Re: Firewall dropt meinen Broadcast

From: Christoph Sandhaus <stift@draupadi.de>
Date: Wed May 11 2005 - 17:03:56 CEST

Hallo Christian,

> > Der Port ist brav in /etc/services eingetragen und in der FW Config als
> > UDP Port freigeschaltet. Dennoch dropt die FW das Paket:
> > "/var/log/messages":
> > SFW2-DROP-BCASTe IN=eth0 OUT=
> > MAC=ff:ff:ff:ff:ff:ff:00:09:5b:84:XX:XX:XX:XX SRC=192.XX.XX.XX
> > DST=192.XX.XX.XX LEN=79 TOS=0x00 PREC=0x00 TTL=64 ID=11236 DF PROTO=UDP
> > SPT=1024 DPT=9897 LEN=59
>
> Hier fällt mir nur auf, das Sourceport und Destinationport
> unterschiedlich sind.

Ist das Einzige, was mir auch aufgefallen ist. Aber nach meinem Wissen über
TCP: ist das nicht völlig normal?

Hm, hab grade in der Doku gefunden, daß man auch den SCP Port angeben kann:

$sock = IO::Socket::INET->new(PeerPort => 9897,
                                 PeerAddr => '192.XX.XX.XX',
                                Proto => 'udp',
                                LocalAddr => '192.XX.XX.XX',
                                LocalPort => 9897,
                                Broadcast => 1 )
  or die "Can't bind : $@\n";

Wars leider nicht:
SFW2-DROP-BCASTe IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:09:5b:84:XX:XX:XX:XX
SRC=192.XX.XX.XX DST=192.XX.XX.XX LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=1029 DF
PROTO=UDP SPT=9897 DPT=9897 LEN=58

> > Hier der Eintrag in der FW Conf:
> > ## Type: string
> > #
> > # Which UDP services _on the firewall_ should be accessible from
> > # untrusted networks?
>
> Ist dein internes Netz ein "untrusted network" im Sinne der
> Firewallconfiguration? Normalerweise ist es bei mir immer ein
> "trusted", das hängt aber davon ab, welche Voreinstellungen gemacht
> worden sind.

Ja und nöö: ich hänge mit'm WLAN Router (NAT) im INet. Mein
Arbeitsplatzrechner (AR) und der Server hängen dadurch zwar in einem privaten
- somit trusted - Netz, aber da über dieses auch der Zugang ins INet läuft,
ist mein AR paranoiagemäß auch durch ne FW geschützt uns somit ist das lokale
Netz für ihn quasi das untrusted Netz.

> > # see comments for FW_SERVICES_EXT_TCP
> > #
> > # Example: "53"
> > #
> > FW_SERVICES_EXT_UDP="cscallerview ipp"
>
> Hast du hier schon einmal die udp-Portnummer probiert einzutragen, so
> wie du ihn in /etc/services festgelegt hast?

War der erste Versuch. Erst, nachdem das nicht funktioniert hat, habe ich den
symbolischen Namen verwendet.

Schade, hat das Problem leider noch nicht behoben, aber nen Versuch wars
Wert!!

Vielen Dank und viele Grüße,
Christoph
Received on Wed, 11 May 2005 17:03:56 +0200

This archive was generated by hypermail 2.1.8 : Wed May 11 2005 - 17:04:29 CEST