[FreeBSD 5.4] Firewall in rc.conf uitzetten geeft problemen - Linux en overige clients

woensdag 16 november 2005 16:46

Acties:

Topicstarter

Beste mensen,

Al enige tijd gebruik ik een TransIP distributie gebaseerd op FreeBSD 5.4. Dit werkt perfect. Nu wil ik meerdere services installeren, zoals Webmin, maar dat vereist een bepaalde poort die ik in de firewall moet open zetten. Ik dacht bij mezelf, ik zet die firewall uit, want ik zit toch achter een router.

Zo gezegd zo gedaan, en heb dus de regel firewall_enable = "YES" op firewall_enable = "NO" gezet.

Daarna heb ik de server gereboot, en na 15 minuten koffie drinken eens kijken of ie weer online was. Dit was niet het geval!

Ik heb van te voren TransIP gemaild, maar zij vertelden dat ze geen support geven, maar "voor deze ene keer een tip geven". Dat was dus van dat enable_firewall verhaal.

Weet iemannd wat er mis is gegaan, en hoe kan ik tóch voor elkaar krijgen dat de firewall niet meer draait onder FreeBSD?

Ik hoop dat jullie mij weer op weg kunnen helpen

woensdag 16 november 2005 18:49

Acties:

Demo

Probleemschietende Tovenaar

Waarom zou je de firewall helemaal uitzetten? Beter kan je gewoon de poorten voor Webmin en de andere services open zetten.. Ik neem aan dat je ipfw gebruikt, daar ken ik de syntax niet precies van maar er zijn meer dan genoeg tutorials over te vinden..

Unix doesn't prevent a user from doing stupid things, because that would necessarily prevent them from doing brilliant things.
while true ; do echo -n "bla" ; sleep 1 ; done

woensdag 16 november 2005 18:59

Acties:

Michael

Ik ben niet bekend met TransIP, maar als de kernel gecompiled is met default deny all of zonder accept default (dunno meer), dan moet je toch echt een firewall draaien om bepaalde traffic door te laten :-)

Je kan dan natuurlijk wel gewoon in de firewall instellen dat ie alles moet doorlaten, maar zoals demoniac al zegt, kan je beter de goede poorten open zetten

donderdag 17 november 2005 16:09

Acties:

WiNlUx

Topicstarter

Ok.

Bepaalde poorten open zetten was al reeds gelukt. Maarrr ik wil bijv. samba draaien. Helaas wordt deze geblokt. Maar hoe zet ik die open??

donderdag 17 november 2005 16:25

Acties:

blaataaps

Je zegt net "bepaalde poorten openzetten is gelukt", wat is dan het probleem van samba? En er mist hier en daar wat informatie. Wat voor soort firewall is het? (ipf? pf? ipfw?) Wat is de huidige ruleset?

donderdag 17 november 2005 16:31

Acties:

WiNlUx

Topicstarter

IPFW. Maar voor Samba moet ik NETBIOS open zetten, en die werkt toch alleen via een protocol, en niet via een poort?

donderdag 17 november 2005 16:32

Acties:

Michael

Ik ga er vanuit dat die ipfw draait, gezien de rc.conf regel.

Maar waarom zet je niet gewoon alle poorten open voor het interne net?

donderdag 17 november 2005 16:34

Acties:

blaataaps

WiNlUx schreef op donderdag 17 november 2005 @ 16:31:
IPFW. Maar voor Samba moet ik NETBIOS open zetten, en die werkt toch alleen via een protocol

Alles werkt via een protocol

en niet via een poort?

smb/netbios werkt al zo'n ruim 10 jaar (windows 95 als ik me niet vergis) prima over IP.

donderdag 17 november 2005 16:38

Acties:

Soultaker

Samba ondersteunt sowieso alleen NetBIOS over TCP/IP dus dat is het enige waar je rekening mee moet houden. Dan moet je, denk ik, drie soorten verkeer toestaan: UDP over poort 137, UDP over poort 138 en TCP over poort 139. De eerste is voor naming (dus daar moeten ook broadcasts over verstuurd en ontvangen kunnen worden ); de andere twee voor data transfer.

Maar dit is uit m'n hoofd, dus als het niet werkt kun je beginnen met die drie poorten eerst helemaal open te zetten.

edit:
Oh ja, ik weet niet wat voor firewall script je nu gebruikt? Als je /etc/rc.firewall hetzelfde is als bij de FreeBSD distributie (eventueel kun je die opnieuw installeren met mergemaster) dan kun je gewoon firewall_type=open in rc.conf zetten om een open firewall te draaien. Dat is in principe equivalent met 'pass all from any to any' in je firewall script zetten.

[ Voor 37% gewijzigd door Soultaker op 17-11-2005 16:42 ]