Probleme mit Firewall

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

Hinweis: In dem Thema Probleme mit Firewall gibt es 15 Antworten auf 2 Seiten. Der letzte Beitrag () befindet sich auf der letzten Seite.
  • Probleme mit Firewall

    Guten Abend,

    ich habe den Artikel firewalld-Basics in der Konsole von sterun gelesen und finde ihn wirklich klasse.
    Vielen Dank dafür :smilie_pc_011:

    Leider komme ich trotzdem nicht weiter.

    Bei der Eingabe von:

    Quellcode

    1. firewall-cmd --reload
    2. kommt der Fehler:
    3. ZONE_CONFLICT: 'enp0s25' already bound to a zone


    Auch beim Starten von Sabma aus der grafischen Oberfläche von YaST kommt etwas ähnliches:


    Nach jedem dieser beiden Versuche geht kein Internet mehr, so dass ich den Rechner neu starten muss.

    Hier noch einige Ausgaben von meinem Rechner:

    Quellcode

    1. firewall-cmd --list-all
    2. public (active)
    3. target: default
    4. icmp-block-inversion: no
    5. interfaces: wlp3s0
    6. sources:
    7. services: dhcpv6-client
    8. ports:
    9. protocols:
    10. masquerade: no
    11. forward-ports:
    12. source-ports:
    13. icmp-blocks:
    14. rich rules:
    Alles anzeigen

    Quellcode

    1. firewall-cmd --list-all-zones
    2. block
    3. target: %%REJECT%%
    4. icmp-block-inversion: no
    5. interfaces:
    6. sources:
    7. services:
    8. ports:
    9. protocols:
    10. masquerade: no
    11. forward-ports:
    12. source-ports:
    13. icmp-blocks:
    14. rich rules:
    15. dmz
    16. target: default
    17. icmp-block-inversion: no
    18. interfaces:
    19. sources:
    20. services: ssh
    21. ports:
    22. protocols:
    23. masquerade: no
    24. forward-ports:
    25. source-ports:
    26. icmp-blocks:
    27. rich rules:
    28. drop
    29. target: DROP
    30. icmp-block-inversion: no
    31. interfaces:
    32. sources:
    33. services:
    34. ports:
    35. protocols:
    36. masquerade: no
    37. forward-ports:
    38. source-ports:
    39. icmp-blocks:
    40. rich rules:
    41. external
    42. target: default
    43. icmp-block-inversion: no
    44. interfaces:
    45. sources:
    46. services: ssh
    47. ports:
    48. protocols:
    49. masquerade: yes
    50. forward-ports:
    51. source-ports:
    52. icmp-blocks:
    53. rich rules:
    54. home
    55. target: default
    56. icmp-block-inversion: no
    57. interfaces:
    58. sources:
    59. services: dhcpv6-client mdns samba samba-client ssh
    60. ports:
    61. protocols:
    62. masquerade: no
    63. forward-ports:
    64. source-ports:
    65. icmp-blocks:
    66. rich rules:
    67. internal (active)
    68. target: default
    69. icmp-block-inversion: no
    70. interfaces: enp0s25
    71. sources:
    72. services: dhcpv6-client mdns samba samba-client ssh
    73. ports:
    74. protocols:
    75. masquerade: no
    76. forward-ports:
    77. source-ports:
    78. icmp-blocks:
    79. rich rules:
    80. public (active)
    81. target: default
    82. icmp-block-inversion: no
    83. interfaces: wlp3s0
    84. sources:
    85. services: dhcpv6-client
    86. ports:
    87. protocols:
    88. masquerade: no
    89. forward-ports:
    90. source-ports:
    91. icmp-blocks:
    92. rich rules:
    93. trusted
    94. target: ACCEPT
    95. icmp-block-inversion: no
    96. interfaces:
    97. sources:
    98. services:
    99. ports:
    100. protocols:
    101. masquerade: no
    102. forward-ports:
    103. source-ports:
    104. icmp-blocks:
    105. rich rules:
    106. work
    107. target: default
    108. icmp-block-inversion: no
    109. interfaces:
    110. sources:
    111. services: dhcpv6-client ssh
    112. ports:
    113. protocols:
    114. masquerade: no
    115. forward-ports:
    116. source-ports:
    117. icmp-blocks:
    118. rich rules:
    Alles anzeigen
    Hat jemand eine Idee? ?(
    Vielen Dank

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von dagny ()

    Für den Inhalt des Beitrages 138325 haftet ausdrücklich der jeweilige Autor: dagny

  • Poste einmal:

    Quellcode

    1. firewall-cmd --get-active-zones
    Und noch:

    Quellcode

    1. zypper se -si firewall
    Bei dir sind, warum auch immer, zwei Zonen aktiv (public und internal).
    Laufen bei dir zwei Netzwerkkarten parallel?

    Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von sterun ()

    Für den Inhalt des Beitrages 138326 haftet ausdrücklich der jeweilige Autor: sterun

  • Quellcode

    1. firewall-cmd --get-active-zones
    2. home
    3. interfaces: wlp3s0
    4. internal
    5. interfaces: enp0s25

    Brainfuck-Quellcode

    1. zypper se -si firewall
    2. Repository-Daten werden geladen...
    3. Installierte Pakete werden gelesen...
    4. S | Name | Typ | Version | Arch | Repository
    5. ---+------------------+-------+-----------+--------+------------------------
    6. i+ | firewall-macros | Paket | 0.7.2-2.1 | noarch | openSUSE-Tumbleweed-Oss
    7. i+ | firewalld | Paket | 0.7.2-2.1 | noarch | openSUSE-Tumbleweed-Oss
    8. i+ | firewalld-lang | Paket | 0.7.2-2.1 | noarch | openSUSE-Tumbleweed-Oss
    9. i+ | python3-firewall | Paket | 0.7.2-2.1 | noarch | openSUSE-Tumbleweed-Oss
    10. i+ | yast2-firewall | Paket | 4.2.2-1.1 | noarch | openSUSE-Tumbleweed-Oss
    Alles anzeigen

    sterun schrieb:

    ... Laufen bei dir zwei Netzwerkkarten parallel? ...
    Ist ein Laptop an einer Dockingstation. Ich vermute mal WLAN & LAN die dann parallel laufen.
    Warum diese in zwei Zonen sind erschließt sich mir nicht. Vermutlich SAMBA über die LAN-Karte.

    Hatte ursprünglich das Kommando:

    Quellcode

    1. firewall-cmd --permanent --zone=public --change-interface=enp0s25
    ausgeführt, aber dann traten eben die Probleme auf.

    Auch ein Rücksetzen mit:

    Quellcode

    1. firewall-cmd --permanent --zone=internal --change-interface=enp0s25
    behielt den Fehler bei.

    Danke

    Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von dagny ()

    Für den Inhalt des Beitrages 138327 haftet ausdrücklich der jeweilige Autor: dagny

  • Moin zusammen,

    Dagny, lies mal den Artikel: linuxjournal.com/content/under…multi-zone-configurations ... der beschreibt das Zoning im firewalld ganz gut.

    Leider ist multizoning in der firewalld Docu sehr sehr unterrepräsentiert - sprich es gibt fast nichts Sauberes zu dem Thema.

    Ich nutze firewalld ja gar nicht .... ich bin noch altmodisch direkt mit dem netfilter unterwegs und hänge an meiner iptables *gg*.
    Aber von dem was Du da beschreibst, ist das Problem, dass Dein Interface der interne Zone zugewiesen ist und die ist abgeschirmt vom Rest. Sprich die darf nicht mal raus in die Weite Welt.

    wie ich das verstehe, hast Du 2 Möglichkeiten:
    1. die Karte aus der internen Zone rausnehmen. Dann brauchst Du aber weitere Regeln, wenn von aussen doch was nach Innen soll.
    Klassisches Beispiel ist die DMZ Lösung. Hier hat man die böse weite Welt, danach (aus Sicht Deines Netzes) kommt eine Firewall, diese ist die Eingangspforte für die DMZ. dort stehen üblicherweise alle Applikationen, die mit der bösen weiten Welt kommunizieren dürfen. die Firewall davor sorgt für ne gewisse Kontrolle. Hinter dieser DMZ steht eine 2. Firewall, die Dir Dein Intranet abschirmt. Die verhindert jeglichen Kontakt mit der bösen weiten Welt. Die intranet Server dürfen nur mit den DMZ Rechnern reden, diese aber nicht mit den Internen. Sprich jegliche Kommunikation mit den DMZ Rechnern/Applikationen muss vom internen Server ausgehen, die DMZ Teile dürfen nur antworten auf Anfragen aus intern (sogenannte established Regeln).

    So lange Erklärung .... deine intra Zone ist genau diese Verbotszone. Bedeutet, jegliche Applikation dort drin, darf nicht mit Draussen reden.

    2. Lösung: Intra aufbohren in den firewall Regeln.

    Da intra einen Sinn hat (nämlich genau den der supersicheren zone), würde ich Lösung 1 anvisieren, eine 2. Netzkarte für intern dazubauen und forward Regeln bauen falls nötig.
    Viele Grüße,
    T.

    Für den Inhalt des Beitrages 138333 haftet ausdrücklich der jeweilige Autor: Tamerlain

  • Erstmal danke, da habe ich wohl ein Fass aufgemacht :(

    Zunächst nochmal kurz zum Fehlerbild:
    1. ich komme mit beiden Netzwerkkarten ins WWW und die Konfiguration firewall-cmd --list-all-zones ändert sich scheinbar. Jetzt bin ich mit dem interfaces: wlp3s0 in der Zone home (active) und dem interfaces: enp0s25 in der Zone internal (active)
      Weshalb sich die Zonen ändern weiß ich nicht.
    2. begonnen hat das Problem scheinbar, als ich dachte, es sei besser die Karte "enp0s25" in die Zone "public" aufzunehmen firewall-cmd --permanent --zone=public --change-interface=enp0s25
    3. ich glaube, ab dann hatte ich die beiden Fehlerbilder mit firewall-cmd --reload und beim Starten von Samba aus der grafischen Oberfläche von YaST heraus (siehe oben)
      Habe jetzt herausgefunden, dass sich dieser Fehler nur dann zeigt, wenn im Netzwerkmanager die LAN-Karte eine Verbindung hat, ohne Verbindung der LAN-Karte zeigt sich der Fehler also nicht! Vielleicht hat es mit 2. doch nichts zu tun.
    4. auch ein Versuch die Zone wieder mit firewall-cmd --permanent --zone=internal --change-interface=enp0s25 in den Ursprungszustand zu bringen hat an den Fehlern nichts geändert
    5. Der SAMBA-Server funktioniert sowohl, wenn nur LAN, nur WLAN oder auch wenn beide Netzwerkkarten eine Verbindung haben.
    Nun zu den gewünschten Posts:

    Hallo @sterun
    erstmal danke und ich ich möchte vorausschicken, das mein angegebener "Wissenstand" auch der ist wie ich in angegeben habe.

    "Du arbeitest also mit LAN - richtig? ..."
    Wenn ich das wüsste, worüber welcher Verkehr geht.
    Oft ist der Laptop in der Dockingstation, dann sind sowohl WLAN als auch LAN an.
    Im mobilen Betrieb läuft er natürlich nur mit WLAN.

    sterun schrieb:

    Hallo @dagny
    Diese Infos brauchen wir einmal:
    1. NetworManager oder wicked
    2. Soll LAN oder WLAN verwendet werden
    3. Name des Netzwerkes
    Und, falls du den NetworkManager verwendest:

    Quellcode

    1. nmcli connection show --active
    1. wie bekomme ich das heraus? Ich hab da seit der Installation nichts verändert. Installiert sind beide.
    2. wenn möglich an der Dockingstation beides, ansonsten nur WLAN
    3. Meinst Du die SSID für das WLAN?
      Die lautet je nach dem wie der Empfang besser ist entweder "linux24" (Fritzbox 2,4GHz Bereich) bzw. "linux50" (Fritzbox 5GHz Bereich) und liegen beide nicht im Gastnetz.
      Hat das Netzwerk sonst noch einen Namen, wenn ja wo finde ich diesen?


    Quellcode

    1. nmcli connection show --active
    2. NAME UUID TYPE DEVICE
    3. Kabelgebundene Verbindung 1 b173e40b-974c-343e-809d-8367beef98d9 ethernet enp0s25
    4. linux24 (repeater) d75d091a-85cd-426b-8149-b4aa3b94b038 wifi wlp3s0
    Danke Euch

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von dagny ()

    Für den Inhalt des Beitrages 138341 haftet ausdrücklich der jeweilige Autor: dagny

  • Poste mal als root:

    Quellcode

    1. cat /etc/firewalld/zones/public.xml


    Quellcode

    1. cat /etc/firewalld/zones/internal.xml
    Links in dieser Signatur bitte zum Lesen anklicken!

    Code-Tags <<<Klick mich
    zypper <<<Klick mich
    Netzwerkprobleme <<<Klick mich

    Für den Inhalt des Beitrages 138343 haftet ausdrücklich der jeweilige Autor: Sauerland

  • Hallo Sauerland,

    Quellcode

    1. # cat /etc/firewalld/zones/public.xml
    2. <?xml version="1.0" encoding="utf-8"?>
    3. <zone>
    4. <short>Public</short>
    5. <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
    6. <service name="dhcpv6-client"/>
    7. </zone>

    Quellcode

    1. # cat /etc/firewalld/zones/internal.xml
    2. <?xml version="1.0" encoding="utf-8"?>
    3. <zone>
    4. <short>Internal</short>
    5. <description>For use on internal networks. You mostly trust the other computers on the networks to not harm your computer. Only selected incoming connections are accepted.</description>
    6. <service name="ssh"/>
    7. <service name="mdns"/>
    8. <service name="samba-client"/>
    9. <service name="dhcpv6-client"/>
    10. <service name="samba"/>
    11. </zone>
    Alles anzeigen
    und die aktuelle:

    Quellcode

    1. # firewall-cmd --list-all-zones
    2. block
    3. target: %%REJECT%%
    4. icmp-block-inversion: no
    5. interfaces:
    6. sources:
    7. services:
    8. ports:
    9. protocols:
    10. masquerade: no
    11. forward-ports:
    12. source-ports:
    13. icmp-blocks:
    14. rich rules:
    15. dmz
    16. target: default
    17. icmp-block-inversion: no
    18. interfaces:
    19. sources:
    20. services: ssh
    21. ports:
    22. protocols:
    23. masquerade: no
    24. forward-ports:
    25. source-ports:
    26. icmp-blocks:
    27. rich rules:
    28. drop
    29. target: DROP
    30. icmp-block-inversion: no
    31. interfaces:
    32. sources:
    33. services:
    34. ports:
    35. protocols:
    36. masquerade: no
    37. forward-ports:
    38. source-ports:
    39. icmp-blocks:
    40. rich rules:
    41. external
    42. target: default
    43. icmp-block-inversion: no
    44. interfaces:
    45. sources:
    46. services: ssh
    47. ports:
    48. protocols:
    49. masquerade: yes
    50. forward-ports:
    51. source-ports:
    52. icmp-blocks:
    53. rich rules:
    54. home (active)
    55. target: default
    56. icmp-block-inversion: no
    57. interfaces: wlp3s0
    58. sources:
    59. services: dhcpv6-client mdns samba samba-client ssh
    60. ports:
    61. protocols:
    62. masquerade: no
    63. forward-ports:
    64. source-ports:
    65. icmp-blocks:
    66. rich rules:
    67. internal (active)
    68. target: default
    69. icmp-block-inversion: no
    70. interfaces: enp0s25
    71. sources:
    72. services: dhcpv6-client mdns samba samba-client ssh
    73. ports:
    74. protocols:
    75. masquerade: no
    76. forward-ports:
    77. source-ports:
    78. icmp-blocks:
    79. rich rules:
    80. public
    81. target: default
    82. icmp-block-inversion: no
    83. interfaces:
    84. sources:
    85. services: dhcpv6-client
    86. ports:
    87. protocols:
    88. masquerade: no
    89. forward-ports:
    90. source-ports:
    91. icmp-blocks:
    92. rich rules:
    93. trusted
    94. target: ACCEPT
    95. icmp-block-inversion: no
    96. interfaces:
    97. sources:
    98. services:
    99. ports:
    100. protocols:
    101. masquerade: no
    102. forward-ports:
    103. source-ports:
    104. icmp-blocks:
    105. rich rules:
    106. work
    107. target: default
    108. icmp-block-inversion: no
    109. interfaces:
    110. sources:
    111. services: dhcpv6-client ssh
    112. ports:
    113. protocols:
    114. masquerade: no
    115. forward-ports:
    116. source-ports:
    117. icmp-blocks:
    118. rich rules:
    Alles anzeigen

    Für den Inhalt des Beitrages 138344 haftet ausdrücklich der jeweilige Autor: dagny

  • Dort ist keine Netzwerkkarte eingetragen........
    Bei mir:

    Quellcode

    1. cat /etc/firewalld/zones/public.xml
    2. <?xml version="1.0" encoding="utf-8"?>
    3. <zone>
    4. <short>Public</short>
    5. <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
    6. <interface name="eth0"/>
    7. <port port="xxxxx" protocol="tcp"/>
    8. <port port="xxxxx" protocol="tcp"/>
    9. <port port="xxxxx" protocol="udp"/>
    10. <port port="xxxxx" protocol="udp"/>
    11. </zone>
    Alles anzeigen
    Kannst du mit Yast----System-----Firewall------Schnittstellen ändern.

    Poste mal:

    Quellcode

    1. zypper se -si firewall
    Links in dieser Signatur bitte zum Lesen anklicken!

    Code-Tags <<<Klick mich
    zypper <<<Klick mich
    Netzwerkprobleme <<<Klick mich

    Für den Inhalt des Beitrages 138345 haftet ausdrücklich der jeweilige Autor: Sauerland