Probleme mit Firewall

Hinweis: In dem Thema Probleme mit Firewall gibt es 15 Antworten auf 2 Seiten. Der letzte Beitrag () befindet sich auf der letzten Seite.
  • Guten Abend,


    ich habe den Artikel firewalld-Basics in der Konsole von sterun gelesen und finde ihn wirklich klasse.
    Vielen Dank dafür :smilie_pc_011:


    Leider komme ich trotzdem nicht weiter.


    Bei der Eingabe von:

    Code
    firewall-cmd --reload
    
    
    kommt der Fehler:
    ZONE_CONFLICT: 'enp0s25' already bound to a zone


    Auch beim Starten von Sabma aus der grafischen Oberfläche von YaST kommt etwas ähnliches:


    Nach jedem dieser beiden Versuche geht kein Internet mehr, so dass ich den Rechner neu starten muss.


    Hier noch einige Ausgaben von meinem Rechner:


    Hat jemand eine Idee? ?(
    Vielen Dank

    "Nicht alles, was man nicht versteht, ergibt keinen Sinn." :/

    Einmal editiert, zuletzt von dagny ()

    Für den Inhalt des Beitrages 138325 haftet ausdrücklich der jeweilige Autor: dagny

  • Poste einmal:

    Code
    firewall-cmd --get-active-zones

    Und noch:

    Code
    zypper se -si firewall

    Bei dir sind, warum auch immer, zwei Zonen aktiv (public und internal).
    Laufen bei dir zwei Netzwerkkarten parallel?

    2 Mal editiert, zuletzt von sterun ()

    Für den Inhalt des Beitrages 138326 haftet ausdrücklich der jeweilige Autor: sterun

  • Code
    firewall-cmd --get-active-zones
    
    
    home
      interfaces: wlp3s0
    internal
      interfaces: enp0s25

    ... Laufen bei dir zwei Netzwerkkarten parallel? ...

    Ist ein Laptop an einer Dockingstation. Ich vermute mal WLAN & LAN die dann parallel laufen.
    Warum diese in zwei Zonen sind erschließt sich mir nicht. Vermutlich SAMBA über die LAN-Karte.


    Hatte ursprünglich das Kommando:

    Code
    firewall-cmd --permanent --zone=public --change-interface=enp0s25

    ausgeführt, aber dann traten eben die Probleme auf.


    Auch ein Rücksetzen mit:

    Code
    firewall-cmd --permanent --zone=internal --change-interface=enp0s25

    behielt den Fehler bei.


    Danke

    "Nicht alles, was man nicht versteht, ergibt keinen Sinn." :/

    2 Mal editiert, zuletzt von dagny ()

    Für den Inhalt des Beitrages 138327 haftet ausdrücklich der jeweilige Autor: dagny

  • Du arbeitest also mit LAN - richtig?
    Dannn poste einmal:

    Code
    nmcli -p -f general,wifi-properties device show enp0s25

    Für den Inhalt des Beitrages 138330 haftet ausdrücklich der jeweilige Autor: sterun

  • Moin zusammen,


    Dagny, lies mal den Artikel: https://www.linuxjournal.com/c…multi-zone-configurations ... der beschreibt das Zoning im firewalld ganz gut.


    Leider ist multizoning in der firewalld Docu sehr sehr unterrepräsentiert - sprich es gibt fast nichts Sauberes zu dem Thema.


    Ich nutze firewalld ja gar nicht .... ich bin noch altmodisch direkt mit dem netfilter unterwegs und hänge an meiner iptables *gg*.
    Aber von dem was Du da beschreibst, ist das Problem, dass Dein Interface der interne Zone zugewiesen ist und die ist abgeschirmt vom Rest. Sprich die darf nicht mal raus in die Weite Welt.


    wie ich das verstehe, hast Du 2 Möglichkeiten:
    1. die Karte aus der internen Zone rausnehmen. Dann brauchst Du aber weitere Regeln, wenn von aussen doch was nach Innen soll.
    Klassisches Beispiel ist die DMZ Lösung. Hier hat man die böse weite Welt, danach (aus Sicht Deines Netzes) kommt eine Firewall, diese ist die Eingangspforte für die DMZ. dort stehen üblicherweise alle Applikationen, die mit der bösen weiten Welt kommunizieren dürfen. die Firewall davor sorgt für ne gewisse Kontrolle. Hinter dieser DMZ steht eine 2. Firewall, die Dir Dein Intranet abschirmt. Die verhindert jeglichen Kontakt mit der bösen weiten Welt. Die intranet Server dürfen nur mit den DMZ Rechnern reden, diese aber nicht mit den Internen. Sprich jegliche Kommunikation mit den DMZ Rechnern/Applikationen muss vom internen Server ausgehen, die DMZ Teile dürfen nur antworten auf Anfragen aus intern (sogenannte established Regeln).


    So lange Erklärung .... deine intra Zone ist genau diese Verbotszone. Bedeutet, jegliche Applikation dort drin, darf nicht mit Draussen reden.


    2. Lösung: Intra aufbohren in den firewall Regeln.


    Da intra einen Sinn hat (nämlich genau den der supersicheren zone), würde ich Lösung 1 anvisieren, eine 2. Netzkarte für intern dazubauen und forward Regeln bauen falls nötig.

    Viele Grüße,
    T.

    Für den Inhalt des Beitrages 138333 haftet ausdrücklich der jeweilige Autor: Tamerlain

  • Hallo @dagny
    Diese Infos brauchen wir einmal:
    1. NetworManager oder wicked
    2. Soll LAN oder WLAN verwendet werden
    3. Name des Netzwerkes
    Und, falls du den NetworkManager verwendest:

    Code
    nmcli connection show --active

    Für den Inhalt des Beitrages 138336 haftet ausdrücklich der jeweilige Autor: sterun

  • Erstmal danke, da habe ich wohl ein Fass aufgemacht :(


    Zunächst nochmal kurz zum Fehlerbild:

    • ich komme mit beiden Netzwerkkarten ins WWW und die Konfiguration firewall-cmd --list-all-zones ändert sich scheinbar. Jetzt bin ich mit dem interfaces: wlp3s0 in der Zone home (active) und dem interfaces: enp0s25 in der Zone internal (active)
      Weshalb sich die Zonen ändern weiß ich nicht.
    • begonnen hat das Problem scheinbar, als ich dachte, es sei besser die Karte "enp0s25" in die Zone "public" aufzunehmen firewall-cmd --permanent --zone=public --change-interface=enp0s25
    • ich glaube, ab dann hatte ich die beiden Fehlerbilder mit firewall-cmd --reload und beim Starten von Samba aus der grafischen Oberfläche von YaST heraus (siehe oben)
      Habe jetzt herausgefunden, dass sich dieser Fehler nur dann zeigt, wenn im Netzwerkmanager die LAN-Karte eine Verbindung hat, ohne Verbindung der LAN-Karte zeigt sich der Fehler also nicht! Vielleicht hat es mit 2. doch nichts zu tun.
    • auch ein Versuch die Zone wieder mit firewall-cmd --permanent --zone=internal --change-interface=enp0s25 in den Ursprungszustand zu bringen hat an den Fehlern nichts geändert
    • Der SAMBA-Server funktioniert sowohl, wenn nur LAN, nur WLAN oder auch wenn beide Netzwerkkarten eine Verbindung haben.

    Nun zu den gewünschten Posts:


    Hallo @sterun
    erstmal danke und ich ich möchte vorausschicken, das mein angegebener "Wissenstand" auch der ist wie ich in angegeben habe.


    "Du arbeitest also mit LAN - richtig? ..."
    Wenn ich das wüsste, worüber welcher Verkehr geht.
    Oft ist der Laptop in der Dockingstation, dann sind sowohl WLAN als auch LAN an.
    Im mobilen Betrieb läuft er natürlich nur mit WLAN.


    • wie bekomme ich das heraus? Ich hab da seit der Installation nichts verändert. Installiert sind beide.
    • wenn möglich an der Dockingstation beides, ansonsten nur WLAN
    • Meinst Du die SSID für das WLAN?
      Die lautet je nach dem wie der Empfang besser ist entweder "linux24" (Fritzbox 2,4GHz Bereich) bzw. "linux50" (Fritzbox 5GHz Bereich) und liegen beide nicht im Gastnetz.
      Hat das Netzwerk sonst noch einen Namen, wenn ja wo finde ich diesen?


    Code
    nmcli connection show --active
    
    
    NAME                         UUID                                  TYPE      DEVICE  
    Kabelgebundene Verbindung 1  b173e40b-974c-343e-809d-8367beef98d9  ethernet  enp0s25 
    linux24 (repeater)           d75d091a-85cd-426b-8149-b4aa3b94b038  wifi      wlp3s0

    Danke Euch

    "Nicht alles, was man nicht versteht, ergibt keinen Sinn." :/

    Einmal editiert, zuletzt von dagny ()

    Für den Inhalt des Beitrages 138341 haftet ausdrücklich der jeweilige Autor: dagny

  • Poste mal als root:

    Code
    cat /etc/firewalld/zones/public.xml


    Code
    cat /etc/firewalld/zones/internal.xml

    Für den Inhalt des Beitrages 138343 haftet ausdrücklich der jeweilige Autor: Sauerland

  • Hallo Sauerland,


    Code
    # cat /etc/firewalld/zones/public.xml
    
    
    <?xml version="1.0" encoding="utf-8"?>
    <zone>
      <short>Public</short>
      <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
      <service name="dhcpv6-client"/>
    </zone>

    und die aktuelle:

    "Nicht alles, was man nicht versteht, ergibt keinen Sinn." :/

    Für den Inhalt des Beitrages 138344 haftet ausdrücklich der jeweilige Autor: dagny

  • Dort ist keine Netzwerkkarte eingetragen........
    Bei mir:

    Kannst du mit Yast----System-----Firewall------Schnittstellen ändern.


    Poste mal:

    Code
    zypper se -si firewall

    Für den Inhalt des Beitrages 138345 haftet ausdrücklich der jeweilige Autor: Sauerland