---

Hejsa,

Jeg er en glad bruger af SuSE distro gennem mange år. Nu har jeg netop
installeret min webserver på en ny platform med SuSE 8.0 i en "text only"
installation (ingen X). Alt er vel bortset fra 4 små ting der driller min
hverdag. Jeg har brugt lang tid på at læse manual og surfe på emnerne, men
jeg syntes ikke at være heldig. Derfor dette lille (hjælp)

Til orientering:
Jeg bruger en box med 2 netkort, 1 til ADSL og 1 til det interne net. Boxen
er herefter både webserver, sambaserver, NTP server og generel firewall til
det interne net. JA, jeg ved godt at det kan gøres smukkere med DMZ og løs
firewall men dette plejer at virke for mig - strøm og larm af maskiner er et
klart issue. Mine data på denne server er ikke kritiske.
Jeg har aktiveret SuSEFirewall2 der kommer med pakken og tilføjet nødvendigt
hack i IPTables for at få hul. NAT virker herefter 100%

1. FTP - åbenbart ikke en standardting i SuSE længere, alt hedder SSH (SCP
osv.) - jeg skulle dog gerne have dette til at fungere godt. Jeg har
installeret vsftpd og det virker MEN: Måske er det pga. Passive FTP (læste
et eller andet om det på nettet) når jeg FTP'er logger jeg fint på med
username. en efterfølgende "ls" eller "dir" resulterer ofte i en MEGET lang
pause (op til flere minutter), så dukker ASCII data op... Underligt. Dette
er også tilfældet når jeg prøver med "in.ftpd". Skal jeg bruge et andet
program eller lave huller i firewall???

2. Opstartsfiler! i Yast2 kan jeg starte det meste, men efter genstart er
jeg nødt til at starte følgende: rcapache, rcnamed, rcsmb og rcdhcpd
(serverdelen). Hvor skal kald af disse placeres i /etc? Det virker meget
anderledes end tidligere.

3. Smertensbarnet! Hul i IPTable firewall og forward af data til/fra
terminalserver (port 3389) på Windoze2000 server på det interne net. Jeg ved
det! Men den ER altså nødvendig! Nettet ser således ud:
Extern IP DHCP Tildelt af Siemens ADSL Modem (lad os kalde den
80.62.200.200) -> eth1 {Linuxserver (gateway)} eth0 (10.10.10.100) ->
10.10.10.0 net. W2000 Serveren hedder 10.10.10.10.

Mine kæder:

gateway # iptables -L FORWARD
Chain FORWARD (policy DROP)
target prot opt source destination
TCPMSS tcp -- anywhere anywhere tcp
flags:SYN,RST/SYN TCPMSS clamp to PMTU
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
forward_ext all -- anywhere anywhere
forward_int all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level
warning tcp-options ip-options prefix `SuSE-FW-UNAUTHORIZED-ROUTING '
DROP all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state
NEW,RELATED,ESTABLISHED
LOG all -- anywhere anywhere LOG level
warning tcp-options ip-options prefix `SuSE-FW-FORWARD-ERROR '

gateway # iptables -L INPUT
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
LOG all -- loopback/8 anywhere LOG level
warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING '
LOG all -- anywhere loopback/8 LOG level
warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING '
DROP all -- loopback/8 anywhere
DROP all -- anywhere loopback/8
LOG all -- gateway.xxx.dk anywhere LOG level warning
tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING '
DROP all -- gateway.xxx.dk anywhere
LOG all -- xxx.xxx.adsl-dhcp.tele.dk anywhere LOG level
warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING '
DROP all -- xxx.xxx.adsl-dhcp.tele.dk anywhere
input_ext all -- anywhere xxx.xxx.adsl-dhcp.tele.dk
input_int all -- anywhere gateway.xxx.dk
DROP all -- anywhere 80.62.200.255
DROP all -- anywhere 255.255.255.255
DROP all -- anywhere 10.10.10.255
DROP all -- anywhere 255.255.255.255
LOG all -- anywhere xxx.xxx.adsl-dhcp.tele.dkLOG level
warning tcp-options ip-options prefix `SuSE-FW-NO_ACCESS_INT->FWEXT '
DROP all -- anywhere xxx.xxx.adsl-dhcp.tele.dk
LOG all -- anywhere anywhere LOG level
warning tcp-options ip-options prefix `SuSE-FW-UNAUTHORIZED-TARGET '
DROP all -- anywhere anywhere

gateway # iptables -L OUTPUT
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
LOG icmp -- anywhere anywhere icmp
time-exceeded LOG level warning tcp-options ip-options prefix
`SuSE-FW-TRACEROUTE-ATTEMPT '
ACCEPT icmp -- anywhere anywhere icmp
time-exceeded
ACCEPT icmp -- anywhere anywhere icmp
port-unreachable
ACCEPT icmp -- anywhere anywhere icmp
fragmentation-needed
ACCEPT icmp -- anywhere anywhere icmp
network-prohibited
ACCEPT icmp -- anywhere anywhere icmp
host-prohibited
ACCEPT icmp -- anywhere anywhere icmp
communication-prohibited
DROP icmp -- anywhere anywhere icmp
destination-unreachable
ACCEPT all -- anywhere anywhere state
NEW,RELATED,ESTABLISHED
LOG all -- anywhere anywhere LOG level
warning tcp-options ip-options prefix `SuSE-FW-OUTPUT-ERROR '
gateway #

Hvordan laver jeg hul til 10.10.10.10 på port 3389 uden at kompromittere
resten af nettet?
- og sidst men ikke mindst, hvor skriver jeg denne ændring så den altid
kommer med ved genstart?

/Niels

---

"Niels Chr. Sørensen" <ncs[at]tcelectronic.dk> wrote in message
news:3de4dc08$0$10678$4d4eb98e@news.dk.uu.net...
> 3. Smertensbarnet! Hul i IPTable firewall og forward af data til/fra
> terminalserver (port 3389) på Windoze2000 server på det interne net. Jeg
ved
> det! Men den ER altså nødvendig! Nettet ser således ud:
> Extern IP DHCP Tildelt af Siemens ADSL Modem (lad os kalde den
> 80.62.200.200) -> eth1 {Linuxserver (gateway)} eth0 (10.10.10.100) ->
> 10.10.10.0 net. W2000 Serveren hedder 10.10.10.10.
>
> Hvordan laver jeg hul til 10.10.10.10 på port 3389 uden at kompromittere
> resten af nettet?

Jeg har følgende stående i et script jeg kører når jeg har brug for at komme
ind
til terminal service gennem min firewall,
iptables -t nat -A PREROUTING -i eth0 -p tcp -d 80.62.200.200 --dport
3389 -j DNAT --to-destination 10.10.10.10:3389
iptables -t nat -A PREROUTING -i eth0 -p udp -d 80.62.200.200 --dport
3389 -j DNAT --to-destination 10.10.10.10:3389

/Sonni