Tag auch,
nachdem ich von unserer handgestrickten Firewall auf IPFire umsteigen wollte (linuxmuster 6) lief ein:
linuxmuster-ipfire --setup --first
Geh ich in die Schulkonsole und will einen Raum vom Internet trennen kommt ein:
Unbekannter externer Fehler [/usr/share/schulkonsole/Schulkonsole/Session.pm, 1191, Schulkonsole::Error::FirewallError::what]
Siehe Screenshot:
Hat jemand eine Idee zur Fehlersuche?
Gruss Harry
Hallo Harry,
die Firewall muss mit dem Server verheiratet werden.
Das macht der Befehl den du verwendet hast.
Um das ab zu schließen, mach vom server aus noch einmal
ssh -p 222 ipfire
Dann kommt die Frage zu den „Known Hosts“: die bejahen, dann solltest du
passwortfrei auf der console des ipfire sein.
Danach gehst du mit exit zurück auf den server und dann nochmal
ssh -p 222 ipfire
Das sollte nun komplett ohne Nachfrage passieren.
Danach solltest du noch ein
import_workstations
machen, damit die Cleints in der Firewall eingetragen werden.
Achte auf das Ende der Ausgabe: reloading Firewall OK?
Wenn ja: dann sollte die SchuKo funzen
LG
Holger
Danke Holger, zertifikatsbasierte Authentifizierung hatte ich auf Port 222 haendisch eingerichtet, da ich zu doof war das Video ganz (!) anzuschauen, die ging dann aber auch.
lsof -i -P
brachte mit die Ausgabe von Port 222
import_workstations hab ich nicht gemacht, das teste ich morgen mal.
Abend,
import_workstations hat nix gebracht, immer noch die kranke Fehlermeldung.
Kann natuerlich sein, dass ich irgendwann, irgendwas verkonfiguriert habe.
Gruss Harry
Hallo Harry!
Warst du su als du die zertifikatsbasierte Authentifizierung eingerichtet hast?
Grüßle
Hallo Harry,
import_workstations hat nix gebracht, immer noch die kranke Fehlermeldung.
hast du die Meldungen beim import gelesen?
Da kommt
reloading external firewall … sucess
Stand das da?
LG
Holger
Hallo, Harry,
geh mal bei Deinem Server (6.2. !) auf die Konsole und prüfe folgendes:
Kannst Du mit nur einem mit dem Befehl
ssh root@ipfire -p222
auf den Ipfire ? (Also auch ohne Zwischenbestätigung !).
Wenn JA,
dann öffne bitte eine zweite Konsole, die eine ist für den Server, bei der anderen bleibst Du auf dem IpFire, auf dem Du Dich gerade angemeldet hast.
Suche Dir dann einen bekannten Hostnamen (aus der /etc/linuxmuster/workstations), z.B. a210pc6 (bei mir).
Gib dann auf der Serverkonsole (!) ein:
/usr/share/linuxmuster/scripts/internet_on_off.sh --trigger=off --hostlist=a201pc6
(statt a210pc6 natürlich DEIN Hostname).
Wenn hier eine Fehlermeldung erscheint, bitte diese posten und abbrechen !
ANSONSTEN: Gib dann auf der IpFire-konsole (!) ein:
iptables -L >1
Gib dann wieder auf der Serverkonsole (!) ein:
/usr/share/linuxmuster/scripts/internet_on_off.sh --trigger=on --hostlist=a201pc6
und auf der IpFire-konsole:
iptables -L >2
Und dann auf der IpFirekonsole:
diff 1 2
Jetzt muss der Unterschied der beiden Firewallausgaben ersichtlich werden, bei mir:
166,167d165
< LOG tcp -- 10.16.8.30 anywhere multiport dports ftp,ftp-data,ftps,ftps-data,https,ssh limit: avg 10/min burst 20 LOG level warning prefix "FORWARDFW "
< ACCEPT tcp -- 10.16.8.30 anywhere multiport dports ftp,ftp-data,ftps,ftps-data,https,ssh
225,226d222
< LOG tcp -- 10.16.8.30 anywhere multiport dports ftp,ftp-data,ftps,ftps-data,https,ssh limit: avg 10/min burst 20 LOG level warning prefix "INPUTFW "
< ACCEPT tcp -- 10.16.8.30 anywhere multiport dports ftp,ftp-data,ftps,ftps-data,https,sshWenn da NICHTS erscheint, ist Deine Firewall leider NICHT mit dem Server „verheiratet“. In dem Fall bitte ein Komplettes Neuinstallieren der Firewall ! Dort auf Besonderheiten Deiner Installation oder Fehlermeldungen achten.
Ich bin gespannt !
Gruß Christoph
Erstmal an alle danke fuer den Einsatz,
Bin eigentlich immer root 
Ja, success, hatte ich stillschweigend vorausgesetzt.
/usr/share/linuxmuster/scripts/internet_on_off.sh --trigger=on --hostlist=a201pc6
Danke fuer den Befehl, jetzt sehe ich klarer, auch die iptables-Magie hat mich weitergebracht, auf die Idee das per diff zu vergleichen bin ich natuerlich nicht gekommen.
Das iptables-Regelwerk wird durch die Klickerei auf der Schulkonsole tatsaechlich gesetzt, also auf der Firewallseite alles gut.
Die Fehlermeldung in der Schulkonsole bleibt leider, aber jetzt weiss ich wenigstens, dass es wohl auf der Musterloesung ein Problem gibt, sie scheint ja nicht mitzubekommen, dass „drueben“ auf ipfire alles ausgefuehrt wurde.
Gruss Harry
P.S. tolles Forum, bin immer wieder sehr ueberrascht, wie schnell das geht und welcher Aufwand dazu getrieben wird.
Guten Morgen,
die Fehlermeldung (s.o.) ist immer noch nicht weg, das Regelwerk wird auf IPFire gesetzt, die Fehlermeldung nervt. Das ist ja die Fehlermeldung, die keinem Fehler zugeordnet werden kann, also irgendwas laeuft schief.
Falls noch jemand eine Idee hat, her damit.
Gruss Harry
Hallo Harry,
gehen wir mal zurück zum ersten Post:
du wolltest von einer „anderen“ Firewall umsteigen auf die IPFire.
Dazu hast du
linuxmuster-ipfire-setup --first ausgeführt.
Du kommst vom server aus (also root) passwortund nachfragefrei auf den
ipfire mittels
ssh -p 222 ipfire
(genau dieser Befehl!).
Wenn dem so ist: hast du dem server eigentlich beim ersten Installieren
bei der Frage nach der Firewall gesagt, dass es eine „andere“ ist?
Hast du ihm, als du den IPFire integriert hast dann auch gesagt, dass es
jetzt ein IPFire ist?
Kam diese Fehlermeldung früher auch, als es noch „eine andere“ Firewall war?
Was steht den in der Datei
/var/lib/linuxmuster/network.settings
unter
fwconfig= ?
(Bei mir Zeile 7)
LG
Holger
Tag Holger,
Ja, „custom“.
Weiss ich nicht, hatte ein eigenes Webfrontend fuer unsere Abschaltung.
ipfire, passt also.
Da steht aber noch eine andere Subnetzmaske drin, ich betreibe den ganzen Kram in einem Class A-Netz, vielleicht hat das was damit zu tun. Ich teste das mal.
Danke Holger, so komm ich schrittweise weiter. Ich fuerchte da sind an unzaehligen Stellen hartkodierte IPs und Netzmasken involviert und ich haette Linuxmuster gleich so installieren sollen, wie das der Installer will. Aenderungen an den IPs und Netzen kommen hier immer irgendwann als Bumerang zurueck.
Gruss Harry
Hallo Harry,
Wenn dem so ist: hast du dem server eigentlich beim ersten Installieren bei der Frage nach der Firewall gesagt, dass es eine „andere“ ist?Ja, „custom“.
hast du das umgestellt mittels
linuxmuster-setup --modify
?
Da steht aber noch eine andere Subnetzmaske drin, ich betreibe den
ganzen Kram in einem Class A-Netz, vielleicht hat das was damit zu tun.
Ich teste das mal.
Danke Holger, so komm ich schrittweise weiter. Ich fuerchte da sind an
unzaehligen Stellen hartkodierte IPs und Netzmasken involviert und ich
haette Linuxmuster gleich so installieren sollen, wie das der Installer
will. Aenderungen an den IPs und Netzen kommen hier immer irgendwann als
Bumerang zurueck.
Jup 
Das mit den festkodierten IP Ranges usw. ist ein Problem der lmn6.
Bei der lmn7 haben wir drauf geachtet, dass das nciht mehr der Fall ist.
LG
Holger
Yepp, ich hab schon ziemlich viel durch, irgendwas klemmt noch.
Muss mich wohl doch in die Skriptabgruende werfen, CGI-Gedoehns, Perl, JavaScript, Shell…ein wilder Mix mit includes…
Hat wohl jeder Beteiligte seine Lieblingssprache verwendet
Gruss Harry
Hallo Harry,
hattest du seinerzeit hierzu eine Lösung gefunden?
Gruss
Markus
Ich glaube nicht, hab aufgehoert zu suchen.