit dem sich firewalld per GUI administrieren lässt.

Sowohl die LAN-Verbindung als auch das loopback sind per Default in der Zone „public“, was mir unsinnig erscheint. In „public“ ist alles geblockt außer dhcpv6-client und ssh. Ich hab die Verbindungen jetzt mal in die Zone „home“ gesetzt und dort die benötigten Dienste geöffnet.

Ist nach Dutzenden Debian-Installationen die erste, in der ich bewusst in eine Firewall eingreifen muss. Verzeiht meine übermäßige Verblüffung

--ks

[mat6937]

Nichts davon habe ich manuell installiert.

OK. Wie sind z. Zt. die Ausgaben von:

Code: Alles auswählen

cat /var/log/apt/history.log | grep -i firewall
cat /var/log/apt/term.log | grep -i firewall
ls -tl /var/lib/dpkg/info/ | grep -i firewall

?

EDIT:
... und die Ausgabe von:

Code: Alles auswählen

apt-mark showmanual | grep -i firewalld

?

[kreuzschnabel]

Hier die vier gefragten Ausgaben:

[1. mehrbändige Zeile, darin:]

Code: Alles auswählen

firewalld:amd64 (2.1.2-1, automatic)

[2. firewall-applet am Ende weggekürzt]

Code: Alles auswählen

volker@marvin:~$ sudo cat /var/log/apt/term.log | grep -i firewall
Vormals nicht ausgewähltes Paket python3-firewall wird gewählt.
Vorbereitung zum Entpacken von .../0462-python3-firewall_2.1.2-1_all.deb ...
Entpacken von python3-firewall (2.1.2-1) ...
Vormals nicht ausgewähltes Paket firewalld wird gewählt.
Vorbereitung zum Entpacken von .../0463-firewalld_2.1.2-1_all.deb ...
Entpacken von firewalld (2.1.2-1) ...
Vormals nicht ausgewähltes Paket plasma-firewall wird gewählt.
Vorbereitung zum Entpacken von .../1231-plasma-firewall_5.27.11-1_amd64.deb ...
Entpacken von plasma-firewall (5.27.11-1) ...
python3-firewall (2.1.2-1) wird eingerichtet ...
plasma-firewall (5.27.11-1) wird eingerichtet ...
firewalld (2.1.2-1) wird eingerichtet ...
update-alternatives: /usr/share/polkit-1/actions/org.fedoraproject.FirewallD1.server.policy.choice wird verwendet, um /usr/share/polkit-1/actions/org.fedoraproject.FirewallD1.policy (org.fedoraproject.FirewallD1.policy) im automatischen Modus bereitzustellen
Created symlink '/etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service' → '/usr/lib/systemd/system/firewalld.service'.
Created symlink '/etc/systemd/system/multi-user.target.wants/firewalld.service' → '/usr/lib/systemd/system/firewalld.service'.
volker@marvin:~$

Code: Alles auswählen

volker@marvin:~$ ls -tl /var/lib/dpkg/info/ | grep -i firewall
-rw-r--r-- 1 root root    1922 31. Mai 09:50 firewall-applet.list
-rw-r--r-- 1 root root    1466 31. Mai 09:50 firewall-config.list
-rw-r--r-- 1 root root    6546 30. Mai 12:41 plasma-firewall.list
-rw-r--r-- 1 root root   21559 30. Mai 12:39 firewalld.list
-rw-r--r-- 1 root root    3900 30. Mai 12:39 python3-firewall.list
-rw-r--r-- 1 root root    5754 19. Mai 12:20 plasma-firewall.md5sums
-rwxr-xr-x 1 root root     309 19. Mai 12:20 plasma-firewall.postinst
-rwxr-xr-x 1 root root     390 19. Mai 12:20 plasma-firewall.prerm
-rw-r--r-- 1 root root      69 13. Apr 18:28 firewall-applet.conffiles
-rw-r--r-- 1 root root    1973 13. Apr 18:28 firewall-applet.md5sums
-rw-r--r-- 1 root root    1322 13. Apr 18:28 firewall-config.md5sums
-rw-r--r-- 1 root root      95 13. Apr 18:28 firewalld.conffiles
-rw-r--r-- 1 root root   31019 13. Apr 18:28 firewalld.md5sums
-rwxr-xr-x 1 root root    2478 13. Apr 18:28 firewalld.postinst
-rwxr-xr-x 1 root root     606 13. Apr 18:28 firewalld.postrm
-rwxr-xr-x 1 root root     174 13. Apr 18:28 firewalld.preinst
-rwxr-xr-x 1 root root    1020 13. Apr 18:28 firewalld.prerm
-rw-r--r-- 1 root root    5596 13. Apr 18:28 python3-firewall.md5sums
-rwxr-xr-x 1 root root     267 13. Apr 18:28 python3-firewall.postinst
-rwxr-xr-x 1 root root     380 13. Apr 18:28 python3-firewall.prerm
volker@marvin:~$ 

apt-mark showmanual ist leer.

--ks