Moin Moin, ich hab ein relativ großes Problem! Und zwar habe ich einen Software Router laufen und möchte ganz gerne auf meinen Clients (192.168.10.50 und 192.168.10.51) Emule nutzen! Allerdings bekomme ich den Port 4662 absolut nicht freigegeben! Mag daran liegen, daß ich zu wenig Erfahrung damit habe, kann aber auch sein, daß ich einfach zu blöd bin! Wenn mir jemand von Euch helfen könnte, wäre ich Euch sehr dankbar! Hier mein derzeitiges Skript: #!/bin/sh # # rc.firewall 0.2.5 # written by piewie # #---------------------------------------------------------------------------- # Abschnitt I : Laden der Module #---------------------------------------------------------------------------- /sbin/modprobe ip_tables /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_conntrack_irc /sbin/modprobe iptable_nat /sbin/modprobe ip_nat_ftp echo "1" > /proc/sys/net/ipv4/ip_forward echo "1" > /proc/sys/net/ipv4/ip_dynaddr # #---------------------------------------------------------------------------- # Abschnitt II : bisherige Regeln löschen und neue Standard-Policy setzen : #---------------------------------------------------------------------------- iptables -F iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP # #---------------------------------------------------------------------------- # Abschnitt III : allgemeine Regeln #---------------------------------------------------------------------------- # dns (Domain Name Server) - Auflösung von Domainnamen in IP-Adressen iptables -A OUTPUT -p udp --sport 1024: --dport 53 -j ACCEPT iptables -A INPUT -p udp -s 194.25.2.129 --sport 53 --dport 1024: -j ACCEPT iptables -A OUTPUT -p tcp --sport 1024: --dport 53 -j ACCEPT iptables -A INPUT -p tcp -s 194.25.2.129 --sport 53 --dport 1024: ! --syn -j ACCEPT # # http ( Hyper Text Transfer Protokol ) - browsen im www iptables -A OUTPUT -p tcp --sport 1024: --dport 80 -j ACCEPT iptables -A INPUT -p tcp --sport 80 --dport 1024: ! --syn -j ACCEPT # # https ( Hyper Text Transfer Protokol Security ) - sicheres browsen im www( iptables -A OUTPUT -p tcp --sport 1024: --dport 443 -j ACCEPT iptables -A INPUT -p tcp --sport 443 --dport 1024: ! --syn -j ACCEPT # # loopback network interface iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT #-------------------------------------------------------------------------- # Abschnitt IV : erweiterte Regeln #---------------------------------------------------------------------------- # smtp ( Simple Mail Transfer Protokol ) - e-mail versenden iptables -A OUTPUT -p tcp --sport 1024: --dport 25 -j ACCEPT iptables -A INPUT -p tcp --sport 25 --dport 1024: ! --syn -j ACCEPT # pop3 ( Post Office Protokoll 3 ) - e-mail empfangen iptables -A OUTPUT -p tcp --sport 1024: --dport 110 -j ACCEPT iptables -A INPUT -p tcp --sport 110 --dport 1024: ! --syn -j ACCEPT # realplayer - Real Audio halt iptables -A INPUT -p tcp --sport 554 --dport 1024: ! --syn -j ACCEPT iptables -A INPUT -p udp --dport 7070 -j ACCEPT iptables -A OUTPUT -p tcp --sport 1024: --dport 554 -j ACCEPT # # nfs ( Network File System ) - Netzlaufwerk - intern erlauben iptables -A INPUT -i eth1 -s 192.168.20.50 -p tcp --sport 602: --dport 111 -j ACCEPT iptables -A INPUT -i eth1 -s 192.168.20.50 -p udp --sport 602: --dport 900: -j ACCEPT iptables -A INPUT -i eth1 -s 192.168.20.50 -p udp --sport 646: --dport 111 -j ACCEPT iptables -A OUTPUT -o eth1 -d 192.168.20.50 -p udp --sport 1024: --dport 634: -j ACCEPT iptables -A OUTPUT -o eth1 -d 192.168.20.50 -p udp --sport 111 --dport 600: -j ACCEPT iptables -A OUTPUT -o eth1 -d 192.168.20.50 -p tcp --sport 1011 --dport 900: -j ACCEPT iptables -A OUTPUT -o eth1 -d 192.168.20.50 -p tcp --sport 111 --dport 600: -j ACCEPT # # ssh ( Secure Shell ) - sichere Remote-Verbindung, nur intern iptables -A INPUT -i eth1 -p tcp -s 192.168.20.50 -d 192.168.20.1 --sport 32000:38000 --dport 22 -j ACCEPT iptables -A OUTPUT -o eth1 -p tcp -s 192.168.20.1 -d 192.168.20.50 --sport 22 --dport 32000:38000 ! --syn -j ACCEPT iptables -A OUTPUT -o eth1 -p tcp -s 192.168.20.1 -d 192.168.20.50 --sport 22 --dport 32000:38000 ! --syn -j ACCEPT iptables -A INPUT -i eth1 -p tcp -s 192.168.20.50 -d 192.168.20.1 --sport 22 --dport 32000:38000 ! --syn -j ACCEPT # telnet - Remote-Verbindung, nur intern. - unverschlsselt ! # iptables -A INPUT -i eth1 -p tcp -s 192.168.20.50 -d 192.168.20.1 --sport 32000: --dport 23 -j ACCEPT # iptables -A OUTPUT -o eth1 -p tcp -s 192.168.20.1 -d 192.168.20.50 --sport 23 --dport 32000: ! --syn -j ACCEPT # iptables -A OUTPUT -o eth1 -p tcp -s 192.168.20.1 -d 192.168.20.50 --sport 1024: --dport 23 -j ACCEPT # iptables -A INPUT -i eth1 -p tcp -s 192.168.20.50 -d 192.168.20.1 --sport 23 --dport 1024: ! --syn -j ACCEPT # # whois - Netzwerk-Managment iptables -A OUTPUT -p tcp --sport 1024: --dport 43 -j ACCEPT iptables -A INPUT -p tcp --sport 43 --dport 1024: ! --syn -j ACCEPT # # finger - Netzwerk-Managment iptables -A OUTPUT -p tcp --sport 1024: --dport 79 -j ACCEPT iptables -A INPUT -p tcp --sport 79 --dport 1024: ! --syn -j ACCEPT #--------------------------------------------------------------------------- # Abschnitt V : ICMP-Einstellungen #-------------------------------------------------------------------------- # icmp ping - ping eben - Netzwerk-Managment iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT iptables -A FORWARD -o ppp0 -p icmp --icmp-type echo-request -j ACCEPT iptables -A FORWARD -i ppp0 -p icmp --icmp-type echo-reply -j ACCEPT # # icmp destination unreachables - Netzwerk-Managment iptables -A OUTPUT -p icmp --icmp-type destination-unreachable -j ACCEPT iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT iptables -A FORWARD -o ppp0 -p icmp --icmp-type destination-unreachable -j ACCEPT iptables -A FORWARD -i ppp0 -p icmp --icmp-type destination-unreachable -j ACCEPT # # icmp source-quench - Netzwerk-Managment iptables -A INPUT -p icmp --icmp-type source-quench -j ACCEPT iptables -A FORWARD -i ppp0 -p icmp --icmp-type source-quench -j ACCEPT # # icmp time-exceeded - Netzwerk-Managment iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT iptables -A FORWARD -i ppp0 -p icmp --icmp-type time-exceeded -j ACCEPT # # icmp parameter-problem - Netzwerk-Managment iptables -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT iptables -A FORWARD -i ppp0 -p icmp --icmp-type parameter-problem -j ACCEPT # # externe netbios-Anfrage ( Network Basic Input/Output System ) - gib Windows keine Chance ! iptables -A INPUT -p udp --dport netbios-ns -j DROP iptables -A INPUT -p udp --dport netbios-dgm -j DROP iptables -A INPUT -p tcp --dport netbios-ssn -j DROP # #-------------------------------------------------------------------------- # Abschnitt VI : Forwarding und Masquerading, ICQ und lopster #------------------------------------------------------------------------------------------------------------ # abgehende Pakete FORWARDING - ( Routing ) Paketweiterleitung iptables -A FORWARD -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT # # ankommende Pakete FORWARDING - ( Routing ) iptables -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT # # NAT ( Network Address Translation ) - Maquerading iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE # # ICQ ( IRC - Internet Relay Chat ) - naja, was wohl iptables -t nat -A PREROUTING -i 192.168.20.1 -p tcp --dport 30000:30005 -j DNAT --to 192.168.20.50 # es folgen Einstellungen für lopster LOPSTER="6680:6699" LOPSTER_NET="3333,3456,4444,5555,6000,6666,6667,6699,7777,8888,8899,9999" iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport $LOPSTER -j DNAT --to 192.168.20.50 iptables -A PREROUTING -t nat -i ppp0 -p tcp --sport $LOPSTER -j DNAT --to 192.168.20.50 iptables -A FORWARD -i ppp0 -p tcp --dport $LOPSTER -d 192.168.217.5 -m state -- state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -o ppp0 -p tcp --sport $LOPSTER -s 192.168.20.1 -m state -- state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth1 -o ppp0 -p tcp -m multiport --dport $LOPSTER_NET -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i ppp0 -p tcp -m multiport --sport $LOPSTER_NET -m state -- state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -o eth1 -p tcp -m multiport --dport $LOPSTER_NET -m state -- state NEW,RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -o ppp0 -p tcp -m multiport --sport $LOPSTER_NET -m state -- state NEW,ESTABLISHED,RELATED -j ACCEPT # #---------------------------------------------------------------------------- # Abschnitt VII : abschließende Regeln #--------------------------------------------------------------------------- # alles andere loggen iptables -A INPUT -j LOG iptables -A OUTPUT -j LOG # # ftp identifikation iptables -A INPUT -p tcp --dport auth -j REJECT --reject-with tcp-reset iptables -A FORWARD -i ppp0 -p tcp --dport auth -j REJECT --reject-with tcp-reset # # restliche eintreffende Pakete verwerfen iptables -A INPUT -j DROP # # Fehlermeldungen an Programme iptables -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset iptables -A OUTPUT -p udp -j REJECT iptables -A OUTPUT -j DROP