ipchains , aber eins verstehe ich nicht

[krizz]

Hallo...


habe jetzt auch endlich mal Linux installiert....Hab mir zuhause nen DSL Router gebastelt, was auch alles sehr gut funzt. Jetzt habe ich folgendes Problem. Ich möchte einen Quakeserver auf dem Router laufen lassen (Redhat 7.2), aber leider kommt niemand übers Internet auf meinen Server. Wenn ich aber von meiner Win98 WS draufgehe über die interne IP , dann isses kein Problem. Ich kann auch von meiner Win98 WS quake im internet spielen. Deswegen gehe ich davon aus das der Port offen ist. Muss ich den quake port noch auf meinen Router mappen??? Wenn ja , wie geht das? Und läuft dann mein Quake auf der WIn98 WS noch im internet???
Oder ist das Problem ein ganz anderes?

Auch gerne per Email krizzbeatz@web.de

[slartibartfas]

Es gibt nicht nur Ports und IP-Adressen, sondern auch noch Flags und Devices. Deine Firewall wird den Verbindungsaufbau über das Internet-Device verbieten (Stichwort SYN-Flag).

[krizz]

Danke, aber ich komme ins Internet, auch über den Clientrechner Win98....das routing mit maskierung funzt also. Ich gehe davon aus das du meinst, das der Routerrechner im Internet nicht accessable ist?? Weil raus kommt er und anpingen kann ich ihn auch.

Gibts da nicht nen Newbie-Easy-trick um das Problem zu beheben ...und vor allem wo?? Ich find bei ipchains nix.....

danke man <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

[slartibartfas]

Ok, war ein bischen misverständlich. Ich meinte Rechner aus dem Internet können wegen deiner FW-Regeln nicht auf deinen Router zugreifen. Mach mal ein 'ipchains -L' (ich hoffe die syntax stimmt, bin mehr ein iptables-Mensch). Dort wirst du sehen, daß Pakete mit dem SYN-Flag nicht über das ppp0-Device auf deinen Router zugreifen dürfen. Du musst vor dieser Regel eine weitere einfügen, die den Quakeport auch für Pakete mit diesem Flag erlaubt. Steht eigentlich alles in 'man ipchains'.

[krizz]

Ja, schau ich mal nach, wenn ich wieder zuhause bin. Dank dir!
Also muss ich jetzt quasi nur noch den quakeport für SYN aufmachen?

hab folgendes gefundes, demnach würde ich jetzt einfach folgendes in meine Chain hinzufügen

ipchains -A input -p TCP -s 0/0 -d 0/0 quakeport -y -j ACCEPT

oder ist das wieder blödsinn?

------------------------------
TCP SYN Pakete (gerichteter Verbindungsaufbau)

ipchains -A chain -p TCP -s source-ip -y
Bei TCP wird der Verbindungsauf- und abbau gezielt signalisiert. Dazu verfügt der TCP-Header über Flags wie SYN und ACK. Das allererste Paket wird oft auch als SYN-Paket bezeichnet, da es den Verbindungsaufbau einleitet und damit auch die Richtung der Verbindung kennzeichnet. Dabei ist das SYN-Flag gesetzt und das ACK-Flag gelöscht.
Diese Darstellung in der Literatur ist etwas irreführend. Der Zielrechner antwortet nämlich auf das erste Paket ebenfalls mit dem gesetzten SYN-Flag, allerdings bei gleichzeitig gesetztem ACK-Flag. Das entscheidende Flag ist deshalb das ACK-Flag, das nur beim allerersten Paket nicht gesetzt ist. Es hat sich aber trotzdem eingebürgert, vom SYN-Paket zu sprechen, weil damit die Richtung des Verbindungsaufbaues hinreichend beschrieben wird.

In der Filterregel bezeichnet '-y' das erste Paket mit SYN gesetzt und ACK (und FIN) gelöscht. Die Negierung '! -y' (siehe weiter unten) bezeichnet Pakete, bei denen das ACK-Flag gesetzt ist, d.h. die Verbindung bereits besteht.

Das Flag '-y' macht von den Eigenschaften von TCP Gebrauch und kann deshalb nur in Verbindung mit -p TCP benutzt werden.

Denkbar wäre auch auch eine Filterregel, die sich statt auf eine IP-Adresse auf ein Interface bezieht.

Beispiel:

ipchains -A input -p TCP -y -i eth0

trifft auf Verbindungen zu, die über das Interface eth0 ankommen und eine Verbindung initialisieren wollen.

[slartibartfas]

Vom Prinzip her richtig. Nur musst du darauf achten, daß -A (für Append) die Regel am Schluss anhängt. Dh, falls vorher eine Regel für SYN-Pakete diese ablehnt, erreicht das Paket die Quake-Regel gar nicht. Der Port ist übrigens 26000 (quake) und gilt für tcp und udp (also beide Protokolle eintragen).

[krizz]

Also so in etwa müsste es bei mir zuhause aussehen..ich häng ganz unten die regeln für quake drann(/etc/sysconfig/iptables)
eth1 ist mein internes Netz ....eth0 internet

:input ACCEPT
:forward ACCEPT
-A forward -p all -j ACCEPT
:output ACCEPT
-A input -s 0/0 -d 0/0 80 -p tcp -y -j ACCEPT
-A input -s 0/0 -d 0/0 22 -p tcp -y -j ACCEPT
-A input -s 0/0 67:68 -d 0/0 67:68 -p udp -i eth0 -j ACCEPT
-A input -s 0/0 67:68 -d 0/0 67:68 -p udp -i eth1 -j ACCEPT
-A input -s 0/0 -d 0/0 -i lo -j ACCEPT
-A input -s 0/0 -d 0/0 -i eth1 -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j REJECT
-A input -p tcp -s 0/0 -d 0/0 2049 -y -j REJECT
-A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT
-A input -p udp -s 0/0 -d 0/0 2049 -j REJECT
-A input -p tcp -s 0/0 -d 0/0 6000:6009 -y -j REJECT
-A input -p tcp -s 0/0 -d 0/0 7100 -y -j REJECT
-A input -p tcp -s 0/0 -d 0/0 26000 -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 26000 -y -j ACCEPT

Was ich nicht verstehe ist....sperrt die firewall generell erstmal alle ports?? und ich mache mit iptables die auf die ich brauche? Wenn es so ist, weisst du wo er bei RH7.2 alles sperrt??

Was währe, wenn ich GARKEINE Regel hier reinschreibe??? sondern nur das FORWARDING lasse??

[krizz]

die letzte zeile muss natürlich udp sein <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">)

[krizz]

SORRY ....nicht iptables sondern IPCHAINS ....bin etwas durchn wind <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle"> stressig heute hier

[krizz]

JETZT REICHTS..hier die richtige Version

Also so in etwa müsste es bei mir zuhause aussehen..ich häng ganz unten die regeln für quake drann(/etc/sysconfig/iptchains)


eth1 ist mein internes Netz ....eth0 internet


:input ACCEPT
:forward ACCEPT
-A forward -p all -j MASQ
:output ACCEPT
-A input -s 0/0 -d 0/0 80 -p tcp -y -j ACCEPT
-A input -s 0/0 -d 0/0 22 -p tcp -y -j ACCEPT
-A input -s 0/0 67:68 -d 0/0 67:68 -p udp -i eth0 -j ACCEPT
-A input -s 0/0 67:68 -d 0/0 67:68 -p udp -i eth1 -j ACCEPT
-A input -s 0/0 -d 0/0 -i lo -j ACCEPT
-A input -s 0/0 -d 0/0 -i eth1 -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j REJECT
-A input -p tcp -s 0/0 -d 0/0 2049 -y -j REJECT
-A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT
-A input -p udp -s 0/0 -d 0/0 2049 -j REJECT
-A input -p tcp -s 0/0 -d 0/0 6000:6009 -y -j REJECT
-A input -p tcp -s 0/0 -d 0/0 7100 -y -j REJECT
-A input -p tcp -s 0/0 -d 0/0 26000 -y -j ACCEPT
-A input -p udp -s 0/0 -d 0/0 26000 -y -j ACCEPT

Was ich nicht verstehe ist....sperrt die firewall generell erstmal alle ports?? und ich mache mit ipchains die auf die ich brauche? Wenn es so ist, weisst du wo er bei RH7.2 alles sperrt??

Was währe, wenn ich GARKEINE Regel hier reinschreibe??? sondern nur das FORWARDING lasse??

[trinity]

Was _ich_ mich bei deinen Regeln Frage ist:
was sind das für merkwürdige Zeilen:
:input ACCEPT
:forward ACCEPT
:output ACCEPT

Deine Regeln finde ich persönlich sehr interessant, du gibst HTTP, SSH und DHCP für externe frei, und sperrst danach Ports auf denen i.d. R. eh nicht läuft?

[krizz]

Ich raff es halt nicht...diese Zeilen mit :input Accept , die standen schon drinn in der ipchains bei redhat7.2......

und die anderen zeilen hat auch der firewallconfig von redhat erzeugt....

meine zeilen sind nur das forwarding und die beiden dinger mit quake.....

deswegen meine frage, was währe wenn ich garnix reinschreibe....

[slartibartfas]

Du hast vollkommen recht. Wenn die Zeilen so stimmen, wie sie da stehen, hätte es auch vorher funtionieren müssen. Wie gesagt, probiere einmal 'ipchains -v -L' und poste die Ausgabe hier mal. Übrigens geben die ersten Zeilen vermutlich die DefaultPolicy der chains an.

[trinity]

@Slartibartfas
>Übrigens geben die ersten Zeilen vermutlich die DefaultPolicy der chains an.

Das Problem ist nur, das ist eine Vermutung. Es sind auf jeden Fall _keine_ gültigen ipchains Befehle. Genauso wenig wie die anderen. Ich Tippe eher auf ein Script, welches diese Datei auswertet. Trotzdem macht das Script so IMHO wenig Sinn.
Also warten wir mal auf die Ausgabe des ipchains Befehls <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

[krizz]

Ich geb bald auf <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle">(((

Chain input (policy ACCEPT: 1 packets, 34 bytes):
pkts bytes target prot opt tosa tosx ifname mark outsize source destination ports
0 0 ACCEPT udp ------ 0xFF 0x00 any frnk.dnscache.mediaways.net anywhere domain -> any
22 1781 ACCEPT udp ------ 0xFF 0x00 any gtso1.dnscache.mediaways.net anywhere domain -> any
4 336 ACCEPT all ------ 0xFF 0x00 lo anywhere anywhere n/a
35 2375 ACCEPT all ------ 0xFF 0x00 eth1 anywhere anywhere n/a
155 102K ACCEPT all ------ 0xFF 0x00 ppp0 anywhere anywhere n/a
0 0 ACCEPT tcp -y---- 0xFF 0x00 any anywhere anywhere any -> 0:1023
0 0 ACCEPT tcp -y---- 0xFF 0x00 any anywhere anywhere any -> nfs
0 0 ACCEPT udp ------ 0xFF 0x00 any anywhere anywhere any -> 0:1023
0 0 ACCEPT udp ------ 0xFF 0x00 any anywhere anywhere any -> nfs
0 0 ACCEPT tcp -y---- 0xFF 0x00 any anywhere anywhere any -> x11:6009
0 0 ACCEPT tcp -y---- 0xFF 0x00 any anywhere anywhere any -> xfs
Chain forward (policy ACCEPT: 27 packets, 1872 bytes):
Chain output (policy ACCEPT: 844 packets, 74765 bytes):