ipchains , aber eins verstehe ich nicht

Message
Author
krizz

Re: ipchains , aber eins verstehe ich nicht

#16 Post by krizz »

und nochmal ipchains -L

maaan
hehe
Chain input (policy ACCEPT):
target prot opt source destination ports
ACCEPT udp ------ frnk.dnscache.mediaways.net anywhere domain -> any
ACCEPT udp ------ gtso1.dnscache.mediaways.net anywhere domain -> any
ACCEPT all ------ anywhere anywhere n/a
ACCEPT all ------ anywhere anywhere n/a
ACCEPT all ------ anywhere anywhere n/a
ACCEPT tcp -y---- anywhere anywhere any -> 0:1023
ACCEPT tcp -y---- anywhere anywhere any -> nfs
ACCEPT udp ------ anywhere anywhere any -> 0:1023
ACCEPT udp ------ anywhere anywhere any -> nfs
ACCEPT tcp -y---- anywhere anywhere any -> x11:6009
ACCEPT tcp -y---- anywhere anywhere any -> xfs
Chain forward (policy ACCEPT):
Chain output (policy ACCEPT):

krizz

Re: ipchains , aber eins verstehe ich nicht

#17 Post by krizz »

ich hab nochmal nachgeforscht....diese configdatei hier, wird wohl wirklich ausgelesen....und dort sind auch die entries für die nameserver drinne.....steht ja da ....´..braucht ihr evtl. noch die datei die diese hier abarbeitet??

Ich hab hier übrigens mal per hand alles auf ACCEPT gesetzt.....also die unteren 5 waren vorher automaitisch vom setup rejected worden...also irgendwie ist mir redhat sehr suspekt, da es meiner logik nach funzen sollte.....aba schaut mal selbst ...

# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
# firewall; such entries will *not* be listed here.
:input ACCEPT
:forward ACCEPT
:output ACCEPT
-A input -s 0/0 -d 0/0 -i lo -j ACCEPT
-A input -s 0/0 -d 0/0 -i eth1 -j ACCEPT
-A input -s 0/0 -d 0/0 -i ppp0 -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 2049 -y -j ACCEPT
-A input -p udp -s 0/0 -d 0/0 0:1023 -j ACCEPT
-A input -p udp -s 0/0 -d 0/0 2049 -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 6000:6009 -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 7100 -y -j ACCEPT

trinity
Posts: 821
Joined: 12. Oct 2001 10:04

Re: ipchains , aber eins verstehe ich nicht

#18 Post by trinity »

Also, es sieht danach aus, als würde dein Script _überhaupt_ nicht mit der ausgabe von ipchains übereinstimmen (ich seh da nur lauter ACCEPT und kein einziges REJECT).

OK hat sich erledigt, da du ja das Script geändert hast.

Allerdings sind jetzt alle Einträge, die mit -A beginnen sinnlos und könnten gelöscht werden.

Der Rechner sollte damit vom Internet aus erreichbar sein. Vielleicht solltest du jetzt anfangen die Sicherheit deines Rechners/Netzwerkes etwas zu erhöhen.
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)

krizz

Re: ipchains , aber eins verstehe ich nicht

#19 Post by krizz »

wie gesagt ...mit ping ist er erreichbar.......ich setz nen quake server auf...kein connect vom anderen pc über provider ip ...ich versuch mit telnet über meine provider ip reinzukommen(vom anderen pc) ..geht nicht...sobald ich über 192.168.0.1 gehe ..funzt es aber......das is ja das eigentlich problem..ich hatte mir schon gedacht das mein routing zwar idiotisch (durch das ganze rumprobiere auch) , aber nicht so falsch ist, das das mit nem quakeserver nicht funzt......

mir ist die sicherheit momentan egal..es soll einfach nur der quakeserver funzen und das telnet....telnet kann ich ja noch ersetzen ....aba das erschien mir als das einfachste tool um das alles zu testen ....


ich weiss jetzt echt nich mehr woran es noch liegt...

wenn ich quasi alles auf ACCEPT habe und meine maskierung mit ipchains -A forward -p all -y MASQ aktiviert ist , sollte ALLES durchkommen oder?

ich poste nochmal das script was die ipchains regeln abarbeitet...vielleicht findet ihr was....
maan

krizz

Re: ipchains , aber eins verstehe ich nicht

#20 Post by krizz »

hier mal das script ifup-post das wird meines erachtens gestartet wenn die NICS hochfahren.....hoffe ich doch ... irgendwie versteh ich nicht warum das alles nicht funzt...bin wahrscheinlich zu doof.....




#!/bin/sh

cd /etc/sysconfig/network-scripts
. network-functions

need_hostname
CONFIG=$1
source_config

DEVICETYPE=`echo $DEVICE | sed "s/[0-9]*$//"`
REALDEVICE=`echo $DEVICE | sed 's/:.*//g'`
if echo $DEVICE | grep -q ':' ; then
ISALIAS=yes
else
ISALIAS=no
fi

if [ "$ISALIAS" = no ] ; then
/etc/sysconfig/network-scripts/ifup-aliases ${DEVICE}
fi

/etc/sysconfig/network-scripts/ifup-routes ${DEVICE}


if [ "$PEERDNS" != "no" -o -n "$RESOLV_MODS" -a "$RESOLV_MODS" != "no" ]; then
[ -n "$MS_DNS1" ] && DNS1=$MS_DNS1
[ -n "$MS_DNS2" ] && DNS2=$MS_DNS2
if [ -n "$DNS1" ] && ! grep -q "^nameserver $DNS1" /etc/resolv.conf &&
tr=`mktemp /tmp/resolv.XXXXXX` ; then
# replace only the first two nameserver lines; cannot count on awk
# and do not know if sed is capable of this...
current_replacement="$DNS1"
next_replacement="$DNS2"
search=
(cat /etc/resolv.conf ; echo EOF ; echo EOF) | while read answer ; do
case $answer in
nameserver*|EOF)
if [ -n "$current_replacement" ] ; then
echo "nameserver $current_replacement" >> $tr
if [ -n "$next_replacement" ] ; then
current_replacement="$next_replacement"
next_replacement=
else
current_replacement=

fi
else
if [ "$answer" != EOF ] ; then
echo "$answer" >> $tr
fi
fi
;;
domain*|search*)
if [ -n "$DOMAIN" ]; then
echo "$answer" | while read key value ; do
search="$search $value"
done
else
echo "$answer" >> $tr
fi
;;
*)
echo "$answer" >> $tr
;;
esac
if [ -n "$DOMAIN" ]; then
echo "search $DOMAIN $search" >> $tr
fi
done

# backup resolv.conf
cp -af /etc/resolv.conf /etc/resolv.conf.save

# maintain permissions
# but set umask in case it doesn't exist!
oldumask=`umask`
umask 022
cat $tr > /etc/resolv.conf
rm -f $tr
umask $oldumask
fi
fi

FWACTIVE=
if [ -f /etc/sysconfig/ipchains -a "`ipchains -L input -n 2>&1 | awk 'END { prin
t NR }'`" -gt 1 ]; then
FWACTIVE=1
export FWACTIVE
fi if [ "$FIREWALL_MODS" != "no" -a -n "$FWACTIVE" ]; then
ns=`awk '/^nameserver / { print $2 }' /etc/resolv.conf`
if [ -n "$ns" ]; then
for nameserver in $ns ; do
if ! ipchains -L input -n | grep -q $nameserver ; then
ipchains -I input -s $nameserver/32 53 -d 0/0 0:
65535 -p udp -j ACCEPT
logger $"punching nameserver $nameserver through
the firewall"
fi
done
fi
fi

# don't set hostname on ppp/slip connections
if [ "$2" = "boot" -a -n "$NEEDHOSTNAME" -a "${DEVICE}" != lo -a "${DEVICETYPE}"
!= "ppp" -a "${DEVICETYPE}" != "slip" ]; then
IPADDR=`LANG= LC_ALL= ifconfig ${DEVICE} | grep 'inet addr' |
awk -F: '{ print $2 } ' | awk '{ print $1 }'`
eval `/bin/ipcalc --silent --hostname ${IPADDR}`
if [ "$?" = "0" ]; then
set_hostname $HOSTNAME
fi
fi

# Notify programs that have requested notification
do_netreport

if [ -x /sbin/ifup-local ]; then
/sbin/ifup-local ${DEVICE}
fi

exit 0

gewitter
Posts: 1354
Joined: 09. Apr 2001 9:03

Re: ipchains , aber eins verstehe ich nicht

#21 Post by gewitter »

schmeiss den mist doch weg. nimm die <!--http--><a href="http://www.pl-berichte.de/t_netzwerk/fi ... enbau.html" target="_blank">firewall2</a><!--url--> hier vom hjb, die funktioniert sehr gut bis auf ftp, aber da habe ich mittlerweile eine lösung implementiert, die auch sehr gut funktioniert. was soll man sich permanent den kopf zerbrechen, wenn es auch einfacher geht. das script von hjb ( man braucht zwar iptables und einen kernel ab 2.4, aber das dürfte wohl das problem nicht sein) setzt auf dem ippp0 auf und braucht nur beim systemstart einmal ausgeführt werden.

krizz

Re: ipchains , aber eins verstehe ich nicht

#22 Post by krizz »

Warum? was macht das ding anders als wenn ich von VORNEHEREIN GARKEINE RULES definiere? Halt nur das alles durchkann..quasi NO FIREWALL.......dann muss es ja gehen, das nen quakeserver von aussen errichbar ist ..oda mein rechner per telnet......ich kann es ja mal mit iptables versuchen...wichtig ist nur das ich ins internet komme von den clients....wie heisst der befehl um bei iptables die Maskierung anzuschalten ??

trinity
Posts: 821
Joined: 12. Oct 2001 10:04

Re: ipchains , aber eins verstehe ich nicht

#23 Post by trinity »

@krizz

>Halt nur das alles durchkann..quasi NO FIREWALL.......dann muss es ja gehen, das nen quakeserver von aussen errichbar ist

Genau, dass ist er mittlerweile. Alle Regeln sind deaktiviert, default ist auf ACCEPT gesetzt.
Hast du es auch mit der richtigen IP versucht? Dazu noch folgendes: nach max. 15min inaktivität wird die Verbindung von T-Online getrennt (sofern du T-DSL verwendest)

PS: du brauchst nicht schreien, hier ist glaube ich niemand Taub. TIA
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)

krizz

Re: ipchains , aber eins verstehe ich nicht

#24 Post by krizz »

Nee ..ich hab QSC....es ist alles offen..das einzige was aktiviert ist, ist die Maskierung(die kann doch nirgendwo reinfummeln oder).......ich bin mir SICHER, das ich der Server von aussen schonmal erreichbar war. (quake) Dann habe ich nur versucht mal fürn freund kurz telnet freizugeben, damit er vom netz aus drauf zugreifen kann und danach ging es nicht mehr......der Slartibasfas meinte doch es könne etwas mit TCP-SYN zu tun haben?? Weisst du etwas darüber? Muss man es eventl. irgendwo aktivieren ??

Das komische ist, ich kann quake auf den clients im internet spielen......
angepingt werden kann er auch ....liefert auch die richtige IP zurück.....aba draufkommen tut keina.....vielleicht läuft da irgendwie noch ne andere firewall? Eventuell habe ich mal mit KDE versucht (firewall-config) irgendwas zu machen ...aba die müsste doch auch auf ipchains zugreifen oder?


ich werds auf jedenfall mal nachher mit iptables versuchen.....

mensch...sonst find ich linux echt klasse...funzt wirklich alles

krizz

Re: ipchains , aber eins verstehe ich nicht

#25 Post by krizz »

Was ist das???

Anti-spoofing
Since we don't have any asymmetric routing, we can simply turn on anti-spoofing for all interfaces.
# for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f; done

User avatar
Stormbringer
Posts: 1570
Joined: 11. Jan 2001 11:01
Location: Ruhrgebiet

Re: ipchains , aber eins verstehe ich nicht

#26 Post by Stormbringer »

Jetzt mal eine simple Frage:
stehen denn die von Quake belegten Ports in der /etc/services?

Gruß
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)

krizz

Re: ipchains , aber eins verstehe ich nicht

#27 Post by krizz »

äähmm ich denke nicht.....muss das denn? auf den clients geht es doch auch...(halt kein server, aber halt normal spielen)

welche ports belegt denn quake? Ist es nur wichtig den Port freizuschalten in der services wo der quakeserver drauf läuft?

27960 u. 26000?

krizz

Re: ipchains , aber eins verstehe ich nicht

#28 Post by krizz »

Achja und wenn das stimmt mit den ports, wieso kann ich dann mein quakeserver übers interne netz erreichen ..nur übers internet nicht? <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle">

User avatar
Stormbringer
Posts: 1570
Joined: 11. Jan 2001 11:01
Location: Ruhrgebiet

Re: ipchains , aber eins verstehe ich nicht

#29 Post by Stormbringer »

Selbstredend müssen diese Ports in der /etc/services stehen, da sonst Dein Server einen request nicht korrekt beantworten kann. Auch die FW kann dann zwar diesen Port request als gültig ansehen, daß OS bekommt dies aber nicht mit, da keine Zuweisung erfolgt ist.
Welche Ports es sind sollte eigentlich in der Quake Server Doku stehen ...

Gruß
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)

krizz

Re: ipchains , aber eins verstehe ich nicht

#30 Post by krizz »

Danke ich werd es mal versuchen..Kannst du mir dann sagen wieso Telnet auch nicht von aussen funzt? Port 23 müsste doch auf jeden Fall in der services stehen ?!

Post Reply