ipchains , aber eins verstehe ich nicht
Re: ipchains , aber eins verstehe ich nicht
und nochmal ipchains -L
maaan
hehe
Chain input (policy ACCEPT):
target prot opt source destination ports
ACCEPT udp ------ frnk.dnscache.mediaways.net anywhere domain -> any
ACCEPT udp ------ gtso1.dnscache.mediaways.net anywhere domain -> any
ACCEPT all ------ anywhere anywhere n/a
ACCEPT all ------ anywhere anywhere n/a
ACCEPT all ------ anywhere anywhere n/a
ACCEPT tcp -y---- anywhere anywhere any -> 0:1023
ACCEPT tcp -y---- anywhere anywhere any -> nfs
ACCEPT udp ------ anywhere anywhere any -> 0:1023
ACCEPT udp ------ anywhere anywhere any -> nfs
ACCEPT tcp -y---- anywhere anywhere any -> x11:6009
ACCEPT tcp -y---- anywhere anywhere any -> xfs
Chain forward (policy ACCEPT):
Chain output (policy ACCEPT):
maaan
hehe
Chain input (policy ACCEPT):
target prot opt source destination ports
ACCEPT udp ------ frnk.dnscache.mediaways.net anywhere domain -> any
ACCEPT udp ------ gtso1.dnscache.mediaways.net anywhere domain -> any
ACCEPT all ------ anywhere anywhere n/a
ACCEPT all ------ anywhere anywhere n/a
ACCEPT all ------ anywhere anywhere n/a
ACCEPT tcp -y---- anywhere anywhere any -> 0:1023
ACCEPT tcp -y---- anywhere anywhere any -> nfs
ACCEPT udp ------ anywhere anywhere any -> 0:1023
ACCEPT udp ------ anywhere anywhere any -> nfs
ACCEPT tcp -y---- anywhere anywhere any -> x11:6009
ACCEPT tcp -y---- anywhere anywhere any -> xfs
Chain forward (policy ACCEPT):
Chain output (policy ACCEPT):
Re: ipchains , aber eins verstehe ich nicht
ich hab nochmal nachgeforscht....diese configdatei hier, wird wohl wirklich ausgelesen....und dort sind auch die entries für die nameserver drinne.....steht ja da ....´..braucht ihr evtl. noch die datei die diese hier abarbeitet??
Ich hab hier übrigens mal per hand alles auf ACCEPT gesetzt.....also die unteren 5 waren vorher automaitisch vom setup rejected worden...also irgendwie ist mir redhat sehr suspekt, da es meiner logik nach funzen sollte.....aba schaut mal selbst ...
# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
# firewall; such entries will *not* be listed here.
:input ACCEPT
:forward ACCEPT
:output ACCEPT
-A input -s 0/0 -d 0/0 -i lo -j ACCEPT
-A input -s 0/0 -d 0/0 -i eth1 -j ACCEPT
-A input -s 0/0 -d 0/0 -i ppp0 -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 2049 -y -j ACCEPT
-A input -p udp -s 0/0 -d 0/0 0:1023 -j ACCEPT
-A input -p udp -s 0/0 -d 0/0 2049 -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 6000:6009 -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 7100 -y -j ACCEPT
Ich hab hier übrigens mal per hand alles auf ACCEPT gesetzt.....also die unteren 5 waren vorher automaitisch vom setup rejected worden...also irgendwie ist mir redhat sehr suspekt, da es meiner logik nach funzen sollte.....aba schaut mal selbst ...
# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
# firewall; such entries will *not* be listed here.
:input ACCEPT
:forward ACCEPT
:output ACCEPT
-A input -s 0/0 -d 0/0 -i lo -j ACCEPT
-A input -s 0/0 -d 0/0 -i eth1 -j ACCEPT
-A input -s 0/0 -d 0/0 -i ppp0 -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 2049 -y -j ACCEPT
-A input -p udp -s 0/0 -d 0/0 0:1023 -j ACCEPT
-A input -p udp -s 0/0 -d 0/0 2049 -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 6000:6009 -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 7100 -y -j ACCEPT
Re: ipchains , aber eins verstehe ich nicht
Also, es sieht danach aus, als würde dein Script _überhaupt_ nicht mit der ausgabe von ipchains übereinstimmen (ich seh da nur lauter ACCEPT und kein einziges REJECT).
OK hat sich erledigt, da du ja das Script geändert hast.
Allerdings sind jetzt alle Einträge, die mit -A beginnen sinnlos und könnten gelöscht werden.
Der Rechner sollte damit vom Internet aus erreichbar sein. Vielleicht solltest du jetzt anfangen die Sicherheit deines Rechners/Netzwerkes etwas zu erhöhen.
OK hat sich erledigt, da du ja das Script geändert hast.
Allerdings sind jetzt alle Einträge, die mit -A beginnen sinnlos und könnten gelöscht werden.
Der Rechner sollte damit vom Internet aus erreichbar sein. Vielleicht solltest du jetzt anfangen die Sicherheit deines Rechners/Netzwerkes etwas zu erhöhen.
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
Re: ipchains , aber eins verstehe ich nicht
wie gesagt ...mit ping ist er erreichbar.......ich setz nen quake server auf...kein connect vom anderen pc über provider ip ...ich versuch mit telnet über meine provider ip reinzukommen(vom anderen pc) ..geht nicht...sobald ich über 192.168.0.1 gehe ..funzt es aber......das is ja das eigentlich problem..ich hatte mir schon gedacht das mein routing zwar idiotisch (durch das ganze rumprobiere auch) , aber nicht so falsch ist, das das mit nem quakeserver nicht funzt......
mir ist die sicherheit momentan egal..es soll einfach nur der quakeserver funzen und das telnet....telnet kann ich ja noch ersetzen ....aba das erschien mir als das einfachste tool um das alles zu testen ....
ich weiss jetzt echt nich mehr woran es noch liegt...
wenn ich quasi alles auf ACCEPT habe und meine maskierung mit ipchains -A forward -p all -y MASQ aktiviert ist , sollte ALLES durchkommen oder?
ich poste nochmal das script was die ipchains regeln abarbeitet...vielleicht findet ihr was....
maan
mir ist die sicherheit momentan egal..es soll einfach nur der quakeserver funzen und das telnet....telnet kann ich ja noch ersetzen ....aba das erschien mir als das einfachste tool um das alles zu testen ....
ich weiss jetzt echt nich mehr woran es noch liegt...
wenn ich quasi alles auf ACCEPT habe und meine maskierung mit ipchains -A forward -p all -y MASQ aktiviert ist , sollte ALLES durchkommen oder?
ich poste nochmal das script was die ipchains regeln abarbeitet...vielleicht findet ihr was....
maan
Re: ipchains , aber eins verstehe ich nicht
hier mal das script ifup-post das wird meines erachtens gestartet wenn die NICS hochfahren.....hoffe ich doch ... irgendwie versteh ich nicht warum das alles nicht funzt...bin wahrscheinlich zu doof.....
#!/bin/sh
cd /etc/sysconfig/network-scripts
. network-functions
need_hostname
CONFIG=$1
source_config
DEVICETYPE=`echo $DEVICE | sed "s/[0-9]*$//"`
REALDEVICE=`echo $DEVICE | sed 's/:.*//g'`
if echo $DEVICE | grep -q ':' ; then
ISALIAS=yes
else
ISALIAS=no
fi
if [ "$ISALIAS" = no ] ; then
/etc/sysconfig/network-scripts/ifup-aliases ${DEVICE}
fi
/etc/sysconfig/network-scripts/ifup-routes ${DEVICE}
if [ "$PEERDNS" != "no" -o -n "$RESOLV_MODS" -a "$RESOLV_MODS" != "no" ]; then
[ -n "$MS_DNS1" ] && DNS1=$MS_DNS1
[ -n "$MS_DNS2" ] && DNS2=$MS_DNS2
if [ -n "$DNS1" ] && ! grep -q "^nameserver $DNS1" /etc/resolv.conf &&
tr=`mktemp /tmp/resolv.XXXXXX` ; then
# replace only the first two nameserver lines; cannot count on awk
# and do not know if sed is capable of this...
current_replacement="$DNS1"
next_replacement="$DNS2"
search=
(cat /etc/resolv.conf ; echo EOF ; echo EOF) | while read answer ; do
case $answer in
nameserver*|EOF)
if [ -n "$current_replacement" ] ; then
echo "nameserver $current_replacement" >> $tr
if [ -n "$next_replacement" ] ; then
current_replacement="$next_replacement"
next_replacement=
else
current_replacement=
fi
else
if [ "$answer" != EOF ] ; then
echo "$answer" >> $tr
fi
fi
;;
domain*|search*)
if [ -n "$DOMAIN" ]; then
echo "$answer" | while read key value ; do
search="$search $value"
done
else
echo "$answer" >> $tr
fi
;;
*)
echo "$answer" >> $tr
;;
esac
if [ -n "$DOMAIN" ]; then
echo "search $DOMAIN $search" >> $tr
fi
done
# backup resolv.conf
cp -af /etc/resolv.conf /etc/resolv.conf.save
# maintain permissions
# but set umask in case it doesn't exist!
oldumask=`umask`
umask 022
cat $tr > /etc/resolv.conf
rm -f $tr
umask $oldumask
fi
fi
FWACTIVE=
if [ -f /etc/sysconfig/ipchains -a "`ipchains -L input -n 2>&1 | awk 'END { prin
t NR }'`" -gt 1 ]; then
FWACTIVE=1
export FWACTIVE
fi if [ "$FIREWALL_MODS" != "no" -a -n "$FWACTIVE" ]; then
ns=`awk '/^nameserver / { print $2 }' /etc/resolv.conf`
if [ -n "$ns" ]; then
for nameserver in $ns ; do
if ! ipchains -L input -n | grep -q $nameserver ; then
ipchains -I input -s $nameserver/32 53 -d 0/0 0:
65535 -p udp -j ACCEPT
logger $"punching nameserver $nameserver through
the firewall"
fi
done
fi
fi
# don't set hostname on ppp/slip connections
if [ "$2" = "boot" -a -n "$NEEDHOSTNAME" -a "${DEVICE}" != lo -a "${DEVICETYPE}"
!= "ppp" -a "${DEVICETYPE}" != "slip" ]; then
IPADDR=`LANG= LC_ALL= ifconfig ${DEVICE} | grep 'inet addr' |
awk -F: '{ print $2 } ' | awk '{ print $1 }'`
eval `/bin/ipcalc --silent --hostname ${IPADDR}`
if [ "$?" = "0" ]; then
set_hostname $HOSTNAME
fi
fi
# Notify programs that have requested notification
do_netreport
if [ -x /sbin/ifup-local ]; then
/sbin/ifup-local ${DEVICE}
fi
exit 0
#!/bin/sh
cd /etc/sysconfig/network-scripts
. network-functions
need_hostname
CONFIG=$1
source_config
DEVICETYPE=`echo $DEVICE | sed "s/[0-9]*$//"`
REALDEVICE=`echo $DEVICE | sed 's/:.*//g'`
if echo $DEVICE | grep -q ':' ; then
ISALIAS=yes
else
ISALIAS=no
fi
if [ "$ISALIAS" = no ] ; then
/etc/sysconfig/network-scripts/ifup-aliases ${DEVICE}
fi
/etc/sysconfig/network-scripts/ifup-routes ${DEVICE}
if [ "$PEERDNS" != "no" -o -n "$RESOLV_MODS" -a "$RESOLV_MODS" != "no" ]; then
[ -n "$MS_DNS1" ] && DNS1=$MS_DNS1
[ -n "$MS_DNS2" ] && DNS2=$MS_DNS2
if [ -n "$DNS1" ] && ! grep -q "^nameserver $DNS1" /etc/resolv.conf &&
tr=`mktemp /tmp/resolv.XXXXXX` ; then
# replace only the first two nameserver lines; cannot count on awk
# and do not know if sed is capable of this...
current_replacement="$DNS1"
next_replacement="$DNS2"
search=
(cat /etc/resolv.conf ; echo EOF ; echo EOF) | while read answer ; do
case $answer in
nameserver*|EOF)
if [ -n "$current_replacement" ] ; then
echo "nameserver $current_replacement" >> $tr
if [ -n "$next_replacement" ] ; then
current_replacement="$next_replacement"
next_replacement=
else
current_replacement=
fi
else
if [ "$answer" != EOF ] ; then
echo "$answer" >> $tr
fi
fi
;;
domain*|search*)
if [ -n "$DOMAIN" ]; then
echo "$answer" | while read key value ; do
search="$search $value"
done
else
echo "$answer" >> $tr
fi
;;
*)
echo "$answer" >> $tr
;;
esac
if [ -n "$DOMAIN" ]; then
echo "search $DOMAIN $search" >> $tr
fi
done
# backup resolv.conf
cp -af /etc/resolv.conf /etc/resolv.conf.save
# maintain permissions
# but set umask in case it doesn't exist!
oldumask=`umask`
umask 022
cat $tr > /etc/resolv.conf
rm -f $tr
umask $oldumask
fi
fi
FWACTIVE=
if [ -f /etc/sysconfig/ipchains -a "`ipchains -L input -n 2>&1 | awk 'END { prin
t NR }'`" -gt 1 ]; then
FWACTIVE=1
export FWACTIVE
fi if [ "$FIREWALL_MODS" != "no" -a -n "$FWACTIVE" ]; then
ns=`awk '/^nameserver / { print $2 }' /etc/resolv.conf`
if [ -n "$ns" ]; then
for nameserver in $ns ; do
if ! ipchains -L input -n | grep -q $nameserver ; then
ipchains -I input -s $nameserver/32 53 -d 0/0 0:
65535 -p udp -j ACCEPT
logger $"punching nameserver $nameserver through
the firewall"
fi
done
fi
fi
# don't set hostname on ppp/slip connections
if [ "$2" = "boot" -a -n "$NEEDHOSTNAME" -a "${DEVICE}" != lo -a "${DEVICETYPE}"
!= "ppp" -a "${DEVICETYPE}" != "slip" ]; then
IPADDR=`LANG= LC_ALL= ifconfig ${DEVICE} | grep 'inet addr' |
awk -F: '{ print $2 } ' | awk '{ print $1 }'`
eval `/bin/ipcalc --silent --hostname ${IPADDR}`
if [ "$?" = "0" ]; then
set_hostname $HOSTNAME
fi
fi
# Notify programs that have requested notification
do_netreport
if [ -x /sbin/ifup-local ]; then
/sbin/ifup-local ${DEVICE}
fi
exit 0
Re: ipchains , aber eins verstehe ich nicht
schmeiss den mist doch weg. nimm die <!--http--><a href="http://www.pl-berichte.de/t_netzwerk/fi ... enbau.html" target="_blank">firewall2</a><!--url--> hier vom hjb, die funktioniert sehr gut bis auf ftp, aber da habe ich mittlerweile eine lösung implementiert, die auch sehr gut funktioniert. was soll man sich permanent den kopf zerbrechen, wenn es auch einfacher geht. das script von hjb ( man braucht zwar iptables und einen kernel ab 2.4, aber das dürfte wohl das problem nicht sein) setzt auf dem ippp0 auf und braucht nur beim systemstart einmal ausgeführt werden.
Re: ipchains , aber eins verstehe ich nicht
Warum? was macht das ding anders als wenn ich von VORNEHEREIN GARKEINE RULES definiere? Halt nur das alles durchkann..quasi NO FIREWALL.......dann muss es ja gehen, das nen quakeserver von aussen errichbar ist ..oda mein rechner per telnet......ich kann es ja mal mit iptables versuchen...wichtig ist nur das ich ins internet komme von den clients....wie heisst der befehl um bei iptables die Maskierung anzuschalten ??
Re: ipchains , aber eins verstehe ich nicht
@krizz
>Halt nur das alles durchkann..quasi NO FIREWALL.......dann muss es ja gehen, das nen quakeserver von aussen errichbar ist
Genau, dass ist er mittlerweile. Alle Regeln sind deaktiviert, default ist auf ACCEPT gesetzt.
Hast du es auch mit der richtigen IP versucht? Dazu noch folgendes: nach max. 15min inaktivität wird die Verbindung von T-Online getrennt (sofern du T-DSL verwendest)
PS: du brauchst nicht schreien, hier ist glaube ich niemand Taub. TIA
>Halt nur das alles durchkann..quasi NO FIREWALL.......dann muss es ja gehen, das nen quakeserver von aussen errichbar ist
Genau, dass ist er mittlerweile. Alle Regeln sind deaktiviert, default ist auf ACCEPT gesetzt.
Hast du es auch mit der richtigen IP versucht? Dazu noch folgendes: nach max. 15min inaktivität wird die Verbindung von T-Online getrennt (sofern du T-DSL verwendest)
PS: du brauchst nicht schreien, hier ist glaube ich niemand Taub. TIA
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
Re: ipchains , aber eins verstehe ich nicht
Nee ..ich hab QSC....es ist alles offen..das einzige was aktiviert ist, ist die Maskierung(die kann doch nirgendwo reinfummeln oder).......ich bin mir SICHER, das ich der Server von aussen schonmal erreichbar war. (quake) Dann habe ich nur versucht mal fürn freund kurz telnet freizugeben, damit er vom netz aus drauf zugreifen kann und danach ging es nicht mehr......der Slartibasfas meinte doch es könne etwas mit TCP-SYN zu tun haben?? Weisst du etwas darüber? Muss man es eventl. irgendwo aktivieren ??
Das komische ist, ich kann quake auf den clients im internet spielen......
angepingt werden kann er auch ....liefert auch die richtige IP zurück.....aba draufkommen tut keina.....vielleicht läuft da irgendwie noch ne andere firewall? Eventuell habe ich mal mit KDE versucht (firewall-config) irgendwas zu machen ...aba die müsste doch auch auf ipchains zugreifen oder?
ich werds auf jedenfall mal nachher mit iptables versuchen.....
mensch...sonst find ich linux echt klasse...funzt wirklich alles
Das komische ist, ich kann quake auf den clients im internet spielen......
angepingt werden kann er auch ....liefert auch die richtige IP zurück.....aba draufkommen tut keina.....vielleicht läuft da irgendwie noch ne andere firewall? Eventuell habe ich mal mit KDE versucht (firewall-config) irgendwas zu machen ...aba die müsste doch auch auf ipchains zugreifen oder?
ich werds auf jedenfall mal nachher mit iptables versuchen.....
mensch...sonst find ich linux echt klasse...funzt wirklich alles
Re: ipchains , aber eins verstehe ich nicht
Was ist das???
Anti-spoofing
Since we don't have any asymmetric routing, we can simply turn on anti-spoofing for all interfaces.
# for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f; done
Anti-spoofing
Since we don't have any asymmetric routing, we can simply turn on anti-spoofing for all interfaces.
# for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f; done
- Stormbringer
- Posts: 1570
- Joined: 11. Jan 2001 11:01
- Location: Ruhrgebiet
Re: ipchains , aber eins verstehe ich nicht
Jetzt mal eine simple Frage:
stehen denn die von Quake belegten Ports in der /etc/services?
Gruß
stehen denn die von Quake belegten Ports in der /etc/services?
Gruß
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
Re: ipchains , aber eins verstehe ich nicht
äähmm ich denke nicht.....muss das denn? auf den clients geht es doch auch...(halt kein server, aber halt normal spielen)
welche ports belegt denn quake? Ist es nur wichtig den Port freizuschalten in der services wo der quakeserver drauf läuft?
27960 u. 26000?
welche ports belegt denn quake? Ist es nur wichtig den Port freizuschalten in der services wo der quakeserver drauf läuft?
27960 u. 26000?
Re: ipchains , aber eins verstehe ich nicht
Achja und wenn das stimmt mit den ports, wieso kann ich dann mein quakeserver übers interne netz erreichen ..nur übers internet nicht? <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle">
- Stormbringer
- Posts: 1570
- Joined: 11. Jan 2001 11:01
- Location: Ruhrgebiet
Re: ipchains , aber eins verstehe ich nicht
Selbstredend müssen diese Ports in der /etc/services stehen, da sonst Dein Server einen request nicht korrekt beantworten kann. Auch die FW kann dann zwar diesen Port request als gültig ansehen, daß OS bekommt dies aber nicht mit, da keine Zuweisung erfolgt ist.
Welche Ports es sind sollte eigentlich in der Quake Server Doku stehen ...
Gruß
Welche Ports es sind sollte eigentlich in der Quake Server Doku stehen ...
Gruß
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
Re: ipchains , aber eins verstehe ich nicht
Danke ich werd es mal versuchen..Kannst du mir dann sagen wieso Telnet auch nicht von aussen funzt? Port 23 müsste doch auf jeden Fall in der services stehen ?!