shorewall - firewall problem.. bitte dringendst um hilfe!!

[MisterChoc]

Hallo alle zusammen,
ich versuche gerade einen squid proxy u. die shorewall firewall zu konfigurieren.
ich geht nach dem howto von :http://www.slixs.at/web/dokus/sarge/shorewall.htm vor.
Hat bis jetzt auch alles super geklappt, nur startet die Firewall nicht... wenn ich unter Webmin den Firewall check mache kommt folgende fehlermeldung:

Code: Alles auswählen

Checking configuration ..

Loading /usr/share/shorewall/functions...
Processing /etc/shorewall/shorewall.conf...
Loading Modules...
Shorewall has detected the following iptables/netfilter capabilities:
   NAT: Available
   Packet Mangling: Available
   Multi-port Match: Available
   Extended Multi-port Match: Not available
   Connection Tracking Match: Available
   Packet Type Match: Available
   Policy Match: Not available
   Physdev Match: Available
   IP range Match: Available
   Recent Match: Available
Verifying Configuration...
Determining Zones...
   Zones: net loc
Validating interfaces file...
Validating hosts file...
Determining Hosts in Zones...
   net Zone: eth1:0.0.0.0/0
   Warning: Zone loc is empty
Validating policy file...
   Policy for loc to net is ACCEPT using chain loc2all
   Policy for loc to fw is ACCEPT using chain loc2all
   Policy for net to loc is DROP using chain net2all
   Policy for net to fw is DROP using chain net2all
Pre-validating Actions...
   Pre-processing /usr/share/shorewall/action.DropSMB...
   Pre-processing /usr/share/shorewall/action.RejectSMB...
   Pre-processing /usr/share/shorewall/action.DropUPnP...
   Pre-processing /usr/share/shorewall/action.RejectAuth...
   Pre-processing /usr/share/shorewall/action.DropPing...
   Pre-processing /usr/share/shorewall/action.DropDNSrep...
   Pre-processing /usr/share/shorewall/action.AllowPing...
   Pre-processing /usr/share/shorewall/action.AllowFTP...
   Pre-processing /usr/share/shorewall/action.AllowDNS...
   Pre-processing /usr/share/shorewall/action.AllowSSH...
   Pre-processing /usr/share/shorewall/action.AllowWeb...
   Pre-processing /usr/share/shorewall/action.AllowSMB...
   Pre-processing /usr/share/shorewall/action.AllowAuth...
   Pre-processing /usr/share/shorewall/action.AllowSMTP...
   Pre-processing /usr/share/shorewall/action.AllowPOP3...
   Pre-processing /usr/share/shorewall/action.AllowICMPs...
   Pre-processing /usr/share/shorewall/action.AllowIMAP...
   Pre-processing /usr/share/shorewall/action.AllowTelnet...
   Pre-processing /usr/share/shorewall/action.AllowVNC...
   Pre-processing /usr/share/shorewall/action.AllowVNCL...
   Pre-processing /usr/share/shorewall/action.AllowNTP...
   Pre-processing /usr/share/shorewall/action.AllowRdate...
   Pre-processing /usr/share/shorewall/action.AllowNNTP...
   Pre-processing /usr/share/shorewall/action.AllowTrcrt...
   Pre-processing /usr/share/shorewall/action.AllowSNMP...
   Pre-processing /usr/share/shorewall/action.AllowPCA...
   Pre-processing /usr/share/shorewall/action.AllowSPAMD...
   Pre-processing /usr/share/shorewall/action.AllowSyslog...
   Pre-processing /usr/share/shorewall/action.AllowAmanda...
   Pre-processing /usr/share/shorewall/action.AllowLDAP...
   Pre-processing /usr/share/shorewall/action.AllowICQ...
   Pre-processing /usr/share/shorewall/action.AllowBitTorrent...
   Pre-processing /usr/share/shorewall/action.AllowSMBswat...
   Pre-processing /usr/share/shorewall/action.DropSMTP...
   Pre-processing /usr/share/shorewall/action.AllowCVS...
   Pre-processing /usr/share/shorewall/action.AllowSVN...
   Pre-processing /usr/share/shorewall/action.AllowMySQL...
   Pre-processing /usr/share/shorewall/action.AllowPostgreSQL...
   Pre-processing /usr/share/shorewall/action.AllowRsync...
   Pre-processing /usr/share/shorewall/action.AllowDistcc...
   Pre-processing /usr/share/shorewall/action.Drop...
   Pre-processing /usr/share/shorewall/action.Reject...
Validating rules file...
   Rule "ACCEPT loc fw tcp ssh" checked.
   Rule "ACCEPT net fw tcp ssh" checked.
   Error: No policy defined from zone fw to zone net

.. an error was found in your firewall configuration!

wäre echt super wenn ihr mir weiterhelfen könntet..

mfg. misterchoc

[gms]

hm, wir sollen dir bei der Firewall einrichten helfen, wissen aber so gut wie gar nichts über dein System.
poste einmal die Ausgabe von:

Code: Alles auswählen

root@gms1:/usr/src# cat /proc/net/dev | grep : | cut -d ':' -f1

und die Dateien "/etc/shorewall/interfaces" und "/etc/shorewall/rules"

Gruß
gms

[MisterChoc]

ausgabe von "cat /proc/net/dev | grep : | cut -d ':' -f1"

Code: Alles auswählen

  lo
  eth0
  eth1
  sit0

interfaces (/etc/shorewall/interfaces):

Code: Alles auswählen

net eth1
loc eth0

/etc/shorewall/rules:

Code: Alles auswählen

ACCEPT loc $FW tcp ssh # ssh vom lan erlauben
ACCEPT net $FW tcp ssh # ssh vom wan erlauben
ACCEPT $FW net tcp # tcp ins internet erlauben
ACCEPT $FW net udp domain # Namensaufloesung  dns caching erlauben
ACCEPT all all icmp #ping erlauben

mein system ist ein debian sarge 3.1

ps: wenn ich die firewall neustarten will, kommt immer dieser fehler:

Code: Alles auswählen

Restarting "Shorewall firewall": /etc/init.d/shorewall: line 121:  6649 Beendet                 $SRWL restart >>$INITLOG 2>&1
not done (check /var/log/shorewall-init.log).

in der logdatei steht das gleiche wie ganz oben schon gepostet!

danke

[gms]

Auf die Datei /etc/shorewall/policy habe ich jetzt vergessen, dort solltest du am Ende einen Eintrag "all all REJECT info" haben.

Gruß
gms

[MisterChoc]

ja, in /etc/shorewall/policy steht folgendes:

Code: Alles auswählen

loc all ACCEPT
net all DROP info
all all REJECT info

[gms]

aus irgendeinem Grund scheint er die letzte policy nicht zu nehmen, ist am Ende dieser Policy noch eine "newline" ? Dieses sollte vorhanden sein

Ansonsten versuche es einmal mit dieser /etc/shorewall/policy

Code: Alles auswählen

loc all ACCEPT 
$FW all ACCEPT
net all DROP info 
all all REJECT info

[MisterChoc]

wenn ich das dazu eintrage u. danach /etc/init.d/shorewall restart mache.. kommt folgender fehler:

Code: Alles auswählen

/etc/init.d/shorewall: line 121:  2459 Beendet                 $SRWL restart >>$INITLOG 2>&1
not done (check /var/log/shorewall-init.log)

und dort steht folgendes:

Code: Alles auswählen

Loading /usr/share/shorewall/functions...
Processing /etc/shorewall/shorewall.conf...
Loading Modules...
Shorewall Not Currently Running
Starting Shorewall...
Initializing...
Shorewall has detected the following iptables/netfilter capabilities:
   NAT: Available
   Packet Mangling: Available
   Multi-port Match: Available
   Extended Multi-port Match: Not available
   Connection Tracking Match: Available
   Packet Type Match: Available
   Policy Match: Not available
   Physdev Match: Available
   IP range Match: Available
   Recent Match: Available
Determining Zones...
   Zones: net
Validating interfaces file...
   Error: Invalid zone (loc) in record "loc eth0  "
Loading /usr/share/shorewall/functions...
Processing /etc/shorewall/shorewall.conf...
Loading Modules...
Stopping Shorewall...done.
Loading /usr/share/shorewall/functions...
Processing /etc/shorewall/shorewall.conf...
Loading Modules...
Starting Shorewall...
Initializing...
Shorewall has detected the following iptables/netfilter capabilities:
   NAT: Available
   Packet Mangling: Available
   Multi-port Match: Available
   Extended Multi-port Match: Not available
   Connection Tracking Match: Available
   Packet Type Match: Available
   Policy Match: Not available
   Physdev Match: Available
   IP range Match: Available
   Recent Match: Available
Determining Zones...
   Zones: net
Validating interfaces file...
   Error: Invalid zone (loc) in record "loc eth0  "
Loading /usr/share/shorewall/functions...
Processing /etc/shorewall/shorewall.conf...
Loading Modules...
Shorewall Not Currently Running
Starting Shorewall...
Initializing...
Shorewall has detected the following iptables/netfilter capabilities:
   NAT: Available
   Packet Mangling: Available
   Multi-port Match: Available
   Extended Multi-port Match: Not available
   Connection Tracking Match: Available
   Packet Type Match: Available
   Policy Match: Not available
   Physdev Match: Available
   IP range Match: Available
   Recent Match: Available
Determining Zones...
   Zones: net
Validating interfaces file...
   Error: Invalid zone (loc) in record "loc eth0  "

od. weiß von euch jemand ein HOWTO für Squid?? will mir einen proxy auf meinem server installieren.. eth1 geht zum router u. eth0 zum lan.. will danach auch regeln erstellen, was die benutzer dürfen u. was nicht..

[meandtheshell]

@MisterChoc

Dein Problem:
- nimmst dir nicht die Zeit dich ordentlich mit den Dingen zu beschäftigen
- darum stellst du Fragen die in jedem Howto zur Software gesagt werden (shorewall)

od. weiß von euch jemand ein HOWTO für Squid??

Google kennst du?

Das darft du nicht persönlich nehmen. Du wirst nur nichts lernen wenn du so an die Sachen herangehst - um lesen, lesen, lesen kommst du sicher nicht herum!

Gut - nun den
http://www.sdconsult.no/linux/Squid/FAQ/FAQ.html#toc4
glaub mir der Tip mit Google ist nicht sooooo blöde

markus

edit:
weil ich es gerade gesehen habe
http://www.catb.org/~esr/faqs/smart-que ... tml#urgent

[MisterChoc]

Ich würde mir die Zeit nehmen.. nur habe ich diese nicht!
Also komme ich an einem HOWTO nicht vorbei, noch dazu will ich einen Fehler beheben u. nicht diskutieren, welcher weg jetzt der Bessere für mich wäre .. also bitte nur produktive Aussagen, danke!

[herrchen]

Ich würde mir die Zeit nehmen.. nur habe ich diese nicht!

dann beauftrage doch einen supporter deines vertrauens.

herrchen

[rolo]

hi,

ich weiß ja nicht was du da einrichten willst, aber:
soweit ich informiert bin, wird shorewall (wobei die site nicht mehr danach aussieht) nicht mehr weiter entwickelt (schade) - vielleicht solltest du lieber direkt auf iptables setzen.
einen einstieg findest du hier
http://www.linux-user.de/ausgabe/2002/0 ... all-4.html
alles hier
http://www.netfilter.org/documentation/ ... tion-howto
und dann gibts noch dieses buch was du im wiki findest
Linux-Firewalls - Ein praktischer Einstieg (latex erforderlich)
http://www.oreilly.de/german/freebooks/ ... index.html
(schon x mal gepostet)
wie schon gesagt du schreibt ja nicht wofür du das genau benötigst,
und dann:
> noch dazu will ich einen Fehler beheben u. nicht diskutieren
solltest du das eventuell beruflich machen - das also super-wichtig ist - dann solltest du sowas drauf haben, und nicht anfangen rumzunörgeln.
> also bitte nur produktive Aussagen, danke!
ansonsten leistet hier niemand bezahlten support, und was produktiv ist oder nicht, ist schwer einzuschätzen bei deiner fragestellung. deine ausdrucksweise dagegen ist jedenfalls kontraproduktiv.

zu deiner frage bezüglich squid:
http://www.squid-handbuch.de/hb/index.html

wenn du zu wenig zeit hast, nimm dir herrchens vorschlag zu herzen.

bis denn und viel erfolg!
atropin

edit
link (firewall-buch) ausgebessert und ein paar weitere kleinigkeiten zugefügt.

[MisterChoc]

genau soetwas bringt mich weiter.. dankeschön!

ps: wer sich diesesn thread etwas genauer betrachtet, kann erkennen was ich beabsichtige u. welche gegebenheiten bestehen..

[Kelpin]

Moin,

ich finde in dem post Deine zones Konfiguration nicht. Brauch' ich 'ne Brille?
Die zone loc gefällt ihm jedenfalls nicht.

Code: Alles auswählen

invalid zone loc

Zeig mal die

Code: Alles auswählen

/etc/shorewall/zones

Gruß

[MisterChoc]

Hi Kelpin, meine zones datei sieht wie folgt aus:

Code: Alles auswählen

net Net Internet
loc Local Local networks

[Kelpin]

Hm, sieht so aus als müßtest Du langsam, systematisch und schrittweise vorgehen. D.h. sichere alle shorewall-Konfigurationsdateien und fang' mit mit einer einzelnen zone und einem interface (am besten "loc") nochmal an.

Die Zeile

Code: Alles auswählen

invalid zone loc in record 'loc eth0'

deutet auf ein Problem mit loc hin. Da hilft nix, der Fehler muß gefunden werden. In solchen Fällen gehe ich wie oben beschrieben vor.
Gruß

[MrC00l]

in /etc/shorewall/interfaces muss eine Zone (z.b. loc eth0) ans Interface gebunden sein die du auch in /etc/shorewall/zones definiert hast.

Grüße
MrC00l

Nachtrag:
Habe gerade meine Theorie bestätigt:

Code: Alles auswählen

Determining Zones... 
   Zones: net 

Du hast nur die Zone net eingerichtet.

[Kelpin]

Der Inhalt der zones Datei wurde weiter oben schonmal gepostet. Enthält net und loc, letztere ist aber woh faul.
Gruß

[Simmel]

Ich würde mir die Zeit nehmen.. nur habe ich diese nicht!
Also komme ich an einem HOWTO nicht vorbei, noch dazu will ich einen Fehler beheben u. nicht diskutieren, welcher weg jetzt der Bessere für mich wäre .. also bitte nur produktive Aussagen, danke!

Nimm einfach IPcop, dann haben sich deine Probleme schneller gelöst als du denkst....



P.S.: Nur mit SNORT vorsichtig sein... immer schön updaten...- hat's mich letztens fast erwischt

[Simmel]

hi,

ich weiß ja nicht was du da einrichten willst, aber:
soweit ich informiert bin, wird shorewall (wobei die site nicht mehr danach aussieht) nicht mehr weiter entwickelt (schade) - vielleicht solltest du lieber direkt auf iptables setzen.

Jein, das ist so ganz nicht richtig. Shorewall ist jetzt kommerziell geworden und die andere Häflte der Shorewall Leute haben dann die Sourcen genommen und damit IPCOP gebastelt, was ich immer nur wärmstens empfehlen kann.

Sehr komfortabel, mit Windows-Clients, https:// Seite, etc. Ausserdem ist die Community schwer in Ordnung und hat mir bei Ungereimtheiten schnell eine passende Lösung/Antwort gegeben.

http://www.ipcop.org

(Squid, etc alles onBAORD!)