Статья по базовой настройке SuSEfirewall2 (небольшой опус по теме фаервола в Suse Linux)

[Bluetooth]

По предыдущему посту - в первом ответе написана неправда

Нельзя несколько параметров подряд указывать.
Будет воспринят только последний.
Только что проверено тщательным тестированием.

А у меня это таки работало. в opensuse 10.3.
было указано две сети для маскарадинга, подряд.

[DSS]

А у меня это таки работало. в opensuse 10.3.
было указано две сети для маскарадинга, подряд.

FW_MASQ_NETS="$NETWORK1 $NETWORK2" будет работать

FW_MASQ_NETS="$NETWORK1"
FW_MASQ_NETS="$NETWORK2"
будет выпускать только $NETWORK2

[allez]

FW_MASQ_NETS="$NETWORK1 $NETWORK2" будет работать

FW_MASQ_NETS="$NETWORK1"
FW_MASQ_NETS="$NETWORK2"
будет выпускать только $NETWORK2

Ну так понятное дело: переменная FW_MASQ_NETS будет содержать то значение, которое ей присвоено последним.

Можно ли как-то упростить?
Например, указать несколько параметров FW_MASQ_NETS подряд?
Примерно так:
FW_MASQ_NETS="192.168.1.0/24,0/0,tcp,80"
FW_MASQ_NETS="192.168.1.0/24,0/0,tcp,443"
FW_MASQ_NETS="192.168.1.0/24,0/0,tcp,5190"

Да, можно. Только делать это следует, соблюдая правила работы с переменными в shell:

Код: Выделить всё

FW_MASQ_NETS="192.168.1.0/24,0/0,tcp,80"
FW_MASQ_NETS="${FW_MASQ_NETS} 192.168.1.0/24,0/0,tcp,443"
FW_MASQ_NETS="${FW_MASQ_NETS} 192.168.1.0/24,0/0,tcp,5190"

P. S. DSS, если бы Вы сразу уяснили, что SuSEfirewall2 - это всего лишь набор shell- и Perl-скриптов, то ни одного из заданных Вами вопросов просто не возникло бы. ;)

[DSS]

Да, можно. Только делать это следует, соблюдая правила работы с переменными в shell:

Код: Выделить всё

FW_MASQ_NETS="192.168.1.0/24,0/0,tcp,80"
FW_MASQ_NETS="${FW_MASQ_NETS},192.168.1.0/24,0/0,tcp,443"
FW_MASQ_NETS="${FW_MASQ_NETS},192.168.1.0/24,0/0,tcp,5190"

Работает!!!
Только писать сети надо через пробел.
Т.е. FW_MASQ_NETS="${FW_MASQ_NETS}<тут пробел, а не запятая>192.168.1.0/24,0/0,tcp,5190"

P. S. DSS, если бы Вы сразу уяснили, что SuSEfirewall2 - это всего лишь набор shell- и Perl-скриптов, то ни одного из заданных Вами вопросов просто не возникло бы.

Откуда же это можно было уяснить?!
В связи с этим вопрос - а что если какая-либо переменная (например та же FW_MASQ_NETS) превысит размер в 255 символов?

[allez]

Насчет запятой вместо пробела - каюсь, невнимателен был. :)

Откуда же это можно было уяснить?!

Уяснить можно отсюда:

Определение типов файлов, входящих в пакет SuSEfirewall2

$ rpm -ql SuSEfirewall2 | while read F; do file $F; done /etc/init.d/SuSEfirewall2_init: POSIX shell script text /etc/init.d/SuSEfirewall2_setup: POSIX shell script text /etc/sysconfig/SuSEfirewall2.d/services/TEMPLATE: ASCII C++ program text /etc/sysconfig/network/if-up.d/SuSEfirewall2: symbolic link to `../scripts/SuSEfirewall2' /etc/sysconfig/network/scripts/SuSEfirewall2: Bourne-Again shell script text /etc/sysconfig/scripts/SuSEfirewall2-batch: Bourne-Again shell script text /etc/sysconfig/scripts/SuSEfirewall2-custom: ASCII English text /etc/sysconfig/scripts/SuSEfirewall2-oldbroadcast: POSIX shell script text /etc/sysconfig/scripts/SuSEfirewall2-open: a /usr/bin/perl -w script text /etc/sysconfig/scripts/SuSEfirewall2-qdisc: Bourne-Again shell script text /etc/sysconfig/scripts/SuSEfirewall2-rpcinfo: a /usr/bin/perl -w script text /etc/sysconfig/scripts/SuSEfirewall2-showlog: a /usr/bin/perl script text /sbin/SuSEfirewall2: Bourne-Again shell script text /sbin/rcSuSEfirewall2: symbolic link to `/etc/init.d/SuSEfirewall2_setup' /usr/share/doc/packages/SuSEfirewall2: directory /usr/share/doc/packages/SuSEfirewall2/EXAMPLES: UTF-8 Unicode English text /usr/share/doc/packages/SuSEfirewall2/EXAMPLES.html: XML /usr/share/doc/packages/SuSEfirewall2/FAQ: UTF-8 Unicode English text /usr/share/doc/packages/SuSEfirewall2/FAQ.html: XML /usr/share/doc/packages/SuSEfirewall2/LICENCE: ASCII English text /usr/share/doc/packages/SuSEfirewall2/README: UTF-8 Unicode English text /usr/share/doc/packages/SuSEfirewall2/README.html: HTML document text /usr/share/doc/packages/SuSEfirewall2/SuSEfirewall2.sysconfig: ASCII English text /usr/share/doc/packages/SuSEfirewall2/susebooks.css: ASCII C program text /usr/share/susehelp: directory /usr/share/susehelp/meta: directory /usr/share/susehelp/meta/Manuals: directory /usr/share/susehelp/meta/Manuals/Productivity: directory /usr/share/susehelp/meta/Manuals/Productivity/SuSEfirewall2.desktop: ASCII text /var/adm/fillup-templates/sysconfig.SuSEfirewall2: ASCII English text

В связи с этим вопрос - а что если какая-либо переменная (например та же FW_MASQ_NETS) превысит размер в 255 символов?

А ничего. Длина значения переменной в shell ограничена лишь размером свободной памяти.

P. S. Попробовал вот такую конструкцию:

Код: Выделить всё

export LANG="en_US.iso8859-1"; a=""; i=0; while :; do a="${a}1"; ((i++)); echo $i; done

Длина значения переменной дошла до 117365 символов, а потом мне просто надоело ждать. :)

[DSS]

Насчет запятой вместо пробела - каюсь, невнимателен был.

Да это я так - чтобы последующие не напоролись.

Уяснить можно отсюда:
$ rpm -ql SuSEfirewall2 | while read F; do file $F; done

Кхм. Запишу лучше

А ничего. Длина значения переменной в shell ограничена лишь размером свободной памяти.
P. S. Попробовал вот такую конструкцию:

Код: Выделить всё

export LANG="en_US.iso8859-1"; a=""; i=0; while :; do a="${a}1"; ((i++)); echo $i; done

Длина значения переменной дошла до 117365 символов, а потом мне просто надоело ждать.

Спасибо за помощь.


А вот ещё такая проблема:
Основной офис + 3 филиала. В основном офисе стоит сервер с реальным IP, на нём поднят OpenVPN, филиалы соединяются с ним. Между подсетями настроена маршрутизация без каких-либо ограничений.
Протянули второй канал. Безлимитный, но с серым IP.
Задача - сделать так, чтобы пользователи ходили в интернет через безлимитный канал, но при этом оставалась связь с филиалами.
Поставил ещё одну машинку с openSuSE, поставил squid, прописал нужное в SuSEFirewall и т.д.
Всё ходит в интернет замечательно - и через прокси, и NAT'ом (то что нужно NAT'ить).
Изменил адресацию в сетях с целью агрегирования маршрутов в единый 10.0.0.0/22.
Указал маршрут в 10.0.0.0/22 через сервер с OpenVPN.
В SuSEFirewall делаю настройку:
FW_FORWARD="10.0.0.0/22,10.0.0.0/22"
С самого сервера всё отлично бегает. Пингуется, трассируется, соединяется по разным сервисам в любой сети.
После этого проверяю на машине из сети основного филиала. Пинги идут, трассировка показывает правильную последовательность: новый сервер, сервер OpenVPN, подсеть филиала. А вот соединиться на какой-либо сервис невозможно. Даже telnet <адрес> <порт> не проходит.
В логах фаерволла вот такое:

Код: Выделить всё

Apr  2 19:34:00 newinetserv kernel: SFW2-FWDint-ACC-FORW IN=eth0 OUT=eth0 SRC=10.0.0.53 DST=10.0.2.1 LEN=60 TOS=0x00 PREC=0x00 TTL=127 ID=19086 PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=29952
Apr  2 19:34:01 newinetserv kernel: SFW2-FWDint-ACC-FORW IN=eth0 OUT=eth0 SRC=10.0.0.53 DST=10.0.2.1 LEN=60 TOS=0x00 PREC=0x00 TTL=127 ID=19088 PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=30208
Apr  2 19:34:09 newinetserv kernel: SFW2-FWDint-ACC-FORW IN=eth0 OUT=eth0 SRC=10.0.0.53 DST=10.0.2.1 LEN=60 TOS=0x00 PREC=0x00 TTL=127 ID=19095 PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=30976
Apr  2 19:34:32 newinetserv kernel: SFW2-FWDint-ACC-FORW IN=eth0 OUT=eth0 SRC=10.0.0.53 DST=10.0.2.1 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=19158 DF PROTO=TCP SPT=1643 DPT=22 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Apr  2 19:34:32 newinetserv kernel: SFW2-FWDint-DROP-DEFLT-INV IN=eth0 OUT=eth0 SRC=10.0.0.53 DST=10.0.2.1 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=19159 DF PROTO=TCP SPT=1643 DPT=22 WINDOW=16392 RES=0x00 ACK URGP=0

Пояснения: 10.0.0.0/24 - сеть основного филиала, eth0 - интерфейс сервера смотрящий во внутреннюю сеть, 10.0.2.1 - OpenVPN-клиент в сети филиала.
Если из настроек SuSEFirewall убрать параметр FW_FORWARD - связь с филиалами теряется полностью, в том числе теряются и пинги.
В чём проблема - не пойму.

[DSS]

Пояснения: 10.0.0.0/24 - сеть основного филиала, eth0 - интерфейс сервера смотрящий во внутреннюю сеть, 10.0.2.1 - OpenVPN-клиент в сети филиала.
Если из настроек SuSEFirewall убрать параметр FW_FORWARD - связь с филиалами теряется полностью, в том числе теряются и пинги.

Дополнение:
Если прописать параметр FW_ALLOW_CLASS_ROUTING="int" то всё начинает работать.
Но тогда любой пакет, следующий с одного внутреннего интерфейса на другой, проходит всегда, независимо от того, откуда и куда - чего не хотелось бы. Хотелось бы иметь более контролируемую среду.
Причём, после включения FW_ALLOW_CLASS_ROUTING параметры FW_FORWARD (относящиеся к сетям, достижимым через внутренние интерфейсы) не оказывают никакого влияния.

[DSS]

Причина выяснена - TCP пакет с флагом ACK (последний из приведённого выше лога) почему-то получает от ядра state=INVALID.
Параметр FW_FORWARD разрешает прохождение только пакетов со state=NEW, ESTABLISHED и RELATED.
А параметр FW_ALLOW_CLASS_ROUTING - абсолютно любых.

Т.к. дальнейшее обсуждение уже выходит за рамки настройки SuSEfirewall, то продолжается обсуждение проблемы со state=INVALID тут:
В каких случаях iptables проставляет пакету state=INVALID

[Makcim]

Здравствуйте

Я настроил файервол в соответствии с рекомендациями топик-стартера
Хост получает инет по pppoe, из локальной сети этот хост виден, а инета нет
Клиенты получают ip-адрес динамически, шлюзом у них прописан хост

Вот конфиг файервола хоста:

Код: Выделить всё

## Path:    Network/Firewall/SuSEfirewall2
## Description:    SuSEfirewall2 configuration
## Type:    string
## Default:    any
#
FW_DEV_EXT="ppp0 eth0"

FW_DEV_INT="eth1"

FW_DEV_DMZ=""

FW_ROUTE="yes"

FW_MASQUERADE="yes"

FW_MASQ_DEV="$FW_DEV_EXT"

FW_MASQ_NETS="192.168.0.1/24,tcp,80"

FW_NOMASQ_NETS=""

FW_PROTECT_FROM_INT="yes"

FW_SERVICES_EXT_TCP=""

FW_SERVICES_EXT_UDP=""

FW_SERVICES_EXT_IP=""

FW_SERVICES_EXT_RPC=""

FW_CONFIGURATIONS_EXT="dhcp-server"

FW_SERVICES_DMZ_UDP=""

FW_SERVICES_DMZ_IP=""

FW_SERVICES_DMZ_RPC=""

FW_CONFIGURATIONS_DMZ=""

FW_SERVICES_INT_TCP="25 110 143 8008 8009 8028 8030 8080 443 80"

FW_SERVICES_INT_UDP="53"

FW_SERVICES_INT_IP=""

FW_SERVICES_INT_RPC=""

FW_CONFIGURATIONS_INT=""

FW_SERVICES_DROP_EXT=""

FW_SERVICES_DROP_DMZ=""

FW_SERVICES_DROP_INT=""

FW_SERVICES_REJECT_EXT=""

FW_SERVICES_REJECT_DMZ=""

FW_SERVICES_REJECT_INT=""

FW_SERVICES_ACCEPT_EXT=""

FW_SERVICES_ACCEPT_DMZ=""

FW_SERVICES_ACCEPT_INT=""

FW_SERVICES_ACCEPT_RELATED_EXT=""

FW_SERVICES_ACCEPT_RELATED_DMZ=""

FW_SERVICES_ACCEPT_RELATED_INT=""

FW_TRUSTED_NETS="192.168.0.1/24"

FW_ALLOW_INCOMING_HIGHPORTS_TCP=""

FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS"

FW_FORWARD=""

FW_FORWARD_REJECT=""

FW_FORWARD_DROP=""

FW_FORWARD_MASQ=""

FW_REDIRECT=""

FW_LOG_DROP_CRIT="yes"

FW_LOG_DROP_ALL="no"

FW_LOG_ACCEPT_CRIT="yes"

FW_LOG_ACCEPT_ALL="no"

FW_LOG_LIMIT=""

FW_LOG=""

FW_KERNEL_SECURITY="yes"

FW_STOP_KEEP_ROUTING_STATE="no"

FW_ALLOW_PING_FW="yes"

FW_ALLOW_PING_DMZ="no"

FW_ALLOW_PING_EXT="no"

FW_ALLOW_FW_SOURCEQUENCH=""

FW_ALLOW_FW_BROADCAST_EXT="no"

FW_ALLOW_FW_BROADCAST_INT="no"

FW_ALLOW_FW_BROADCAST_DMZ="no"

FW_IGNORE_FW_BROADCAST_EXT="yes"

FW_IGNORE_FW_BROADCAST_INT="no"

FW_IGNORE_FW_BROADCAST_DMZ="no"

FW_ALLOW_CLASS_ROUTING=""

FW_CUSTOMRULES=""

FW_REJECT=""

FW_REJECT_INT="yes"

FW_HTB_TUNE_DEV=""

FW_IPv6=""

FW_IPv6_REJECT_OUTGOING=""

FW_IPSEC_TRUST="no"

FW_ZONES=""

FW_USE_IPTABLES_BATCH=""

FW_LOAD_MODULES="nf_conntrack_netbios_ns"

FW_FORWARD_ALWAYS_INOUT_DEV=""

FW_FORWARD_ALLOW_BRIDGING=""

Подскажите, в чем ошибка?

[Makcim]

Причем внешние ресурсы пингуются по ip, а по имени не хочет
Я так понял днс не макскарадится

Если же прописать днс через яст, то все прекрасно

Как сделать, чтобы днс получали динамически, как и ip-адрес? А то, к каждой машине тяжко будет бегать :-)

[Makcim]

Все, разобрался

В настройках DHCP сервера прописал ip сервера (для внутренней сети), DNS1 и DNS2 Теперь клиенты получают и ip и днс

Благодарю за внимание

[IzumeRoot]

Подскажите, пожалуйста.
У меня ситуация такая. есть 2 компа дома (openSUSE на обоих). Они соединены в локальную сеть - прописаны адреса. В первом компе 2 сетевухи. Через одну общение со вторым компом, а через другую - общение с провайдером
Сейчас пока я поднял прокси-сервер, чтобы второй комп был с инетом. Но проблема в том, что некоторые приложения не поддерживают прокси. И я решил свой первый комп сделать шлюзом.
Пытаюсь по этой статье настроить SuSEfirewall2.
Но есть один ньюанс. Мой первый комп получает инет только если запущена виндовая прога под вайном. Если она не запущена, то инета нет
В этой проге прописан IP, порт и пароль для соединения с ппровайдером. похоже, что она соединяет через прокси все сразу. Без прописывания прокси в браузере и других прогах.
Так вот если я запускаю файрвол со своей конфигурацией, то эта прога просто не соединяется. Не пускает файрвол ее в инет.
Как мне настроить SuSEfirewall2 так чтобы эта прога запускалась?
Ниже детали
вот ifconfig:

Код: Выделить всё

eth0      Link encap:Ethernet  HWaddr 4C:00:10:54:2B:D9
          inet addr:10.1.1.113  Bcast:10.1.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:224599 errors:0 dropped:0 overruns:0 frame:0
          TX packets:187913 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:162100814 (154.5 Mb)  TX bytes:28645435 (27.3 Mb)
          Interrupt:20 Base address:0xec00

eth2      Link encap:Ethernet  HWaddr 00:26:18:CB:CC:E6
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:27700 errors:0 dropped:0 overruns:0 frame:0
          TX packets:40958 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:5070713 (4.8 Mb)  TX bytes:41715067 (39.7 Mb)
          Interrupt:220 Base address:0x2000

Вот сокращенный конфиг (он на моем первом компе)

Код: Выделить всё

FW_DEV_EXT="any eth-id-4C:00:10:54:2B:D9"
FW_DEV_INT="eth-id-00:26:18:CB:CC:E6"
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
# 192.168.0.2 -  это второй комп, на котром нет инета
FW_MASQ_NETS= "192.168.0.2/24,0/0,tcp,25 \
192.168.0.2/24,0/0,tcp,110 \
192.168.0.2/24,0/0,tcp,5899 \
192.168.0.2/24,0/0,tcp,8535 \
192.168.0.2/24,0/0,udp,53 \
\
"
FW_PROTECT_FROM_INT="yes"
FW_SERVICES_INT_TCP="22 3128"
FW_SERVICES_REJECT_EXT="0/0,tcp,113"
# 10.10.1.1 - это сервак провайдера а 8535 - порт
FW_SERVICES_ACCEPT_EXT="10.10.1.1/24,tcp,22 10.10.1.1/24,tcp,8535"
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_KERNEL_SECURITY="no"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="yes"
FW_ALLOW_FW_BROADCAST_EXT="no"
FW_ALLOW_FW_BROADCAST_INT="no"
FW_ALLOW_FW_BROADCAST_DMZ="no"
FW_IGNORE_FW_BROADCAST_EXT="yes"
FW_IGNORE_FW_BROADCAST_INT="no"
FW_IGNORE_FW_BROADCAST_DMZ="no"
FW_REJECT_INT="yes"
FW_IPSEC_TRUST="no"
FW_LOAD_MODULES="nf_conntrack_netbios_ns"

[DSS]

Но есть один ньюанс. Мой первый комп получает инет только если запущена виндовая прога под вайном. Если она не запущена, то инета нет
В этой проге прописан IP, порт и пароль для соединения с ппровайдером

Для начала было бы неплохо выяснить, что это за прога.
Или ещё проще - спросить в техподдержке провайдера: "как мне подключиться, используя Linux?"
У Вас скорее всего PPPoE, PPTP или ещё какая-нибудь подобная технология.
Сделаете родными средствами - мучений будет меньше.

[lecksys]

SLES 11 является шлюзом с настроеными прозрачной прокси и натом через сусефаервол. Где можно задать правило на блокирование обращений определённого IP из внутреней зоны средствами сусефаервола? или же только через iptables? и можно ли попутно с сусефаерволом использовать стороний софт типа фаерстартер?

Вторая часть вопроса:
как установить максимальное число подключений с одного IP? а то сервак задосили качанием музыки с вконтакта ))

[DSS]

Где можно задать правило на блокирование обращений определённого IP из внутреней зоны средствами сусефаервола?

Вопрос не конкретизирован. Непонятно, что именно надо блокировать. То ли с этого IP лезут в веб (и, соответственно, проходят через прокси), то ли лезут через NAT, то ли вообще по внутренней сети шастают.

и можно ли попутно с сусефаерволом использовать стороний софт типа фаерстартер?

Это вряд ли.

как установить максимальное число подключений с одного IP? а то сервак задосили качанием музыки с вконтакта ))

Вариант нумер раз: внести изменения в функцию redirect_rules в /sbin/SuSEfirewall2
Вариант нумер два: отменить FW_REDIRECT, использовать FW_CUSTOMRULES.