Firwall und Netzwerkmanager

Hallo Liste,

mein erster Kontakt mit Leap 15.1.
Frisch von DVD mit der Standartoberfläche KDE installiert auf ein Notebook DELL 1510 mit WLAN-Chip Broadcom BCM4312!
http://opensuse-guide.org/wlan.php konnte mir bei dem WLAN helfen!
Nicht mit wicked als Netzwerkmanagment, sondern dem NM-Applet

Sobald ich in dolphin auf “Netzwerk” => “Freigegebene Ordner (SMB)” klicke, bekomme ich nach dem suchen eine Meldung eingeblendet!

Es ist keine Arbeitsgruppe im lokalen Netzwerk auffindbar. Dies könnte durch eine aktivierte Firewall verursacht werden.

Im Netzwerkmanager ist die Netzwerk- (eth0) und die WLAN-Verbindung (wlan0) eingerichtet!
In den jeweiligen Reitern “Allgemeine Einstellungen” sind als Firewall-Zone “work” mit der Priorität “0” eingestellt!

In yast => firewall => Schnittstellen steht nur ein Gerät=“wlan0”, Zone=“work”, Name=“Unbekannt” drin.
Es fehlt die Schnittstelle als Gerät=“eth0”, Zone=“work”, Name=Unbekannt" (Ist zur Zeit aber nicht aktiv)!

Die Zone “work” habe ich dann im Register Dienste so angepasst, dass alle möglichen Dienste “erlaubt” sind!
Zusätzlich habe ich dann auch irgend wann - nachdem es auch nicht funktionierte - im Register Ports 0-1023 in TCP-, UDP, SCTP- und
DCCP-Port hinzugefügt!

Die Datei /etc/firewalld/firewalld.conf habe ich angepasst in den Optionen:
DefaultZone=work
LogDenied=all

Ich starte die firewall neu mit ‘sudo rcfirewalld’ und lasse ein 'sudo tail -f /var/log/firewall /var/log/firewalld* mitlaufen!
Dann rufe ich in dolphin das Netzwerk nochmal auf.

Auszug /var/log/firewall:

2019-07-25T17:13:24.340535+02:00 Rechner kernel: [30416.094753] FINAL_REJECT: IN=wlan0 OUT= MAC=00:23:4d:d4:9d:35:00:gekürzt SRC=192.168.xxx.10 DST=192.168.xxx.211 LEN=90 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=137 DPT=37078 LEN=70 
2019-07-25T17:13:24.356630+02:00 Rechner kernel: [30416.109003] FINAL_REJECT: IN=wlan0 OUT= MAC=00:23:4d:d4:9d:35:00:gekürzt SRC=192.168.xxx.15 DST=192.168.xxx.211 LEN=90 TOS=0x00 PREC=0x00 TTL=128 ID=30010 PROTO=UDP SPT=137 DPT=37078 LEN=70 
2019-07-25T17:14:00.764476+02:00 Rechner kernel: [30452.517264] FINAL_REJECT: IN=wlan0 OUT= MAC=00:23:4d:d4:9d:35:00:gekürzt SRC=192.168.xxx.15 DST=192.168.xxx.211 LEN=52 TOS=0x02 PREC=0x00 TTL=128 ID=30012 DF PROTO=TCP SPT=55761 DPT=10268 WINDOW=8192 RES=0x00 CWR ECE SYN URGP=0 
2019-07-25T17:14:03.760008+02:00 Rechner kernel: [30455.515479] FINAL_REJECT: IN=wlan0 OUT= MAC=00:23:4d:d4:9d:35:00:gekürzt SRC=192.168.xxx.15 DST=192.168.xxx.211 LEN=52 TOS=0x02 PREC=0x00 TTL=128 ID=30013 DF PROTO=TCP SPT=55761 DPT=10268 WINDOW=8192 RES=0x00 CWR ECE SYN URGP=0

Auszug /var/log/firewalld:

2019-07-25 17:12:15 WARNING: work: INVALID_INTERFACE

Warum SPT=137 ist - weiß ich jetzt nicht! Sollte doch SPT=139 sein!
Aber ‘FINAL_REJECT:’ sagt mir die Verbindung wird geblockt!

Zwei Fragen dazu:
Werden die Dienst der firewall aus /etc/sysconfig/SuSEfirewall2.d/services oder aus /etc/services ausgelesen?
Wo muss ich wie an welcher Datei schrauben, damit die Kommunikation zwischen nm und firewall funktioniert und auch die firewall funktioniert?

Andy

/etc/sysconfig/SuSEfirewall2.d/services

SuSEfirewall2 sollte nicht mehr benutzt werden, Standard ist firewalld.

Schalte mal die Firewall aus, geht es dann?

Du kannst auch mal schauen, ob es eine Verbindung zu deinen Samba Shares gibt:

netstat -tulpen

Programm ist im Paket net-tools-deprecated, evtl. mal nachinstallieren.

Hallo Sauerland,

firewall von suse war und ist nicht installiert.

sudo zypper se firewall
Repository-Daten werden geladen...
Installierte Pakete werden gelesen...

S  | Name                       | Zusammenfassung                                                     | Typ  
---+----------------------------+---------------------------------------------------------------------+------
   | SuSEfirewall2              | Stateful Packet Filter Using iptables and netfilter                 | Paket
   | SuSEfirewall2-fail2ban     | Files for integrating fail2ban into SuSEfirewall2 via systemd       | Paket
   | firewall-applet            | Firewall panel applet                                               | Paket
   | firewall-config            | Firewall configuration application                                  | Paket
i  | firewall-macros            | FirewallD RPM macros                                                | Paket
i+ | firewalld                  | A firewall daemon with D-Bus interface providing a dynamic firewall | Paket
i  | firewalld-lang             | Translations for package firewalld                                  | Paket
   | firewalld-rpcbind-helper   | Tool for static port assignment of NFSv3, ypserv, ypbind services   | Paket
i  | python3-firewall           | Python3 bindings for FirewallD                                      | Paket
   | susefirewall2-to-firewalld | Basic SuSEfirewall2 to FirewallD migration script                   | Paket
i  | yast2-firewall             | YaST2 - Firewall-Konfiguration                                      | Paket

Ich schalte die firewall aus mit:

sudo rcfirewalld stop

und lasse tail auf einer console mitlaufen:

sudo tail -f /var/log/firewalld /var/log/firewall

tail zeigt - wie zu erwarten war - nichts an!
Ich sehe jetzt in dolphin drei Domäne/Arbeitsgruppen!:

Eine Linuxsamba Arbeitsgruppe die betreten werden kann und alle Gruppenmitgliedercomputer sind sichtbar, Linuxserverfreigaben sind sichtbar!
Verzeichnisgrößen sind unbekannt, aber die Rechte, der Benutzer und die Gruppe stimmen!
Eine Windowsdomäne die nicht betreten werden kann, Fehlermeldung:

Interner Fehler
 Bitte senden Sie einen ausführlichen Problembericht an http://bugs.kde.org
 libsmbclient meldet einen Fehler ohne klare Zuordnung. Es könnte ein Netzwerkproblem vorliegen oder auch eines mit dem Client-Programm selbst.
 Wenn Sie uns bei der Fehleranalyse helfen möchten, erstellen Sie bitte einen tcpdump der Netzwerk-Schnittstelle, während Sie eine Verbindung aufzunehmen versuchen. (Beachten Sie jedoch, dass die Daten private Informationen enthalten könnten. Sie sollten sie also nicht öffentlich machen, sondern nur auf Anfrage an die Entwickler schicken.)


Eine Arbeitsgruppe Workgroup bei der es sich um dieses Notebook handelt. Auch diese Arbeitsgruppe kann nicht geöffnet werden.
Arbeitsgruppe workgroup ist so orginal wie von Leap 15.1 so installiert und gestartet.

Ich habe die firewall wieder gestartet und dolphin neu aufgerufen und jetzt sehe ich auf einmal in dolphin => Netzwerk => Freigegebene Ordner (SMB), doppeltgeklickt,
die Freigaben des Windowsserver (Server 2012r2) - allerdings keine Domänemitglieder. Verzeichnisgrößen sind unbekannt, aber die Rechte, der Benutzer und die Gruppe
stimmen!

In dolphin wird die Hierachie nur für die Windowsdomän nicht richtig angezeigt - alles in einem Ordner!
Biher war es doch so:
Arbeitsgruppen/Domänes => Mitgliederrechner/Server => Freigaben/Drucker

Ein ‘sudo dmesg’ liefert:

[22113.598370] Ebtables v2.0 unregistered
[22815.237399] CE: hpet increased min_delta_ns to 20115 nsec
[23446.804303] ip_tables: (C) 2000-2006 Netfilter Core Team
[23446.826545] ip6_tables: (C) 2000-2006 Netfilter Core Team
[23446.853828] Ebtables v2.0 registered
[23446.963144] nf_conntrack version 0.5.0 (16384 buckets, 65536 max)
[23451.551876] FINAL_REJECT: IN=wlan0 OUT= MAC=00:23:4d:d4:9d:35:00:gekürzt SRC=192.168.xxx.15 DST=192.168.xxx.211 LEN=52 TOS=0x02 PREC=0x00 TTL=128 ID=10942 DF PROTO=TCP SPT=64698 DPT=10268 WINDOW=8192 RES=0x00 CWR ECE SYN URGP=0 
[23453.276574] nf_conntrack: default automatic helper assignment has been turned off for security reasons and CT-based  firewall rule not found. Use the iptables CT target to attach helpers instead.
[23453.278790] FINAL_REJECT: IN=wlan0 OUT= MAC=00:23:4d:d4:9d:35:00:gekürzt SRC=192.168.xxx.15 DST=192.168.xxx.211 LEN=90 TOS=0x00 PREC=0x00 TTL=128 ID=10944 PROTO=UDP SPT=137 DPT=43743 LEN=70 
[23453.279092] FINAL_REJECT: IN=wlan0 OUT= MAC=00:23:4d:d4:9d:35:00:gekürzt SRC=192.168.xxx.15 DST=192.168.xxx.211 LEN=90 TOS=0x00 PREC=0x00 TTL=128 ID=10943 PROTO=UDP SPT=137 DPT=43743 LEN=70 
[23453.279412] FINAL_REJECT: IN=wlan0 OUT= MAC=00:23:4d:d4:9d:35:00:gekürzt SRC=192.168.xxx.10 DST=192.168.xxx.211 LEN=90 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=137 DPT=43743 LEN=70 
[23454.524394] FINAL_REJECT: IN=wlan0 OUT= MAC=00:23:4d:d4:9d:35:00:gekürzt SRC=192.168.xxx.15 DST=192.168.xxx.211 LEN=52 TOS=0x02 PREC=0x00 TTL=128 ID=10945 DF PROTO=TCP SPT=64698 DPT=10268 WINDOW=8192 RES=0x00 CWR ECE SYN URGP=0

Firewall blockt, helper wurde ausgestellt und es wurde keine firewall-Regel gefunden!

Nachdem ich dolphin wieder neu gestartet habe ist alles wieder beim alten - “…kann durch eine aktive firewall verhindert …”

Jetzt komme ich gar nicht mehr in die Windowsdomän - verhalten nicht reproduzierbar!

Über die Adressleiste mit ‘smb://192.168.xxx.15/meinereiner/’ bin ich jetzt auf dem Windowsserver!
Der Befehl netstat -tulpen liefert folgendes:

sudo netstat -tulpen
[sudo] Passwort für root: 
sudo: netstat: Befehl nicht gefunden

yast/software sagt auch: netstat nicht gefunden - für Leap 15.1 braucht man also auch kein Netzwerkanalysewerkzeug mehr!
Was ist denn die Alternative/Ersatz dazu? - hättest Du es nicht erwähnt, würde ich mich wieder totsuchen!

netstat wird wohl in ‘net-tools-deprecated’ stecken!, warum ist netstat überholt?

sudo netstat -tulpen
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       Benutzer   Inode      PID/Program name    
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      0          22532      1095/cupsd          
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      0          27575      1826/master         
tcp6       0      0 :::1716                 :::*                    LISTEN      1000       29279      1942/kdeconnectd    
tcp6       0      0 ::1:631                 :::*                    LISTEN      0          22531      1095/cupsd          
tcp6       0      0 ::1:25                  :::*                    LISTEN      0          27576      1826/master         
udp        0      0 0.0.0.0:631             0.0.0.0:*                           0          20445      1214/cups-browsed   
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           468        20283      1088/avahi-daemon:  
udp        0      0 0.0.0.0:68              0.0.0.0:*                           0          29343      2088/dhclient       
udp        0      0 0.0.0.0:45293           0.0.0.0:*                           468        20285      1088/avahi-daemon:  
udp6       0      0 :::33697                :::*                                468        20286      1088/avahi-daemon:  
udp6       0      0 :::5353                 :::*                                468        20284      1088/avahi-daemon:  
udp6       0      0 :::1716                 :::*                                1000       29278      1942/kdeconnectd

Obwohl ich in dolphin smb://windowsserver/freigabe eine Datei geöffnet hatte sehe ich hier keine Verbindung!
firewall ist an - das ganze noch mal mit firewall aus!
Dolphin neu aufrufen - der übliche Fehler-

In der Andressleite eingeben:
smb://windowsdomäne/ - funktioniert nicht!
smb://sambadomäne/ - funktioniert mit server, Mitgliedcomputer und Druckerfreigaben

smb://windowsserver/ - funktioniert, freigaben sichtbar, keine drucker
smb://sambaserver/ - funktioniert alles!

Mit dolphin eine Datei geöffnet (Freigaben auf dem Windowsserver auf einmal wieder da - firewall noch immer aus).

sudo netstat -tulpen
[sudo] Passwort für root: 
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       Benutzer   Inode      PID/Program name    
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      0          22532      1095/cupsd          
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      0          27575      1826/master         
tcp6       0      0 :::1716                 :::*                    LISTEN      1000       29279      1942/kdeconnectd    
tcp6       0      0 ::1:631                 :::*                    LISTEN      0          22531      1095/cupsd          
tcp6       0      0 ::1:25                  :::*                    LISTEN      0          27576      1826/master         
udp        0      0 0.0.0.0:631             0.0.0.0:*                           0          20445      1214/cups-browsed   
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           468        20283      1088/avahi-daemon:  
udp        0      0 0.0.0.0:68              0.0.0.0:*                           0          29343      2088/dhclient       
udp        0      0 0.0.0.0:45293           0.0.0.0:*                           468        20285      1088/avahi-daemon:  
udp6       0      0 :::33697                :::*                                468        20286      1088/avahi-daemon:  
udp6       0      0 :::5353                 :::*                                468        20284      1088/avahi-daemon:  
udp6       0      0 :::1716                 :::*                                1000       29278      1942/kdeconnectd

Ich möchte hier jetzt auch nicht zwei Probleme miteinander vermischen.
Zu der Handhabung mit Windowsfreigaben läuft im Forum ja auch einiges, ich komme noch darauf zurück!.

Es geht jetzt erst einmal um das wichtigste überhaupt - das verläßliche und sichere funktionieren der firewall
in Kombination mit dem nm-Applet unten in der Kontrollleiste!

Alle Windowsrechner mit den BS W7, W8.1 und W10 sehen ohne Problem die Windows- und die Samba-Domäne.
Ubuntu 16.04.6 LTS gilt das gleiche auch!
Mit Ubuntu 18.04.? LTS gibt es die gleichen Problem bei der Handhabung von Windowsfreigaben.

Hallo Sauerland - ich bin geschockt!
Ich habe sshd auf diesen Rechner gestartet und auf einer anderen Maschine mit nmap diesen Rechner
über das Netzwerk prüfen lassen - Ergebnis: ssh-Port ist offen, und das hatte ich jetzt nicht erwartet!

Ich wollte die Zone ‘work’ über yast => firewall so ändern, dass nichts mehr erlaubt ist!
Und bekomme jede Menge Fehlermeldungen aller firewall-Dienste in der Art:

Fehler beim Ausführen des Befehls ""firewall-offline-cmd", "--zone=work", "--remove-service-from-zone=kadmin"]]".
Abbruch-Code: 2

 Fehlerausgabe: INVALID_INTERFACE

Meine work.xml sieht jetzt so aus:

sudo cat /etc/firewalld/zones/work.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Work</short>
  <description>For use in work areas. You mostly trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <interface name=""/>
</zone>

####################################################################################

Ich habe den Fehler gefunden!!!

Yast/firewall schreibt das interface (wlan0) NICHT in die work.xml Datei!!!
Warum das so ist, weiß ich nicht!!!1

Meine workwlan.xml sieht jetzt so aus:

sudo cat /etc/firewalld/zones/workwlan.xml 
<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Work</short>
  <description>For use in work areas. You mostly trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <interface name="wlan0"/>
</zone>

Meine /etc/firewalld/firewalld.conf enthält jetzt:
DefaultZone=workwlan
LogDenied=all

Im nm-Applet im Register ‘Allgemeine Einstellungen’ die Firewall-Zone für wlan0 auf ‘workwlan’ gesetzt!

Ein sudo dmesg ergibt jetzt:
[37405.791443] Ebtables v2.0 unregistered
[37406.775021] ip_tables: (C) 2000-2006 Netfilter Core Team
[37406.796781] ip6_tables: (C) 2000-2006 Netfilter Core Team
[37406.822694] Ebtables v2.0 registered
[37406.971270] nf_conntrack version 0.5.0 (16384 buckets, 65536 max)

Ein tail -f /var/log/firewall /var/log/firewalld ergibt jetzt kein ‘INVALID_INTERFACE’ mehr!

Freigaben oder sperren der Ports funktioniert jetzt auch!

Damit yast/firewall das interface korrekt in die xml-Datei schreibt, sind da noch andere Paket für nötig wie z.B.:
firewall-applet
firewall-config
firewall-macros ?

Mal so zwischendurch.

Sauerland hatte zuvor doch erwähnt das „netstat“ im Paket „net-tools-deprecated“ vorhanden ist.
Zum Thema überholt und Netzwerkanalysewerkzeuge werden nicht mehr gebraucht - Statt „netstat“ kannst du unter anderem (den für DE bescheuerten Befehl) „ss“ verwenden, für die obige Ausgabe ändert sich dann auch nicht viel.

ss -tulpen

Zum Thema Alternativen/Ersatz: Deprecated Linux networking commands and their replacements | Doug Vitale Tech Blog

Hallo tomm_fa,

ich habe den Befehl natürlich zuerst versucht auszuführen - war ja kein unbekannter Befehl, wollte die schnelle Lösung!!

Dann war ich auf den Weg mich tot zu suchen und auf den Weg dahin habe ich dann nochmal den Hinweis von Sauerland gelesen UND kapiert!
Zwischen drin habe ich meine Gedanken aufgeschrieben und es hinterher nicht gelöscht!

Das ist bei mir das Problem.
ERST lesen, kapieren und dann umsetzen und nicht gleich schreiben oder in Aktionismus verfallen!

ss --help
Usage: ss OPTIONS ]
ss OPTIONS ] FILTER ]
Auszug:
-t, --tcp display only TCP sockets
-u, --udp display only UDP sockets
-l, --listening display listening sockets
-p, --processes show process using socket
-e, --extended show detailed socket information
-n, --numeric don’t resolve service names

Aber die Informationen, die ss --tulpen liefert - speziell für Port 137, 139, 445 - sind die gleichen.
Trotzdem ich ‘zufällig’ mit einem Windowsserver verbunden bin und auch Dateien auf habe, zeigt mit Leap 15.1 diese Verbindungen nicht mit netstat oder ss an!!

Mehrere Ports im unprivilegierten Portbereich sind von kdeconnect (v4/v6) benutzt.
Interpretation muss ich anderen überlassen.
Firewall in Verbindung mit dem nm-Applet ohne Fehlermeldung und steuerbar - das war mir jetzt erst mal wichtig!

Und herzlichsten Dank für den Link mit der Liste für die Ersatzbefehle im Netzwerk!