Hallo Marius,

From the keyboard of Marius,

Hallo Liste, ich möchte einen chain für ICQ in meinem packetfilter (http://sourceforge.net/sg-packetfilter) implentieren. Leider weiß ich nicht ganz genau welche Ports ich dafür freigeben muss und meiner funktioniert nicht...

p_high="1024:65535" p_icq="4000"

$IPT -A OUTPUT -p TCP --sport $p_icq --dport $p_high \ -m state --state NEW -j ACCEPT $IPT -A INPUT -p TCP --dport $p_icq --sport $p_high \ -m state --state NEW -j ACCEPT

Einen chain für ESTABLISHED, RELATED connections habe ich. Eigentlich sollte licq ja den default port 4000 nutzen, aber das Ganze funktioniert nicht. Kxicq2 nutzt wohl den Port 5190, dann habe ich wiederrum gelesen das man die Ports 5010:5030 freigeben soll. Alle Highports möchte ich aber nicht freigeben, also frage ich hier mal. Gibt es verschiedene Filterregeln für verschiedene ICQ Clients? Welche Ports benutzt welcher Client?

Die Kommunikation zwischen ICQ-Server und ICQ-Client erfolgt über UDP Port 4000. Bei manchen Clients kann man das ändern, weiß aber nicht, ob AOL da noch weitere Ports anbietet. Desweiteren wird zur Benutzung von Features, wie Filetransfer oder direkte Nachrichten senden, eine TCP-Connection zwischen Client und Client aufgemacht werden. Den Range der Ports die dabei eingesetzt werden sollen, kann man zum Beispiel bei Licq einstellen. Zum Bleistift 4001-4015. Das bedeutet aber das diese Ports vom Linux-NAT-Router direkt an den Client weitergeleitet werden muß. Läßt sich pro Client IP jeweil mit unterschiedlichem Range auch mit iptables realisieren. Ob das natürlich aus sicherheitstechnischen Gesichtspunkten sinnvoll ist, möchte ich mal dahingestellt lassen. gruß Waldemar -- Are your questions smart enough? http://www.tuxedo.org/~esr/faqs/smart-questions.html