Firewall + MASQ + IRC/DCC = Verzweifling hoch 10
Hallo Leute ! Folgendes Problem beschäftigt mich seit etwa 4 Wochen : ich gehe via client über firewal in IRC - soweit - so gut ABER : DCC send file / DCC Chat geht nur wenn das andere zu mir aufbauen - ich selber kann kein DCC aufbauen :(( Ich vermute mal das es an ipchains liegt - oder liege ich da falsch ? nur wüßte ich nicht welche der standardregeln der fw2 da mist baut. #----# ipchains router ( fw2 ) Chain input (policy ACCEPT): target prot opt source destination ports devchain all ------ anywhere anywhere n/a Chain forward (policy ACCEPT): target prot opt source destination ports maschain all ------ anywhere anywhere n/a Chain output (policy ACCEPT): Chain rulchain (0 references): target prot opt source destination ports DENY udp ------ anywhere anywhere any -> 1012 DENY udp ------ anywhere anywhere any -> 880 DENY udp ------ anywhere anywhere any -> sunrpc DENY udp ------ anywhere anywhere any -> time DENY udp ------ anywhere anywhere any -> 1042 DENY udp ------ anywhere anywhere any -> 1041 DENY udp ------ anywhere anywhere any -> 1040 DENY udp ------ anywhere anywhere any -> router DENY udp ------ anywhere anywhere any -> ntalk DENY udp ------ anywhere anywhere any -> talk DENY udp ------ anywhere anywhere any -> who DENY udp ------ anywhere anywhere any -> nfs ACCEPT udp ------ sherlock.work.de anywhere domain -> any ACCEPT udp ------ hulk.work.de anywhere domain -> any DENY icmp ------ anywhere anywhere redirect DENY udp ------ anywhere anywhere any -> any REJECT tcp -y--l- anywhere anywhere any -> any Chain devchain (1 references): Chain maschain (1 references): target prot opt source destination ports MASQ all ------ anywhere anywhere n/a #----# Soweit ich das beurteilen kann, sollte allles ganz normal gehen. Warum wird also DCC von aussen zugelassen, aber DCC von innen ins www abgewürgt ? :((((((( -- There are many intelligent species in the universe. They all own cats. ---------------------------------- Registierter Linux - User #177159 ICQ - UIN : 51735624 HP : http://members.tripod.de/LinuxCobra/
At 09:37 12.08.2001 +0200, Marco Jaeger wrote:
Warum wird also DCC von aussen zugelassen, aber DCC von innen ins www abgewürgt ?
du brauchst ein connectiontracking modul, wie bei ftp. für conntracking brauchst du jedoch auch Kernel 2.4 & iptables also viel spass beim updaten. -- --/-/------ Lukas Beeler ---- lukas.beeler@projectdream.org -----------\-\-- \ \ Project: D.R.E.A.M, every.de -- Your Community / /
Am 12-Aug-01 schrieb Lukas Beeler :
At 09:37 12.08.2001 +0200, Marco Jaeger wrote:
Warum wird also DCC von aussen zugelassen, aber DCC von innen ins www abgewürgt ?
du brauchst ein connectiontracking modul, wie bei ftp. für conntracking brauchst du jedoch auch Kernel 2.4 & iptables also viel spass beim updaten.
*g* Kernel 2.4.4-4GB ist bereits am laufen - aber nur der standardkernel von 7.2 iptables ist auch installiert ---------------------------------- Registierter Linux - User #177159 ICQ - UIN : 51735624 HP : http://members.tripod.de/LinuxCobra/
At 14:12 12.08.2001 +0200, Marco_Jaeger@gmx.de wrote:
*g* Kernel 2.4.4-4GB ist bereits am laufen - aber nur der standardkernel von 7.2 iptables ist auch installiert
modprobe ip_conntrack_irc wenn alles richtig konfiguriert ist -- --/-/------ Lukas Beeler ---- lukas.beeler@projectdream.org -----------\-\-- \ \ Project: D.R.E.A.M, every.de -- Your Community / /
On Sunday 12 August 2001 15:02, you wrote:
At 14:12 12.08.2001 +0200, Marco_Jaeger@gmx.de wrote:
*g* Kernel 2.4.4-4GB ist bereits am laufen - aber nur der standardkernel von 7.2 iptables ist auch installiert
modprobe ip_conntrack_irc wenn alles richtig konfiguriert ist
mmh, damit hab ich auch ein Problem: Ich hab massenweise netfilter-Module unter /lib/modules/2.4.8/build/net/ipv4/netfilter, aber er kann keines davon einfach so laden. Ich muss immer den kompletten Pfad angeben .. gibt's da keine einfachere Loesung? Gerd -- /"\ \ / ASCII Ribbon Campaign x Say NO to HTML in email and news !! / \
At 15:26 12.08.2001 +0200, Gerhard Feiner wrote:
mmh, damit hab ich auch ein Problem: Ich hab massenweise netfilter-Module unter /lib/modules/2.4.8/build/net/ipv4/netfilter, aber er kann keines davon einfach so laden.
depmod -a
Ich muss immer den kompletten Pfad angeben .. gibt's da keine einfachere Loesung?
fehler in den initscripts die bei jedem reboot depmod -a ausführen sollten -- --/-/------ Lukas Beeler ---- lukas.beeler@projectdream.org -----------\-\-- \ \ Project: D.R.E.A.M, every.de -- Your Community / /
On Sunday 12 August 2001 15:33, you wrote:
At 15:26 12.08.2001 +0200, Gerhard Feiner wrote:
mmh, damit hab ich auch ein Problem: Ich hab massenweise netfilter-Module unter /lib/modules/2.4.8/build/net/ipv4/netfilter, aber er kann keines davon einfach so laden.
depmod -a
Ich muss immer den kompletten Pfad angeben .. gibt's da keine einfachere Loesung?
fehler in den initscripts die bei jedem reboot depmod -a ausführen sollten
mmh, aber eigentlich sollte ja ein einmaliges depmod -a (welches ich gemacht habe) ausreichen. Tut es aber nicht. Es passiert nix. Auch wenn ich versuche die Module direkt nach einem depmod -a zu laden geht es nicht. Gerd -- /"\ \ / ASCII Ribbon Campaign x Say NO to HTML in email and news !! / \
Hallo Gerhard, * Gerhard schrieb:
On Sunday 12 August 2001 15:33, you wrote:
At 15:26 12.08.2001 +0200, Gerhard Feiner wrote:
mmh, damit hab ich auch ein Problem: Ich hab massenweise netfilter-Module unter /lib/modules/2.4.8/build/net/ipv4/netfilter, aber er kann keines davon einfach so laden.
depmod -a
Ich muss immer den kompletten Pfad angeben .. gibt's da keine einfachere Loesung?
fehler in den initscripts die bei jedem reboot depmod -a ausführen sollten
mmh, aber eigentlich sollte ja ein einmaliges depmod -a (welches ich gemacht habe) ausreichen. Tut es aber nicht. Es passiert nix. Auch wenn ich versuche die Module direkt nach einem depmod -a zu laden geht es nicht.
Zu alte modutils? uname -a , passend zu den Modulen. -- bye Waldemar
Hallo, * On Sun, 12 Aug 2001, at 15:26 (+0200) Gerhard Feiner wrote:
mmh, damit hab ich auch ein Problem: Ich hab massenweise netfilter-Module unter /lib/modules/2.4.8/build/net/ipv4/netfilter, aber er kann keines davon einfach so laden. Ich muss immer den kompletten Pfad angeben .. gibt's da keine einfachere Loesung?
Gibst Du vielleicht die Endung ".o" beim Laden des Moduls mit an? Falls ja, dann musst Du auch den vollstaendigen Pfad angeben. Ich wuerde hier aber sowieso empfehlen (sofern Du das noch nicht getan hast), nicht "insmod", sondern "modprobe" zu verwenden. Hier (SuSE Linux 7.2, "linux-2.4.8") tut ein "modprobe ip_conntrack_ftp" jedenfalls problemlos. Viele Gruesse, Steffen
Hallo, * On Sun, 12 Aug 2001, at 15:02 (+0200) Lukas Beeler wrote:
modprobe ip_conntrack_irc wenn alles richtig konfiguriert ist
Ist dieses Kernel-Modul "ip_conntrack_irc" eigentlich eine "Besonderheit" des SuSE-Kernels oder wurden die Sourcen dazu separat heruntergeladen und uebersetzt? Bei meinem Kernel ("linux-2.4.8" von "kernel.org") gibt es lediglich das Modul, welches fuer aktives FTP notwendig ist ("ip_conntrack_ftp") - oder uebersehe ich hier etwas? Viele Gruesse, Steffen
Hallo Steffen, * Steffen schrieb:
Hallo,
* On Sun, 12 Aug 2001, at 15:02 (+0200) Lukas Beeler wrote:
modprobe ip_conntrack_irc wenn alles richtig konfiguriert ist
Ist dieses Kernel-Modul "ip_conntrack_irc" eigentlich eine "Besonderheit" des SuSE-Kernels oder wurden die Sourcen dazu separat heruntergeladen und uebersetzt?
Bei meinem Kernel ("linux-2.4.8" von "kernel.org") gibt es lediglich das Modul, welches fuer aktives FTP notwendig ist ("ip_conntrack_ftp") - oder uebersehe ich hier etwas?
Der Patch für ip_conntrack_irc ist beim iptables-paket dabei. Es ist noch nicht eingeflossen in 2.4.8. Ich sage nur "patch-o-matic". -- bye Waldemar
On Mon, Aug 13, 2001 at 01:31:10PM +0200, Waldemar Brodkorb wrote:
Der Patch für ip_conntrack_irc ist beim iptables-paket dabei. Es ist noch nicht eingeflossen in 2.4.8.
kein wunder, schliesslich ist das teil auch nur experimentell. Und auf sowas verzichte ich normalerweise lieber. DCC ist mir nicht wichtig genug, um etwas experimentelles in den Kernelspace meines routers zu laden.
Ich sage nur "patch-o-matic".
ich sag normalerweise nur:
google.com ist dein freund
--
Lukas Beeler
Am 13-Aug-01 schrieb Lukas Beeler :
On Mon, Aug 13, 2001 at 01:31:10PM +0200, Waldemar Brodkorb wrote:
Der Patch für ip_conntrack_irc ist beim iptables-paket dabei. Es ist noch nicht eingeflossen in 2.4.8.
kein wunder, schliesslich ist das teil auch nur experimentell. Und auf sowas verzichte ich normalerweise lieber. DCC ist mir nicht wichtig genug, um etwas experimentelles in den Kernelspace meines routers zu laden.
Ich sage nur "patch-o-matic".
ich sag normalerweise nur: google.com ist dein freund
google hat aber den nachteil das man da auch ned weiß wonach man suchen soll / muß - zb. wo kann man erfahren , ab welchem kernel was drin iss ? Imho kenne ich nur eine Lösung : neuen kernel saugen und testen .... nur iss es relativ dumm, sich nen kernel zu saugen, der dann noch immer die "schwachstelle" hat und den patch brauch. -- You can't carve your way to success without cutting remarks. ---------------------------------- Registierter Linux - User #177159 ICQ - UIN : 51735624 HP : http://members.tripod.de/LinuxCobra/
On Sun, Aug 19, 2001 at 05:24:43PM +0200, Marco_Jaeger@gmx.de wrote:
google hat aber den nachteil das man da auch ned wei? wonach man suchen soll / mu? - zb. wo kann man erfahren , ab welchem kernel was drin iss ?
kernel.org ChangeLog
Imho kenne ich nur eine L?sung : neuen kernel saugen und testen .... nur iss es relativ dumm, sich nen kernel zu saugen, der dann noch immer die "schwachstelle" hat und den patch brauch.
also ich war bei google mit "netfilter conntrack dcc irc" erfolgreich
--
Lukas Beeler
Am 19-Aug-01 schrieb Lukas Beeler :
On Sun, Aug 19, 2001 at 05:24:43PM +0200, Marco_Jaeger@gmx.de wrote:
google hat aber den nachteil das man da auch ned wei? wonach man suchen soll / mu? - zb. wo kann man erfahren , ab welchem kernel was drin iss ?
kernel.org ChangeLog
hmhm also ich erkenne da nur wer was gemacht hat im aktuell stabilen - nicht was zb erst in einer instabilen ist, oder bereits schon etwas länger drin ist. Realbeispiel : die beschreibung ( heute ) betraf 2.4.9 - und was sich seit 2.4.8 getan hat da ich ja ( noch ) den 2.4.4 original suse habe, wäre für mich nur dann ein saugen des neuersten kernels intressant, wenn ich wüßte das diese oder jene funktion, die im 2.4.4 noch nicht sind und ich benötige, bereits enthalten sind. Oder ob das zb erst in der version 2.5.x oder später enthalten sind.
Imho kenne ich nur eine Lösung : neuen kernel saugen und testen .... nur iss es relativ dumm, sich nen kernel zu saugen, der dann noch immer die "schwachstelle" hat und den patch brauch.
also ich war bei google mit "netfilter conntrack dcc irc" erfolgreich
ok wenn man 33 einträge als "Erfolg" ansieht von denen 10 aus ML-Archiven und 4 nicht in englisch/deutsch sind. auserdem wurde nur in allen ! Einträgen das Thema Kernel 2.4 und der patch behandelt, bzw dessen Endkonfiguration. aber eine alternative ist da, soweit ich das sehen konnte, nicht dabei ( weder kernel 2.2 noch 2.4 + patch = Alternative ) -- "The pyramid is opening!" "Which one?" "The one with the ever-widening hole in it!" -- Firesign Theater, "How Can You Be In Two Places At Once When You're Not Anywhere At All" ---------------------------------- Registierter Linux - User #177159 ICQ - UIN : 51735624 HP : http://members.tripod.de/LinuxCobra/
Am 12-Aug-01 schrieb Lukas Beeler :
At 14:12 12.08.2001 +0200, Marco_Jaeger@gmx.de wrote:
*g* Kernel 2.4.4-4GB ist bereits am laufen - aber nur der standardkernel von 7.2 iptables ist auch installiert
modprobe ip_conntrack_irc wenn alles richtig konfiguriert ist --
hmhm ok hatte aus versehen die personal-FW noch auf masq *g* deakiviert - init 1 - init 3 - einwahl - PC2 findet das www nicht :( dann nochmal alles duchchecken - alles ok - FW1 auch auf yes - init 1 - init 3 - einwahl - IRC geht - DCC nicht bash router > modprobe ip_conntrack_irc modprobe: Can't locate module ip_conntrack_irc hmhm - so wies aussieht iss irgendwas noch "falsch" - nur da im handbuch nur die fw1 und laut infos in dem tar.gz zur fw2 alles gehen müßte.... sorry aber ich sitz da und blick nix mehr ---------------------------------- Registierter Linux - User #177159 ICQ - UIN : 51735624 HP : http://members.tripod.de/LinuxCobra/
Hallo, * On Thu, Aug 16, 2001 at 05:48 PM (+0200), Marco_Jaeger@gmx.de wrote:
bash router > modprobe ip_conntrack_irc modprobe: Can't locate module ip_conntrack_irc
Dieses Modul ist zumindest bei einem Standardkernel (also von "kernel.org") nicht dabei. Wie es beim SuSE-Kernel ausschaut, kann ich nicht sagen. Wie ich aber erst kuerzlich ueber die Liste erfahren habe, existiert ein solches Modul "ip_conntrack_irc". Seine Quellen sind bei denen von "iptables" dabei, die Du unter: http://netfilter.samba.org/ findest. Damit laesst sich ein "ip_conntrack_irc.o" kompilieren, welches dann (wenn es an der richtigen Stelle liegt) nur noch mit "modprobe" geladen werden muss. Dann sollte auch "irc" durch die maskierende Firewall hindurch funktionieren. Gruss, Steffen
Am 16-Aug-01 schrieb Steffen Moser :
Hallo,
* On Thu, Aug 16, 2001 at 05:48 PM (+0200), Marco_Jaeger@gmx.de wrote:
bash router > modprobe ip_conntrack_irc modprobe: Can't locate module ip_conntrack_irc
Dieses Modul ist zumindest bei einem Standardkernel (also von "kernel.org") nicht dabei. Wie es beim SuSE-Kernel ausschaut, kann ich nicht sagen.
Wie ich aber erst kuerzlich ueber die Liste erfahren habe, existiert ein solches Modul "ip_conntrack_irc". Seine Quellen sind bei denen von "iptables" dabei, die Du unter:
findest. Damit laesst sich ein "ip_conntrack_irc.o" kompilieren, welches dann (wenn es an der richtigen Stelle liegt) nur noch mit "modprobe" geladen werden muss. Dann sollte auch "irc" durch die maskierende Firewall hindurch funktionieren.
Gruss, Steffen
nun ja - patch installiert, versucht via kernel denselben einzubinden ( als als modul ) - error bei make modules :-((( --- also soweit ich das sehe, hab ich 2 Möglichkeiten : 1. den patch und den 2.4-er Kernel vergessen und den 2.2 nehmen, oder 2. weitertesten bis ich die option gefunden habe die fehlerhaft ist. Oder gibts noch einen besseren Weg ? -- Bubble Memory, n.: A derogatory term, usually referring to a person's intelligence. See also "vacuum tube". ---------------------------------- Registierter Linux - User #177159 ICQ - UIN : 51735624 HP : http://members.tripod.de/LinuxCobra/
* On Thu, Aug 16, 2001 at 05:48:01PM +0200, Marco_Jaeger@gmx.de wrote:
Am 12-Aug-01 schrieb Lukas Beeler :
At 14:12 12.08.2001 +0200, Marco_Jaeger@gmx.de wrote:
*g* Kernel 2.4.4-4GB ist bereits am laufen - aber nur der standardkernel von 7.2 iptables ist auch installiert
modprobe ip_conntrack_irc wenn alles richtig konfiguriert ist --
hmhm ok hatte aus versehen die personal-FW noch auf masq *g* deakiviert - init 1 - init 3 - einwahl - PC2 findet das www nicht :( dann nochmal alles duchchecken - alles ok - FW1 auch auf yes - init 1 - init 3 - einwahl - IRC geht - DCC nicht
So sollte es im "Normalfall" auch sein. Setzt deine fw1 event. ein "! -y" ein? Das wuerde erklaeren warum du nicht von "aussen" kontaktiert werden darfst. Sinnvoll, man kann doch mailen ;) Ansonsten mach den Kontaktport auf. Gruß Clemens -- Usenet-talk: Vol.2 sig_52 SCNR = sorry, could not resist TIA = thanx in advance <> NAK = not acknowledged LOL = laughting out loud <> HTH = hope that helps more =>> -*- www.tuxedo.org/~esr/jargon -*- ---------------------------------------------------
Clemens Wohld schrieb:
So sollte es im "Normalfall" auch sein. Setzt deine fw1 event. ein "! -y" ein? Das wuerde erklaeren warum du nicht von "aussen" kontaktiert werden darfst.
Sinnvoll, man kann doch mailen ;) Ansonsten mach den Kontaktport auf.
Die beste Lösung: einen Socks-Server installieren und darüber zum IRC connecten. Dann funktioniert auf jeden Fall alles (tested) - ist auch gut für ICQ - da funktioniert dann nämlich auch restlos alles ;-) Empfehlung: Dante installieren! Gruß Julian
* On Thu, Aug 16, 2001 at 05:48:01PM +0200, Marco_Jaeger@gmx.de wrote:
Am 12-Aug-01 schrieb Lukas Beeler :
At 14:12 12.08.2001 +0200, Marco_Jaeger@gmx.de wrote:
*g* Kernel 2.4.4-4GB ist bereits am laufen - aber nur der standardkernel von 7.2 iptables ist auch installiert
*aaaahhhrg* iptables. Sorry, nich gesehen als ich gerad die Antwort tipperte. Bezog mich auf ipchains. Gruß Clemens -- Usenet-talk: Vol.1 sig_51 IMHO = in my humble opinion <> BTW = by the way IIRC = if I remember Correctly<> AFAIK = as far as I know ROTFL= rolling on the floor laughing <> *g* = grins more =>> -*- www.tuxedo.org/~esr/jargon -*- ---------------------------------------------------------
Marco_Jaeger@gmx.de schrieb am Sonntag den 12. August 2001: Hallo Marco,
#----# ipchains router ( fw2 ) Chain input (policy ACCEPT): target prot opt source destination ports devchain all ------ anywhere anywhere n/a Chain forward (policy ACCEPT): target prot opt source destination ports maschain all ------ anywhere anywhere n/a Chain output (policy ACCEPT): Chain rulchain (0 references): target prot opt source destination ports DENY udp ------ anywhere anywhere any -> 1012 DENY udp ------ anywhere anywhere any -> 880 DENY udp ------ anywhere anywhere any -> sunrpc DENY udp ------ anywhere anywhere any -> time DENY udp ------ anywhere anywhere any -> 1042 DENY udp ------ anywhere anywhere any -> 1041 DENY udp ------ anywhere anywhere any -> 1040 DENY udp ------ anywhere anywhere any -> router DENY udp ------ anywhere anywhere any -> ntalk DENY udp ------ anywhere anywhere any -> talk DENY udp ------ anywhere anywhere any -> who DENY udp ------ anywhere anywhere any -> nfs ACCEPT udp ------ sherlock.work.de anywhere domain -> any ACCEPT udp ------ hulk.work.de anywhere domain -> any DENY icmp ------ anywhere anywhere redirect DENY udp ------ anywhere anywhere any -> any REJECT tcp -y--l- anywhere anywhere any -> any Chain devchain (1 references): Chain maschain (1 references): target prot opt source destination ports MASQ all ------ anywhere anywhere n/a #----#
So wie das hier steht, filterst Du eigentlich überhaupt nichts. Das einzige, was Deine "Firewall" macht ist Masquerading... Ums mal aufzumalen: input (policy ACCEPT) --> devchain (keine Regeln): alles kommt durch forward (policy ACCEPT) --> maschain MASQ: alles wird maskiert output (policy ACCEPT) (keine Regeln): alles kommt durch rulchain wird nicht benutzt (0 references)! Was Du für die IRC-Geschichte suchst: Kernel 2.4.x, iptables, und das Modul ip_conntrack_irc. Gruß Jens -- .. may the Tux be with you! #130250
participants (9)
-
Clemens Wohld -
Gerhard Feiner -
Jens Tautenhahn -
Julian Pawlowski -
Lukas Beeler -
Lukas Beeler -
Marco_Jaeger@gmx.de -
Steffen Moser -
Waldemar Brodkorb