[gelöst]: Problem mit ufw

Fortgeschrittener

12.10.2012, 20:55

Hallo,

da inzwischen mein Laptop auch mit Gentoo läuft und ich ihn evtl. in unsichere Hotspots betreiben könnte habe ich mich entschieden eine Firewall einzurichten (ich weiß, die Wirksamkeit ist umstritten). Auf jeden Fall konnte ich sie händisch mittels Iptables einrichten nach dieser Anleitung . Iptables funktioniert also wie gewünscht.

Gewohnt bin ich jedoch 'ufw' zu verwenden, das die Anweisungen an iptables gibt. Allerdings kommt es dabei immer zu einer Fehlermeldung:

Quellcode

#ufw enable
ERROR: problem running ufw-init
iptables-restore: line 69 failed
iptables-restore: line 30 failed
iptables-restore: line 11 failed
ip6tables-restore: line 65 failed

Problem running '/etc/ufw/before.rules'
Problem running '/etc/ufw/after.rules'
Problem running '/etc/ufw/user/user.rules'
Problem running '/etc/ufw/before6.rules'

Anschließend ist kein Netzwerk mehr möglich.

Weiß jemand, was ich mit ufw falsch mache?

Gruß
hafgan

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »hafgan« (15.10.2012, 21:26)

Zum Seitenanfang

lelek

Anfänger

Beiträge: 17

2

14.10.2012, 01:23

hi hafgan
will ja nicht klugscheissern aber vielleicht ist die antwort ja in line 69,30,11 und 65 verborgen

zeig die doch mal her (und den rest).

wobei wenn ich deine ausgangssituation richig interpretiere hast du eine funktionierende config von deinem alten system.
wenn du eine für unterwegs willst lohnt es sich vielleicht eine extraconfig nur mit den nötigsten sachen zu erstellen..wenn du ufw bisher genutzt hast scheint dir ja die arbeitsweise von iptables vertraut zu sein..

ich hab mal als GUI webmin benutzt bei einer Routerconfig für eine WG. Die GUI-sektion für iptables war ziemlich umfangreich, nur für match-rules mußte ich da selber noch was schreiben, der rest ging per mausschubserei und ein paar ports tippen. Meine Grundconfig und Portknocking gabs schon die wurde artig eingelesen.

Zum Seitenanfang

hafgan

Fortgeschrittener

Beiträge: 184

3

14.10.2012, 02:19

Hallo lelek,

mit iptables hatte ich bisher nur am Rande zu tun. Bei meinem alten System habe ich einfach ohne jegliches konfigurieren ufw installiert und danach eingeschaltet. Fertig. So sollte es ja auch sein, das U bei ufw steht ja für uncomplicated!

Per Hand mittels iptables-Befehle kriege ich es ja auch hin. Allerdings finde ich es etwas umständlicher sich erst immer die 3-4 richtigen Befehle herauszusuchen, wenn es genau für diesen Zweck ufw enable/disable gibt.

Ich bin mir ja schon nicht sicher, in welchem File er die Zeilen anmeckert. iptables-restore? Oder ufw? Ich hab diese gefunden:
/sbin/iptables-restore ist ein binary. Da kann ich nicht rein schauen.
und dieses (sieht mir nicht sehr vielversprechend aus).
/usr/sbin/ufw:

Quellcode

11: pypy_ABI_re = re.compile(r"^\d+\.\d+-pypy-(\d+\.d+)$")
30:	py_matched = pypy_interpreter_re.match(python_interpreter)
65: python_interpreter = eselect_process.stdout.read()
69: python_interpreter = pyhton_interpreter.rstrip("\n")

Die 4 *.rules habe ich nicht verändert. Wenn die gebraucht werden, werde ich sie morgen hochladen ...

Gute Nacht!
hafgan

Zum Seitenanfang

lelek

Anfänger

Beiträge: 17

4

15.10.2012, 00:23

denke ohne die 4 rules-files ist eine fehlerdiagnose schwer.
iptables-restore und iptables-save sind zum widerherstellen/speichern der rules gedacht, das sind keine config datein.
die configs sind schon die unter /etc/ufw.

Zum Seitenanfang

josef.95

OSI Layer 8

Beiträge: 7 674

5

15.10.2012, 02:10

Hm, vor der Installation prüft das Ebuild ja einige grundsätzlich benötigte Kerneltreiber - sind diese alle wie gefordert bereitgestellt?
Und was für eine Version wurde installiert?

Zum Seitenanfang

hafgan

Fortgeschrittener

Beiträge: 184

6

15.10.2012, 17:39

Hallo zusammen,

sorry, kam gestern nicht dazu. Also hier die configs (habe jeweils *.txt angehängt, weil ich die unbekannte Endung nicht hochladen durfte).

Er beschwet sich in diesen Files anscheinend immer über das letzte Wort in der Datei: "COMMIT". Es gibt aber in dem Ordner noch mehr Files, die auch so aufgebaut sind, über die er sich nicht beschwert.

Quellcode

*  net-firewall/ufw
  	Latest version available: 0.33
  	Latest version installed: 0.33
  	Size of files: 325 kB
  	Homepage:  	http://launchpad.net/ufw
  	Description:   A program used to manage a netfilter firewall
  	License:   	GPL-3

Nach dieser Anleitung wurde Iptables installiert. Kernel wurde entsprechend gebaut:

Quellcode

   Networking options  --->
       [*] Network packet filtering framework (Netfilter)  --->
           Core Netfilter Configuration  --->
                [*] Netfilter connection tracking support
                -*- Netfilter Xtables support (required for ip_tables)
                [*]   "conntrack" connection tracking match support  
                [*]   "state" match support
           IP: Netfilter Configuration  --->
                [*] IPv4 connection tracking support (required for NAT)
                [*] IP tables support (required for filtering/masq/NAT)
                [*]   Packet filtering

»hafgan« hat folgende Dateien angehängt:

before.rules.txt (2,19 kB - 6 mal heruntergeladen - zuletzt: 15.10.2012, 17:57)
after.rules.txt (1 kB - 1 mal heruntergeladen - zuletzt: 15.10.2012, 17:57)
user.rules.txt (307 Byte - 1 mal heruntergeladen - zuletzt: 15.10.2012, 17:57)
before6.rules.txt (2,72 kB - 1 mal heruntergeladen - zuletzt: 15.10.2012, 17:57)

Zum Seitenanfang

bell

Erleuchteter

Beiträge: 3 128

7

15.10.2012, 18:10

Dir fehlen sicherlich noch einige Module im Kernel. Die Doku ist nicht vollständig.

Aktiviere mal noch folgendes:
Unter "Core Netfilter Configuration" hast Du ja "Netfilter connection tracking support" aktiviert. Dort drunter gibt es viele "Unterspunkte" was das Tracking beherrschen soll. Aktiviere, was Du davon brauchst.

Das selbe gilt auch für "Netfilter Xtables support (required for ip_tables)" weiter unten. Da musst Du die Targets aktivieren, die Du benötigst. Wichtig ist zB. "LOG"

Bei den " *** Xtables matches ***" noch weiter unten wirst Du sicherlich auch "conntrack" benötigen.

unter "IP: Netfilter Configuration" musst Du ach noch weiteres aktivieren. Wichtig ist zB. das "Packet filtering" mit seinen unter-modul "REJECT", sowie "Full NAT" mit MASQUERADE.

Am besten baust Du das ganze als Module. Lieber mehr aktivieren als zu wenig. Die Module werden falls benötigt automatisch beladen.

Auch wenn Open-Source kostenlos ist, ist sie nicht umsonst. Dein Preis ist Dein Engagement und Mitarbeit an OS-Projekten.
Wenn Du keinen Preis bezahlen willst, bist Du die Ware. Und das ist nicht Open Source, geschweigedenn frei.

Zum Seitenanfang

lelek

Anfänger

Beiträge: 17

8

15.10.2012, 18:21

yup, kleiner punkt noch: Unter ---->Networking options------>Network packet filtering framework (Netfilter) gibts zuvor noch "Advanced netfilter configuration " zu aktivieren, sonst fehlen unter CORE ... einige Auswahlmöglichkeiten.

Zum Seitenanfang

hafgan

Fortgeschrittener

Beiträge: 184

9

15.10.2012, 19:03

Es funktioniert! Ich habe jetzt ALLES unter diesem Punkt als Modul eingebunden und vorher "Advanced Filter Configuration" aktiviert. Damit klappts nun!

Super, danke Euch Dreien. (Dacht ich hätte alles nötige drin.)

Gruß
hafgan

Zum Seitenanfang

bell

Erleuchteter

Beiträge: 3 128

10

15.10.2012, 21:11

Prima dass es jetzt geklappt hat. Setzt Du das Thema bitte noch auf [gelöst]? (Forenkonvention)
Das gilt natürlich für andere gelöste Themen auch.

Auch wenn Open-Source kostenlos ist, ist sie nicht umsonst. Dein Preis ist Dein Engagement und Mitarbeit an OS-Projekten.
Wenn Du keinen Preis bezahlen willst, bist Du die Ware. Und das ist nicht Open Source, geschweigedenn frei.

Zum Seitenanfang

GentooForum.de