Hallo Martin, Martin Röhricht, 29.11.2004 (d.m.y): > Mmh. Also mit seiner aktivierten SuSE Firewall kommt folgendes, wenn er > versucht zu drucken (was nicht funktioniert): > > Nov 28 20:26:37 bach kernel: SFW2-INext-DROP-DEFLT-INV IN=eth0 OUT= > MAC=00:08:02:67:54:29:00:c0:02:fc:6b:5d:08:00 SRC=192.168.0.11 > DST=192.168.0.2 LEN=44 TOS=0x00 PREC=0x00 TTL=30 ID=63126 PROTO=TCP > SPT=80 DPT=1160 WINDOW=1514 RES=0x00 ACK PSH SYNURGP=0 OPT (020405EA) Das heisst aber, dass der Printserver (SRC) eine Verbindung von seinem Port 80 (SPT) an Port 1160 (DPT) von bach "aufbauen" will. Ich vermute aber, dass diese Verbindung nur zu einer anderen gehoert - aufgrund des "ACK" in der letzten Zeile... Wenn Ihr die Paketfilterregeln etwa (sinngemaess) um iptables -A INPUT -p tcp -s 192.168.0.11 -d 192.18.0.2 --dpt 1024.. ! -SYN \ -j ACCEPT oder iptables -A INPUT -p tcp -s 192.168.0.11 -d 12.168.0.2 -m state \ --state ESTABLISHED,RELATED -j ACCEPT erweitert, sollten die o.a. Pakete _IMO_ nicht mehr geblockt werden. Allerdings moechte ich mich nicht unbedingt als voellig sattelfest in Sachen iptables bezeichnen... [..] > Da ist irgendwie immer nur von Port 80 die Rede. Rechner liegt an > 192.168.0.2 und Printserver auf 192.168.0.11 Allmaehlich solltest Du mal erwaehnen, wie (d.h. ueber welches Protokoll) Ihr den Drucker ansprecht. ;-) Darueberhinaus wuerde ich mich an Eurer Stelle fragen, ob Ihr ueberhaupt einen Paketfilter braucht. Oftmals kommt man auch ganz gut ohne aus. Und bei der Absicherung eines Systems sollte man nicht mit der Einrichtung eines Paketfilters beginnen... Gruss, Christian Schmidt -- Charme ist Charakter, der sich von seiner schönsten Seite zeigt. -- Lothar Schmidt
Attachment:
signature.asc
Description: Digital signature