Firewall unter opensuse 11.1 konfigurieren

[MJDarknet]

Hi,

also ich werd jetzt bald wahnsinnig.
Ich hab opensuse 11.1 am laufen, das Netzwerk ist eingerichtet und funktioniert. Zumindest kann ich den anderen Rechner anpingen.
Ich habe zwei Rechner, die beide über WLAN in das Netz eingebunden sind. Die Schnittstellen sind in der Firewall als externe Zone konfiguriert.

Sobald ich irgendeinen Dienst wie NFS einrichten will oder Frozen-Bubble über das LAN spielen möchte findet er die Rechner nicht.
Alles klappt wunderbar sobald die Firewall ausgeschaltet ist.
Selbstverständlich habe ich als ich den NFS Server/Client konfiguriert habe jeweils die Haken "Firewall Port öffnen" angeklickt. Die Dienste stehen auch in der Rubrik "erlaubte Dienste" aber es funktioniert einfach nicht sobald die Firewall läuft.

Bei Frozen-Bubble zeigt er in der Konsole, dass er das Port 1511 benutzt. Dieses habe ich in der Rubrik Erlaubte Dienste im Punkt erweitert als UDP und TCP freigegeben, aber auch das hilft nichts, er findet den Server nicht der vom Spiel erstellt wird. Auch hier, sobald die Firewall gestoppt ist, klappt es wunderbar.

Was mache ich falsch? Reicht es nicht einfach nur die Ports anzugeben?

 

[@->-]

Also ich würde dir raten schalte das Teil ab. Wenn du einen anständigen Router verwendest ist die OpenSuse Firewall eh sinnlos. Zumal man sich über den Sinn einer Software Firewall eh streiten kann. Richte lieber dein System so ein das keine Dienste nach außen laufen dann braucht du diesen ganzen Käse nicht.

Ich nutze schon viele Jahre keine Firewall mehr, weder unter WIndows noch unter Linux. Bis jetzt hatte ich noch nie Probleme. Mit einer Software Firewall sicherst du deinen Rechner genau so gut wie einen Porsche im Wald mit offenen Kofferraum und Schlüssel im Zündschloss

In diesem Sinne

 

[MJDarknet]

Hi,

dann werde ich das mal tun müssen. So wie es aussieht kann ich mit dem Teil machen und einstellen was ich will, sie blockiert einfach alles .

Mein Netz won zwei Rechnern muss ich intern nicht schützen, mir ging es eher um Zugriffe von außen, würde dafür also die Firewall im Router reichen? Filterregeln sind in diesem konfigurierbar.

Dankeschön schonmal für die schnelle Antwort...

 

[@->-]

Mein Netz won zwei Rechnern muss ich intern nicht schützen, mir ging es eher um Zugriffe von außen, würde dafür also die Firewall im Router reichen? Filterregeln sind in diesem konfigurierbar.

Das reicht auf jeden Fall. Wie gesagt Software Firewalls sind stark umstritten. Es gab auch schon endlose Flames darüber ob z.B iptables gut oder schlecht ist

Es ist aber nun einmal so das sich eine Software die lokal auf einem Rechner läuft sehr viel einfacher aushebeln lässt, auf der anderen Seite kann man teilweise den ausgehenden Verkehr besser überwachen, sobald sich aber Schadsoftware eingeschlichen hat, spielt das auch keine Rolle mehr

In diesem Sinne

 

[MJDarknet]

Dann werd ich mich in Zukunft nicht mehr damit herumärgern auf zig Rechnern zig Firewalls zu konfigurieren sondern eine für alle
Hat ja auch was...

Perfekt, herzlichen Dank für diese Info...

 

[Jabo]

umstritten

@->- hat recht, das ist umstritten. Die Diskussion muß hier nicht komplett wiederholt werden, aber ne Kleinigkeit möchte ich doch noch nachwerfen, so wie ich das sehe...

Bei Linux ist das Kernelmodul "netfilter", daß über das Programm "iptables" Regeln gesagt bekommt, aus meiner Sicht noch etwas anders zu bewerten als irgendwelche Userland-Programme unter Windows, die nachtäglich allerhand virtuelles Zeug installieren, das der Netzwerk-Stack an sich dort nicht kann. Ich meine jetzt nicht reine Paketfilter, sondern diese Rundum-sorglos-vor-allem-schütz-Dinger, die allerhand virtual device driver installieren und Pakete teilweise relativ spät analysieren, wenn sie schon im System sind. Immer wieder hört man, wie sich irgend welches Zeug daran vorbei schleicht, ohne daß irgend was triggert.

Netfilter ist aber als Kernelmodul realisiert, weil der Kernel sowieso die Netzwerktreiber beinhaltet und dort auf einer recht frühen Ebene eingegriffen werden kann, wenn ein Paket bestimmte Kriterien in seinen Feldern erfüllt oder nicht. Das Konzept ist auch dafür da, als Firewall genutzt werden zu können, wenn man z.B. mehrstufige Firewalls mit "demilitarized zone" auf mehrere Rechner verteilt. Dabei wird Masquerading / NAT oder IP- und Port-Forwarding organisiert und ganze dahinter liegende Netze abgeschottet. Das heißt aber dann auch, daß die Userland-Anwendung, die eine Anforderung stellt, meist gar nicht auf dem Rechner läuft, der als Firewall arbeitet - er ist für diese Router und Standard-Gateway. "Desktop-Firewalls" kamen später erst auf und versuchten, sowas als Benutzerbrogramm beispielsweise unter Windows zu realisieren, das sowas nicht hatte (Windows 9.x) und über Modems, ISDN und später DSL-Modems (ohne Router!) direkt am Netz hingen.

In dem Sinne soll ein Linux-Rechner genau das mit netfilter / iptables können, was später in den dann modern gewordenen Wohnzimmer-Routern passiert. Öfters läuft auf solchen Schachteln sogar irgend ein embedded linux - und zwar mit Netfilter.

Die "SuSE-Firewall" ist im Prinzip ein in Scripten realisiertes Interface zu iptables, das seinerseits nichts anderes ist als ein Interface zu netfilter. Diese Scripte kannst du auch über YaST steuern - das ist aber kein außerhalb des Kernel-Space zusätzlich installiertes und "oben drauf" laufendes Programm im Sinne einer "Desktop-Firewall"! GUIs als Interface zu iptables gibt es haufenweise mit mehr oder weniger komfortablen Optionen, die entsprechende Chains für iptables generieren. Das Webinterface auf dem WLAN-Router tut nichts besonders anderes - nur daß da sogar noch ein (offener) Webserver drauf läuft, der intern über CGI oder so die Configs schreibt.

Völlig richtig ist, da stimme ich zu: Wo kein Dienst, da kein Port. Wo kein Port, da keine Firewall nötig, die ihn zu hält. Besser als ein Türsteher ist: Keine Tür!

Aber du willst ja Dienste laufen haben (Spiele als Server, Freigaben), die über WLAN kommunizieren. Da ist es sowieso wichtiger, das WLAN gut zu sichern (Verschlüsselung, Authentifizierung, Beschränkung auf MAC-Adressen...) als eine zusätzliche Firewall im internen Netz zu haben, in der genau die Ports dann sowieso auf sein müssen, damit es überhaupt geht.