Smoothwall Rot/Grün und SuSE 7 Web-/FTPServer

[Anonymous]

Hallo,

habe folgendes Problem!

Betreibe Smoothwall und möchte im grünen Netz (hinter Firewall) einen Web und FTP-Server zur Verfügung stellen. Ich habe unter Port-Weiterleitung in der Services von Smoothwall die UDP & TCP 80, 21 und 20 an den SuSE Server (Ziel-IP:"Interne IP") weitergeleitet. Bekomme jetzt vom RED (öffentliches Netz/vor Firewall) leider keine Verbindung hin. Die IPs stimmen und vom grünen ins grüne Netz kann ich an den SuSE 7.0 Server die Dienste nutzen.

Was habe ich vergessen oder falsch gemacht?

Thx
Stephan

 

[Freeman76]

Hi,

also - niemals im grünen Netz. Und nochmal - niemals im grünen Netz.
Dafür wurde extra die DMZ geschaffen 8)

Unter http://www.smoothwall.org/download/pdf/docs/0.9.9/doc.config.screen.de.pdf ist jedoch relativ gut dokumentiert, wie die Einstellung gesetzt werden sollen.

 

[Heiko]

Schau mal Deinen Client an. So, wie das jetzt eingestellt ist, dürfte lediglich aktives FTP funktionieren. Viele Clients sind aber von Haus aus so eingestellt, daß erst mal passives FTP verwendet wird.

 

[Anonymous]

Hi,

kriege immer noch keine HTTP oder FTP hin!

Zum Thema Sicherheit: Wie will sich den jemamd über FTP oder Web Dienst Zugang zum gesamten grünen Netz verschaffen? Es sind doch nur zwei Ports frei und root kann sich unter FTP nicht anmelden und "su" hab ich auch ausgestellt, die Rechte der FTP User sind stark beschnitten und es gibt weder die Möglichkeit eigene PHP Programme hochzuladen oder sonst noch was! Wenn ich SSH oder Telnet frei machen würde, hätte ich auch meine bedenken, aber so?

Zurück zum Thema die TCP/UDP 80 & 21, 20 habe ich nur an die Server-IP weitergeleitet. Aber ich kriege bei aktives FTP (Client: "Pasv" ausgeschaltet!) immer die Fehlermeldung: Socket Error: no connection oder ein "Timeout"! Und beim Webdienst krieg ich die Fehlermeldung "Server nicht gefunden" oder "Timeout"!

Was kann das sein!

Thx
Stephan

 

[Freeman76]

Hi,

Wie will sich den jemamd über FTP oder Web Dienst Zugang zum gesamten grünen Netz verschaffen? Es sind doch nur zwei Ports frei und root kann sich unter FTP nicht anmelden und "su" hab ich auch ausgestellt, die Rechte der

Hier geht's eigentlich darum, dass man mit so einer Konfig das grüne Netz sichtbar macht. Ob es sich nun dabei um eine große Sicherheitslücke oder um Philosophie handelt sei dahingestellt.

Back to the roots:

Also noch mal zum Gegencheck -

- Unter dem Punkt "Fernwartung" wurde der Zugriff auf Port 80 erlaubt
- Unter dem Punkt "Portweiterleitung" wurde die Weiterleitung an IP/Port erlaubt

 

[Anonymous]

Klappt immer noch nicht!

Hi,

habe beides gemacht:

- Unter dem Punkt "Fernwartung" wurde der Zugriff auf UDP/TCP 80 und 21, 20 erlaubt
- Unter dem Punkt "Portweiterleitung" wurde die Weiterleitung an IP/Port erlaubt

aber es funktioniert immer noch nicht. Wie gesagt die Apache Startseite und der FTP sind vom grünen aus ins grüne Netz an den SuSE Server erreichbar!

So ein Scheiß
Stephan

 

[Freeman76]

Hmm, da fällt mir momentan auch nichts mehr ein ausser mal zum Test eine DMZ Weiterleitung einzurichten.

 

[Freeman76]

Noch als Zusatz: Wäre schön, wenn Du eine Lösung gefunden hast, den evtl. Fehler inkl. Workarround hier zu posten. Danke.

 

[Heiko]

Wir kämpfen noch...

*schluchz*

 

[Anonymous]

Na toll ... (Upps...!)

Ok ok ...

habe nach Stundenlanger Rumbastelei aufgegeben. Es war nicht möglich von außen auf den Web oder FTP im grünen Netz zuzugreifen!

In meiner letzten Verzweiflung habe ich nun, wie mir alle empfohlen (und ich eigentlich auch verstehe), eine dritte Netzwerkkarte in die Smoothwall eingebaut und eine DMZ eingerichtet. Und welch Überschaung: "DER FEHLER MUSS WO ANDERS LIEGEN!" ... <schluchz> ...

Muss ich eventuell noch igrend eine Einstellung an dem SuSE Server vornehmen, dass er irgendwie mit dem "Web-/FTP-Dienst listen to Firewall:80 & 21" hat oder so?

--------------------------------------
Mein Grün ist nun 192.168.115.0
Mein Orange ist 192.168.114.0

Firewall Orange 192.168.114.100
Firewall Green 192.168.115.1

SuSE Orange 192.168.114.1

Clients Grün 192.168.115.2-254
--------------------------------------
Nun sind die Profis gefragt!

Thx
Der "verzweifelte" Stephan! :roll:

 

[Freeman76]

Hi Stephan,

also, wie immer, Gegencheck der Konfig:


Services/Fernwartungszugang

Hinzufügen von folgendem Eintrag:

TCP
* oder nichts Eintragen, damit jeder Zugriff auf den Webserver hat
Port 80
Aktiviert anhaken

Speichern

Karteireiter "Port Weiterleitung"

Hinzufügen des Eintrags:

TCP, Quell-Port=80, 192.168.114.1, Ziel-Port=80
Aktivieren anhaken

Hinzufügen drücken.

Von aussen nun noch mal probieren, ob der Webserver geht.

 

[Anonymous]

Check!

Habe alles genau so gemacht!

Wird aber immer noch nicht weitergeleitet!

Versuch mal:

http://erreichbarunter.homeip.net

Fällt Dir noch was ein? Vielleicht Smoothie neuinstallieren ?
Bist Du sicher das ich am Apache und ProFTP keine Einstellungen machen muss?

Bis denn,
Wünsche Frohe Ostern und Danke

Stephan

 

[Heiko]

Ich bin der festen Überzeugung, daß sich Fernwartungszugang auf Port 80 und Weiterleitung des Port 80 beißen.
Entweder ich lasse den Zugriff auf den Rechner zu oder ich leite den Port weiter. Beides gleichzeitig klingt für mich nicht logisch.

 

[Freeman76]

Hi,

also, ich betreibe hier immer wieder mal als Test einen Webserver inkl. FTP und Mail in einer DMZ. Als Webserver jedoch den IIS5 inkl. FTP und als Mailserver Exchange oder Tobit. Wenn der Webserver vom grünen Netz aus zu erreichen ist, liegts IMHO nicht an der Installation der Server sondern an der FW. Ich verwende hier jedoch nicht mehr Smoothwall sondern IPCOP (www.ipcop.org) als Testfirewall, grundsätzlich unterscheiden sich die beiden jedoch nicht.

In der Anleitung von Smoothwall steht die von mir o.g. Konfig, in der FAQ von IPCop ebenso. In meiner persönlichen Doku habe ich auch nichts gegenteiliges mehr vermerkt. Ich gehe also eigentlich davon aus dass dies stimmen sollte. Aber einen Versuch wäre es ja wert

Jedoch ist es IMHO schon logisch, den grundsätzlich ist der Port 80 durch das Ruleset geschlossen. Alleine durch die Weiterleitung des Ports wird nur eine zusätzliche Regelung getroffen, welche besagt, dass wenn an Port 80 etwas reinkommt dies an Port 80 bei IP xxx weiterzuleiten ist. Erst die Öffnung des Ports, also durch den meines erachtens falschen Begriff "Fernzugriff" wird der Port geöffnet und es gilt die vorher erstellte Regel.

 

[Heiko]

Ich habs bei mir folgendermaßen:
Smoothie - 192.168.1.x
Weiterleitung von Port 8081 auf Port 8081 des 192.168.1.13. Dort läuft ein Webserver auf Port 8081
Fernwartungszugang ist deaktiviert.
Das funktioniert wunderprächtig.

Streng genommen versteh ich nicht, warums hier nicht geht.

Allerdings führt uns die Sache auch die durchaus begrenzten Möglichkeiten der Ferndiagnose vor Augen.

 

[Stephan]

Ich kann nicht mehr ....

Hi,
hoffe, Ihr hattet schöne Feiertage .

Zu eurer Diskussion "Fernwartung ja oder nein":
Es ist egal, denn es klappt mit beiden nicht .

Der Webserver ist richtig eingestellt und vollkommen einwandfrei aus dem internen Netz erreichbar. Nach den unzähligen Versuchen habe ich mittels Portscan festgestellt, dass weder Port 20, 21 oder 80 an Smoothie frei sind (Freie Ports waren: 53,81 und 110). Greife ich nun mittels Browser über meinen DynDNS Dienst auf den Webdienst zu (80), kommt nach einiger Zeit ein Timeout. Greife ich mit PASV FTP auf die DynDNS, sagt mir LeechFTP: "Socket-Error".

Also ich bin mit meinem Latein am Ende. Stellt Fragen, vielleicht habe ich ja irgend was blödes übersehn!

Thx
Stephan

P.S.: Die ganze Sache hat auch was gutes, wenn ich damit fertig bin, kann ich meinen Doc. in Linux ablegen. PNP Karten konfiguriert, IPCHAINS, SQUID, PortMapper, SuSE, Mandrake, FreeBSD, e-Smith, Smoothie, inetd, Users, Groups, logs, Vars, GCC, man-pages, --help ... boah mir raucht die Birne!

 

[Freeman76]

Hi,

tja, da bin ich ebenfalls mit meinem Latein am Ende. Dafür habe ich eine Frage an Dich

Wie funkt das mit der dynamischen IP? Dafür ist doch eine Clientsoftware notwendig, welche sich nach jeder Einwahl registriert und die aktuelle IP mitteilt, oder?

Wo ich jetzt Deinen Beitrag lese: PortScan auf SW ergibt freien Port 81? Aber nicht von aussen, oder? Der Scan dürfte von innen auch kein Ergebnis auf die DMZ ergeben, weil SW dies blockt, ausser es ist eine DMZ-Pinhole gesetzt.... Irgendwie verstehe ich gar nichts mehr

 

[Heiko]

Auf gut fränkisch:
Da läuft a Rädla im Dreck!

Bei mir funktioniert die gleiche Konfiguration wunderbar.

 

[Stephan]

Dynamic DNS!

Hi

Wie funkt das mit der dynamischen IP? Dafür ist doch eine Clientsoftware notwendig, welche sich nach jeder Einwahl registriert und die aktuelle IP mitteilt, oder?

Also Du nutzt ja IPCop, oder? Bei der Smoothie 0.9.9 GPL ist jedenfalls unter dem Punkt Services die Möglichkeit "Dynamischer DNS" Dienste und Accounts, die man vorher auf den Seiten der Anbietern registriert haben muss, anzugeben. Bei jeder neuen IP-Vergabe (z.B. Einwahl) übermittelt Smoothie die IP an den Dienst.
Unterstützte Dienste sind:

• 
  www.dhs.org
  www.dyndns.org
  www.dyns.cx
  www.hn.org
  www.no-ip.com

Die Alternative ist auf einem Client im Netzwerk einen Dienst zu installieren, der über einen Port >1024 die IP dem Dienst mitteilt z.B.

• www.dns2go.de

PortScan auf SW ergibt freien Port 81? Aber nicht von aussen, oder? Der Scan dürfte von innen auch kein Ergebnis auf die DMZ ergeben, weil SW dies blockt, ausser es ist eine DMZ-Pinhole gesetzt....

Also den Portscan habe ich von innen auf die öffentliche IP der Smoothie gemacht! Und es sind keine Pinholes gesetzt!

Was wäre jetzt mein nächster Schritt? :cry:

Grüße
Stephan

 

[Freeman76]

Hi,

unter dem Punkt Services die Möglichkeit "Dynamischer DNS" Dienste und Accounts

Stimmt, an den Punkt habe ich gar nicht mehr gedacht

Was wäre jetzt mein nächster Schritt?

Läuft auf Deiner SW der Proxy? Wenn ja, diesen mal deaktivieren und noch mal probieren.