Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Fedora9 Firewall macht nicht das was sie soll

Frage Linux RedHat, CentOS, Fedora

Mitglied: uesenberg

uesenberg (Level 1) - Jetzt verbinden

08.10.2008, aktualisiert 10.10.2008, 3999 Aufrufe, 12 Kommentare

Firewall öffnet definierte Ports nicht

Habe Fedora9 auf einem Rechner installiert. Über System/Administration/Firewall habe ich verschiedene Ports (1248, 12489, 5666, 5667) eingetragen. Trotz neu Aktivierung der Firewall oder Neustart des PC, bleiben die Ports verschlossen. Auch wenn ich die Firewall deaktiviere, bleiben sie zu.
Die einzigen offenen Ports sind 22, 80, 111, 139, 443, 445.
Wie bringe ich die Firewall dazu, das zu machen was sie soll?
Mitglied: theton
08.10.2008 um 08:04 Uhr
Ports sind nur dann offen, wenn auch ein Service daran lauscht. Ist kein Service auf einem Port, ist dieser unter Linux immer geschlossen.
Bitte warten ..
Mitglied: uesenberg
08.10.2008 um 09:27 Uhr
Ja, das ist klar.
Ich habe auf dem Linux-Server Nagios installiert, und der Service lauscht auf Port 5667.

In iptables steht folgende Zeile.

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 5667 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 5667 -j ACCEPT
.
.
.
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
Bitte warten ..
Mitglied: theton
08.10.2008 um 09:36 Uhr
Dann schau mal mit 'netstat' nach ob der Service auch am richtigen Interface lauscht. Wenn er nur auf dem Loopback hängt, ist er nach aussen nicht erreichbar. Im Übrigen sind die Firewall-Regeln ziemlich nutzlos. iptables-Regeln werden sequentiell abgearbeitet. Da die Default-Policy für INPUT auf ACCEPT gesetzt ist, werden sämtliche eingehende Verbindungen zugelassen. Die explizite Freigabe der Ports ist daher nutzlos. Die Default-Policy für INPUT sollte immer DROP oder REJECT sein.
Bitte warten ..
Mitglied: uesenberg
08.10.2008 um 11:16 Uhr
wenn der dienst nicht auf dem Interface horcht, was muss ich dafür tun damit er das macht?
Bitte warten ..
Mitglied: theton
08.10.2008 um 11:19 Uhr
Den Dienst so konfigurieren dass er die richtige IP zum Binden benutzt.
Bitte warten ..
Mitglied: uesenberg
08.10.2008 um 11:51 Uhr
Der Dienst horcht am richtigen Interface.

An dem Fedora-PC arbeitet die Firewall nicht koreckt. Deaktiviere ich sie, ändert sich nichts. Die Ports 5667 bleiben nach aussen und innen zu.
Bitte warten ..
Mitglied: theton
08.10.2008 um 12:16 Uhr
Nimm einfach mal folgendes Skript:

01.
#!/bin/bash 
02.
 
03.
echo "Starting firewall" 
04.
 
05.
LOGLIMIT=20 
06.
IPTABLES=/sbin/iptables # pfad ggf. anpassen 
07.
 
08.
case "$1" in 
09.
start) 
10.
        echo "starte firewall" 
11.
        # alle alten Regeln entfernen 
12.
        echo "Loesche alte Regeln" 
13.
        $IPTABLES -F 
14.
        $IPTABLES -X 
15.
        $IPTABLES -t nat -F 
16.
 
17.
        # kette fuers logging erstellen 
18.
        $IPTABLES -N LOGREJECT 
19.
        $IPTABLES -A LOGREJECT -m limit --limit $LOGLIMIT/minute -j LOG --log-prefix "FIREWALL REJECT " --log-level notice --log-ip-options --log-tcp-options 
20.
        $IPTABLES -A LOGREJECT -j REJECT --reject-with icmp-port-unreachable 
21.
 
22.
 
23.
        ### PROC MANIPULATION ### 
24.
        # auf Broadcast-Pings nicht antworten 
25.
        echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 
26.
        # halt die Klappe bei komischen ICMP Nachrichten 
27.
        echo 0 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses 
28.
        # Kicke den ganzen IP Spoofing Shit 
29.
        # (Source-Validierung anschalten) 
30.
        echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter 
31.
        # Setze Default-TTL auf 61 (Default fuer Linux ist 64) 
32.
        echo 61 > /proc/sys/net/ipv4/ip_default_ttl 
33.
        # sende RST-Pakete wenn der Buffer voll ist 
34.
        echo 1 > /proc/sys/net/ipv4/tcp_abort_on_overflow 
35.
        # warte max. 30 secs auf ein FIN/ACK 
36.
        echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout 
37.
        # unterbreche Verbindungsaufbau nach 3 SYN-Paketen 
38.
        # Default ist 6 
39.
        echo 3 > /proc/sys/net/ipv4/tcp_syn_retries 
40.
        # unterbreche Verbindungsaufbau nach 3 SYN/ACK-Paketen 
41.
        # Default ist 6 
42.
        echo 3 > /proc/sys/net/ipv4/tcp_synack_retries 
43.
 
44.
        # default-policy auf drop setzen 
45.
        $IPTABLES -P INPUT DROP 
46.
        $IPTABLES -P FORWARD DROP 
47.
 
48.
        # output kann durchgelassen werden 
49.
        $IPTABLES -P OUTPUT ACCEPT 
50.
 
51.
        # zu bestehenden zugehoerige verbindungen zulassen 
52.
        $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
53.
 
54.
        # im Loopback koennen wir jedem trauen 
55.
        $IPTABLES -A INPUT -i lo -j ACCEPT 
56.
 
57.
        # erlaube Pings 
58.
        $IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT 
59.
 
60.
        # erlaube SSH 
61.
        $IPTABLES -A INPUT -p tcp --dport 22 --tcp-flags ALL SYN -j ACCEPT 
62.
 
63.
        # deine gewuenschten ports oeffnen 
64.
        $IPTABLES -A INPUT -p tcp --dport 1248 --tcp-flags ALL SYN -j ACCEPT 
65.
        $IPTABLES -A INPUT -p tcp --dport 12489 --tcp-flags ALL SYN -j ACCEPT 
66.
        $IPTABLES -A INPUT -p tcp --dport 5666 --tcp-flags ALL SYN -j ACCEPT 
67.
        $IPTABLES -A INPUT -p tcp --dport 5667 --tcp-flags ALL SYN -j ACCEPT 
68.
 
69.
        # Alle TCP Packete, die bis hier hin kommen, werden 
70.
        # geloggt und rejected 
71.
        # Der Rest wird eh per Default Policy gedroppt... 
72.
        $IPTABLES -A FORWARD -p tcp -j LOGREJECT 
73.
        ;; 
74.
*) 
75.
        echo "Usage: `basename $0` {start}" >&2 
76.
        exit 64 
77.
        ;; 
78.
esac 
79.
 
80.
exit 0
Abspeichern, ausführbar machen und als root mittels 'skript start' ausführen. Wenn es dann nicht geht, poste bitte den Output von 'netstat -tulpe' (als root ausführen). Dann glaub ich nämlich nicht, dass der Service korrekt konfiguriert ist.
Bitte warten ..
Mitglied: uesenberg
08.10.2008 um 13:51 Uhr
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address Foreign Address State Benutzer Inode PID/Program name
tcp 0 0 *:sunrpc *:* LISTEN root 6856 1848/rpcbind
tcp 0 0 *:ssh *:* LISTEN root 8032 2139/sshd
tcp 0 0 nagios:ipp *:* LISTEN root 8547 2238/cupsd
tcp 0 0 *:56664 *:* LISTEN root 6933 1867/rpc.statd
tcp 0 0 nagios:smtp *:* LISTEN root 8218 2159/sendmail: acce
tcp 0 0 *:netbios-ssn *:* LISTEN root 8516 2212/smbd
tcp 0 0 *:http *:* LISTEN root 8271 2179/httpd
tcp 0 0 *:ssh *:* LISTEN root 8030 2139/sshd
tcp 0 0 *:https *:* LISTEN root 8275 2179/httpd
tcp 0 0 *:microsoft-ds *:* LISTEN root 8514 2212/smbd
udp 0 0 *:778 *:* root 6924 1867/rpc.statd
udp 0 0 *:34213 *:* root 6930 1867/rpc.statd
udp 0 0 *:54222 *:* avahi 8500 2228/avahi-daemon:
udp 0 0 *:mdns *:* avahi 8499 2228/avahi-daemon:
udp 0 0 *:kerberos_master *:* root 6855 1848/rpcbind
udp 0 0 *:sunrpc *:* root 6851 1848/rpcbind
udp 0 0 *:ipp *:* root 8550 2238/cupsd
Bitte warten ..
Mitglied: theton
08.10.2008 um 20:11 Uhr
Also ich sehe dort keinen offenen NSCA-Port.
Bitte warten ..
Mitglied: uesenberg
09.10.2008 um 08:49 Uhr
der nsca-client kann an den nagios-server auf port 5667 auch nicht senden. Da steht im Logfile:
"Could not connect to 192.168.0.251:5667"
Firewall des Clients ist der Port frei.

Wieso lässt sich der port nicht öffnen. Bei Fedora7 gabs auch mal einen Security Bug mit der Firewall. Die hatten das gleiche Problem wie ich mit Fedora9. Selbst wenn ich die Firewall deaktiviere bleiben die Ports dicht.
Bitte warten ..
Mitglied: theton
09.10.2008 um 08:57 Uhr
Wenn auf Port 5667 kein Service läuft, dann kann dorthin natürlich auch nicht verbunden werden. Port 5667 ist der NSCA-Port. Siehe /etc/services. Deswegen wird der Port im Output von netstat als 'nsca' betitelt und wie du in deinem netstat-Output siehst, gibt es bei dir keinen Dienst an diesem Port. Du solltest also eher überprüfen warum dieser Dienst nicht startet und/oder an den Port bindet.
Bitte warten ..
Mitglied: uesenberg
10.10.2008 um 08:26 Uhr
Ich habe mich dazu entschieden Fedora9 gegen F6 zu ersetzten und nun läuft das Nagios auf dem Server einwandfrei.

zum Vergleich hier netstat -tulpe auf F6

Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address Foreign Address State Benutzer Inode PID/Program name
tcp 0 0 *:netbios-ssn *:* LISTEN root 6829 2199/smbd
tcp 0 0 *:sunrpc *:* LISTEN root 5973 1898/portmap
tcp 0 0 localhost:smtp *:* LISTEN root 6578 2114/sendmail: acce
tcp 0 0 *:827 *:* LISTEN root 6029 1917/rpc.statd
tcp 0 0 *:microsoft-ds *:* LISTEN root 6828 2199/smbd
tcp 0 0 *:http *:* LISTEN root 6654 2142/httpd
tcp 0 0 *:ssh *:* LISTEN root 6506 2096/sshd
tcp 0 0 ep100.europapark.ads:ipp *:* LISTEN root 6472 2087/cupsd
tcp 0 0 *:https *:* LISTEN root 6659 2142/httpd
udp 0 0 *:filenet-tms *:* avahi 6983 2248/avahi-daemon:
udp 0 0 192.168.0.251:netbios-ns *:* root 6839 2203/nmbd
udp 0 0 192.168.2.100:netbios-ns *:* root 6837 2203/nmbd
udp 0 0 *:netbios-ns *:* root 6834 2203/nmbd
udp 0 0 192.168.0.251:netbios-dgm *:* root 6840 2203/nmbd
udp 0 0 192.168.2.100:netbios-dgm *:* root 6838 2203/nmbd
udp 0 0 *:netbios-dgm *:* root 6835 2203/nmbd
udp 0 0 *:821 *:* root 6007 1917/rpc.statd
udp 0 0 *:824 *:* root 6026 1917/rpc.statd
udp 0 0 *:mdns *:* avahi 6981 2248/avahi-daemon:
udp 0 0 *:sunrpc *:* root 5972 1898/portmap
udp 0 0 *:ipp *:* root 6475 2087/cupsd
udp 0 0 *:filenet-rpc *:* avahi 6984 2248/avahi-daemon:
udp 0 0 *:mdns *:* avahi 6982 2248/avahi-daemon:
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Firewall
Vom LAN auf Router über Firewall zugreiffen (5)

Frage von miichiii9 zum Thema Firewall ...

Windows Server
Windows Firewall Einstellungen für OpenVPN Tunnel (4)

Frage von Aubanan zum Thema Windows Server ...

Router & Routing
gelöst Fritzbox am FTTx-Anschluss ganz ohne Firewall ? (3)

Frage von Dilbert-MD zum Thema Router & Routing ...

Firewall
Firewall für DMZ und Intranet richtig konfigurieren (3)

Frage von vGaven zum Thema Firewall ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...