Hallo Sauerland,
firewall von suse war und ist nicht installiert.
sudo zypper se firewall
Repository-Daten werden geladen...
Installierte Pakete werden gelesen...
S | Name | Zusammenfassung | Typ
---+----------------------------+---------------------------------------------------------------------+------
| SuSEfirewall2 | Stateful Packet Filter Using iptables and netfilter | Paket
| SuSEfirewall2-fail2ban | Files for integrating fail2ban into SuSEfirewall2 via systemd | Paket
| firewall-applet | Firewall panel applet | Paket
| firewall-config | Firewall configuration application | Paket
i | firewall-macros | FirewallD RPM macros | Paket
i+ | firewalld | A firewall daemon with D-Bus interface providing a dynamic firewall | Paket
i | firewalld-lang | Translations for package firewalld | Paket
| firewalld-rpcbind-helper | Tool for static port assignment of NFSv3, ypserv, ypbind services | Paket
i | python3-firewall | Python3 bindings for FirewallD | Paket
| susefirewall2-to-firewalld | Basic SuSEfirewall2 to FirewallD migration script | Paket
i | yast2-firewall | YaST2 - Firewall-Konfiguration | Paket
Ich schalte die firewall aus mit:
sudo rcfirewalld stop
und lasse tail auf einer console mitlaufen:
sudo tail -f /var/log/firewalld /var/log/firewall
tail zeigt - wie zu erwarten war - nichts an!
Ich sehe jetzt in dolphin drei Domäne/Arbeitsgruppen!:
Eine Linuxsamba Arbeitsgruppe die betreten werden kann und alle Gruppenmitgliedercomputer sind sichtbar, Linuxserverfreigaben sind sichtbar!
Verzeichnisgrößen sind unbekannt, aber die Rechte, der Benutzer und die Gruppe stimmen!
Eine Windowsdomäne die nicht betreten werden kann, Fehlermeldung:
Interner Fehler
Bitte senden Sie einen ausführlichen Problembericht an http://bugs.kde.org
libsmbclient meldet einen Fehler ohne klare Zuordnung. Es könnte ein Netzwerkproblem vorliegen oder auch eines mit dem Client-Programm selbst.
Wenn Sie uns bei der Fehleranalyse helfen möchten, erstellen Sie bitte einen tcpdump der Netzwerk-Schnittstelle, während Sie eine Verbindung aufzunehmen versuchen. (Beachten Sie jedoch, dass die Daten private Informationen enthalten könnten. Sie sollten sie also nicht öffentlich machen, sondern nur auf Anfrage an die Entwickler schicken.)
Eine Arbeitsgruppe Workgroup bei der es sich um dieses Notebook handelt. Auch diese Arbeitsgruppe kann nicht geöffnet werden.
Arbeitsgruppe workgroup ist so orginal wie von Leap 15.1 so installiert und gestartet.
Ich habe die firewall wieder gestartet und dolphin neu aufgerufen und jetzt sehe ich auf einmal in dolphin => Netzwerk => Freigegebene Ordner (SMB), doppeltgeklickt,
die Freigaben des Windowsserver (Server 2012r2) - allerdings keine Domänemitglieder. Verzeichnisgrößen sind unbekannt, aber die Rechte, der Benutzer und die Gruppe
stimmen!
In dolphin wird die Hierachie nur für die Windowsdomän nicht richtig angezeigt - alles in einem Ordner!
Biher war es doch so:
Arbeitsgruppen/Domänes => Mitgliederrechner/Server => Freigaben/Drucker
Ein ‘sudo dmesg’ liefert:
[22113.598370] Ebtables v2.0 unregistered
[22815.237399] CE: hpet increased min_delta_ns to 20115 nsec
[23446.804303] ip_tables: (C) 2000-2006 Netfilter Core Team
[23446.826545] ip6_tables: (C) 2000-2006 Netfilter Core Team
[23446.853828] Ebtables v2.0 registered
[23446.963144] nf_conntrack version 0.5.0 (16384 buckets, 65536 max)
[23451.551876] FINAL_REJECT: IN=wlan0 OUT= MAC=00:23:4d:d4:9d:35:00:gekürzt SRC=192.168.xxx.15 DST=192.168.xxx.211 LEN=52 TOS=0x02 PREC=0x00 TTL=128 ID=10942 DF PROTO=TCP SPT=64698 DPT=10268 WINDOW=8192 RES=0x00 CWR ECE SYN URGP=0
[23453.276574] nf_conntrack: default automatic helper assignment has been turned off for security reasons and CT-based firewall rule not found. Use the iptables CT target to attach helpers instead.
[23453.278790] FINAL_REJECT: IN=wlan0 OUT= MAC=00:23:4d:d4:9d:35:00:gekürzt SRC=192.168.xxx.15 DST=192.168.xxx.211 LEN=90 TOS=0x00 PREC=0x00 TTL=128 ID=10944 PROTO=UDP SPT=137 DPT=43743 LEN=70
[23453.279092] FINAL_REJECT: IN=wlan0 OUT= MAC=00:23:4d:d4:9d:35:00:gekürzt SRC=192.168.xxx.15 DST=192.168.xxx.211 LEN=90 TOS=0x00 PREC=0x00 TTL=128 ID=10943 PROTO=UDP SPT=137 DPT=43743 LEN=70
[23453.279412] FINAL_REJECT: IN=wlan0 OUT= MAC=00:23:4d:d4:9d:35:00:gekürzt SRC=192.168.xxx.10 DST=192.168.xxx.211 LEN=90 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=137 DPT=43743 LEN=70
[23454.524394] FINAL_REJECT: IN=wlan0 OUT= MAC=00:23:4d:d4:9d:35:00:gekürzt SRC=192.168.xxx.15 DST=192.168.xxx.211 LEN=52 TOS=0x02 PREC=0x00 TTL=128 ID=10945 DF PROTO=TCP SPT=64698 DPT=10268 WINDOW=8192 RES=0x00 CWR ECE SYN URGP=0
Firewall blockt, helper wurde ausgestellt und es wurde keine firewall-Regel gefunden!
Nachdem ich dolphin wieder neu gestartet habe ist alles wieder beim alten - “…kann durch eine aktive firewall verhindert …”
Jetzt komme ich gar nicht mehr in die Windowsdomän - verhalten nicht reproduzierbar!
Über die Adressleiste mit ‘smb://192.168.xxx.15/meinereiner/’ bin ich jetzt auf dem Windowsserver!
Der Befehl netstat -tulpen liefert folgendes:
sudo netstat -tulpen
[sudo] Passwort für root:
sudo: netstat: Befehl nicht gefunden
yast/software sagt auch: netstat nicht gefunden - für Leap 15.1 braucht man also auch kein Netzwerkanalysewerkzeug mehr!
Was ist denn die Alternative/Ersatz dazu? - hättest Du es nicht erwähnt, würde ich mich wieder totsuchen!
netstat wird wohl in ‘net-tools-deprecated’ stecken!, warum ist netstat überholt?
sudo netstat -tulpen
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address Foreign Address State Benutzer Inode PID/Program name
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 0 22532 1095/cupsd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 0 27575 1826/master
tcp6 0 0 :::1716 :::* LISTEN 1000 29279 1942/kdeconnectd
tcp6 0 0 ::1:631 :::* LISTEN 0 22531 1095/cupsd
tcp6 0 0 ::1:25 :::* LISTEN 0 27576 1826/master
udp 0 0 0.0.0.0:631 0.0.0.0:* 0 20445 1214/cups-browsed
udp 0 0 0.0.0.0:5353 0.0.0.0:* 468 20283 1088/avahi-daemon:
udp 0 0 0.0.0.0:68 0.0.0.0:* 0 29343 2088/dhclient
udp 0 0 0.0.0.0:45293 0.0.0.0:* 468 20285 1088/avahi-daemon:
udp6 0 0 :::33697 :::* 468 20286 1088/avahi-daemon:
udp6 0 0 :::5353 :::* 468 20284 1088/avahi-daemon:
udp6 0 0 :::1716 :::* 1000 29278 1942/kdeconnectd
Obwohl ich in dolphin smb://windowsserver/freigabe eine Datei geöffnet hatte sehe ich hier keine Verbindung!
firewall ist an - das ganze noch mal mit firewall aus!
Dolphin neu aufrufen - der übliche Fehler-
In der Andressleite eingeben:
smb://windowsdomäne/ - funktioniert nicht!
smb://sambadomäne/ - funktioniert mit server, Mitgliedcomputer und Druckerfreigaben
smb://windowsserver/ - funktioniert, freigaben sichtbar, keine drucker
smb://sambaserver/ - funktioniert alles!
Mit dolphin eine Datei geöffnet (Freigaben auf dem Windowsserver auf einmal wieder da - firewall noch immer aus).
sudo netstat -tulpen
[sudo] Passwort für root:
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address Foreign Address State Benutzer Inode PID/Program name
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 0 22532 1095/cupsd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 0 27575 1826/master
tcp6 0 0 :::1716 :::* LISTEN 1000 29279 1942/kdeconnectd
tcp6 0 0 ::1:631 :::* LISTEN 0 22531 1095/cupsd
tcp6 0 0 ::1:25 :::* LISTEN 0 27576 1826/master
udp 0 0 0.0.0.0:631 0.0.0.0:* 0 20445 1214/cups-browsed
udp 0 0 0.0.0.0:5353 0.0.0.0:* 468 20283 1088/avahi-daemon:
udp 0 0 0.0.0.0:68 0.0.0.0:* 0 29343 2088/dhclient
udp 0 0 0.0.0.0:45293 0.0.0.0:* 468 20285 1088/avahi-daemon:
udp6 0 0 :::33697 :::* 468 20286 1088/avahi-daemon:
udp6 0 0 :::5353 :::* 468 20284 1088/avahi-daemon:
udp6 0 0 :::1716 :::* 1000 29278 1942/kdeconnectd
Ich möchte hier jetzt auch nicht zwei Probleme miteinander vermischen.
Zu der Handhabung mit Windowsfreigaben läuft im Forum ja auch einiges, ich komme noch darauf zurück!.
Es geht jetzt erst einmal um das wichtigste überhaupt - das verläßliche und sichere funktionieren der firewall
in Kombination mit dem nm-Applet unten in der Kontrollleiste!
Alle Windowsrechner mit den BS W7, W8.1 und W10 sehen ohne Problem die Windows- und die Samba-Domäne.
Ubuntu 16.04.6 LTS gilt das gleiche auch!
Mit Ubuntu 18.04.? LTS gibt es die gleichen Problem bei der Handhabung von Windowsfreigaben.
Hallo Sauerland - ich bin geschockt!
Ich habe sshd auf diesen Rechner gestartet und auf einer anderen Maschine mit nmap diesen Rechner
über das Netzwerk prüfen lassen - Ergebnis: ssh-Port ist offen, und das hatte ich jetzt nicht erwartet!
Ich wollte die Zone ‘work’ über yast => firewall so ändern, dass nichts mehr erlaubt ist!
Und bekomme jede Menge Fehlermeldungen aller firewall-Dienste in der Art:
Fehler beim Ausführen des Befehls ""firewall-offline-cmd", "--zone=work", "--remove-service-from-zone=kadmin"]]".
Abbruch-Code: 2
Fehlerausgabe: INVALID_INTERFACE
Meine work.xml sieht jetzt so aus:
sudo cat /etc/firewalld/zones/work.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Work</short>
<description>For use in work areas. You mostly trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
<interface name=""/>
</zone>
####################################################################################
Ich habe den Fehler gefunden!!!
Yast/firewall schreibt das interface (wlan0) NICHT in die work.xml Datei!!!
Warum das so ist, weiß ich nicht!!!1
Meine workwlan.xml sieht jetzt so aus:
sudo cat /etc/firewalld/zones/workwlan.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Work</short>
<description>For use in work areas. You mostly trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
<interface name="wlan0"/>
</zone>
Meine /etc/firewalld/firewalld.conf enthält jetzt:
DefaultZone=workwlan
LogDenied=all
Im nm-Applet im Register ‘Allgemeine Einstellungen’ die Firewall-Zone für wlan0 auf ‘workwlan’ gesetzt!
Ein sudo dmesg ergibt jetzt:
[37405.791443] Ebtables v2.0 unregistered
[37406.775021] ip_tables: (C) 2000-2006 Netfilter Core Team
[37406.796781] ip6_tables: (C) 2000-2006 Netfilter Core Team
[37406.822694] Ebtables v2.0 registered
[37406.971270] nf_conntrack version 0.5.0 (16384 buckets, 65536 max)
Ein tail -f /var/log/firewall /var/log/firewalld ergibt jetzt kein ‘INVALID_INTERFACE’ mehr!
Freigaben oder sperren der Ports funktioniert jetzt auch!
Damit yast/firewall das interface korrekt in die xml-Datei schreibt, sind da noch andere Paket für nötig wie z.B.:
firewall-applet
firewall-config
firewall-macros ?