Moin Moin, ich hab ein relativ großes Problem! Und zwar habe ich einen Software Router laufen und möchte ganz gerne auf meinen Clients (192.168.10.50 und 192.168.10.51) Emule nutzen! Allerdings bekomme ich den Port 4662 absolut nicht freigegeben! Mag daran liegen, daß ich zu wenig Erfahrung damit habe, kann aber auch sein, daß ich einfach zu blöd bin! Wenn mir jemand von Euch helfen könnte, wäre ich Euch sehr dankbar! Hier mein derzeitiges Skript: #!/bin/sh # # rc.firewall 0.2.5 # written by piewie # #---------------------------------------------------------------------------- # Abschnitt I : Laden der Module #---------------------------------------------------------------------------- /sbin/modprobe ip_tables /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_conntrack_irc /sbin/modprobe iptable_nat /sbin/modprobe ip_nat_ftp echo "1" > /proc/sys/net/ipv4/ip_forward echo "1" > /proc/sys/net/ipv4/ip_dynaddr # #---------------------------------------------------------------------------- # Abschnitt II : bisherige Regeln löschen und neue Standard-Policy setzen : #---------------------------------------------------------------------------- iptables -F iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP # #---------------------------------------------------------------------------- # Abschnitt III : allgemeine Regeln #---------------------------------------------------------------------------- # dns (Domain Name Server) - Auflösung von Domainnamen in IP-Adressen iptables -A OUTPUT -p udp --sport 1024: --dport 53 -j ACCEPT iptables -A INPUT -p udp -s 194.25.2.129 --sport 53 --dport 1024: -j ACCEPT iptables -A OUTPUT -p tcp --sport 1024: --dport 53 -j ACCEPT iptables -A INPUT -p tcp -s 194.25.2.129 --sport 53 --dport 1024: ! --syn -j ACCEPT # # http ( Hyper Text Transfer Protokol ) - browsen im www iptables -A OUTPUT -p tcp --sport 1024: --dport 80 -j ACCEPT iptables -A INPUT -p tcp --sport 80 --dport 1024: ! --syn -j ACCEPT # # https ( Hyper Text Transfer Protokol Security ) - sicheres browsen im www( iptables -A OUTPUT -p tcp --sport 1024: --dport 443 -j ACCEPT iptables -A INPUT -p tcp --sport 443 --dport 1024: ! --syn -j ACCEPT # # loopback network interface iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT #-------------------------------------------------------------------------- # Abschnitt IV : erweiterte Regeln #---------------------------------------------------------------------------- # smtp ( Simple Mail Transfer Protokol ) - e-mail versenden iptables -A OUTPUT -p tcp --sport 1024: --dport 25 -j ACCEPT iptables -A INPUT -p tcp --sport 25 --dport 1024: ! --syn -j ACCEPT # pop3 ( Post Office Protokoll 3 ) - e-mail empfangen iptables -A OUTPUT -p tcp --sport 1024: --dport 110 -j ACCEPT iptables -A INPUT -p tcp --sport 110 --dport 1024: ! --syn -j ACCEPT # realplayer - Real Audio halt iptables -A INPUT -p tcp --sport 554 --dport 1024: ! --syn -j ACCEPT iptables -A INPUT -p udp --dport 7070 -j ACCEPT iptables -A OUTPUT -p tcp --sport 1024: --dport 554 -j ACCEPT # # nfs ( Network File System ) - Netzlaufwerk - intern erlauben iptables -A INPUT -i eth1 -s 192.168.20.50 -p tcp --sport 602: --dport 111 -j ACCEPT iptables -A INPUT -i eth1 -s 192.168.20.50 -p udp --sport 602: --dport 900: -j ACCEPT iptables -A INPUT -i eth1 -s 192.168.20.50 -p udp --sport 646: --dport 111 -j ACCEPT iptables -A OUTPUT -o eth1 -d 192.168.20.50 -p udp --sport 1024: --dport 634: -j ACCEPT iptables -A OUTPUT -o eth1 -d 192.168.20.50 -p udp --sport 111 --dport 600: -j ACCEPT iptables -A OUTPUT -o eth1 -d 192.168.20.50 -p tcp --sport 1011 --dport 900: -j ACCEPT iptables -A OUTPUT -o eth1 -d 192.168.20.50 -p tcp --sport 111 --dport 600: -j ACCEPT # # ssh ( Secure Shell ) - sichere Remote-Verbindung, nur intern iptables -A INPUT -i eth1 -p tcp -s 192.168.20.50 -d 192.168.20.1 --sport 32000:38000 --dport 22 -j ACCEPT iptables -A OUTPUT -o eth1 -p tcp -s 192.168.20.1 -d 192.168.20.50 --sport 22 --dport 32000:38000 ! --syn -j ACCEPT iptables -A OUTPUT -o eth1 -p tcp -s 192.168.20.1 -d 192.168.20.50 --sport 22 --dport 32000:38000 ! --syn -j ACCEPT iptables -A INPUT -i eth1 -p tcp -s 192.168.20.50 -d 192.168.20.1 --sport 22 --dport 32000:38000 ! --syn -j ACCEPT # telnet - Remote-Verbindung, nur intern. - unverschlsselt ! # iptables -A INPUT -i eth1 -p tcp -s 192.168.20.50 -d 192.168.20.1 --sport 32000: --dport 23 -j ACCEPT # iptables -A OUTPUT -o eth1 -p tcp -s 192.168.20.1 -d 192.168.20.50 --sport 23 --dport 32000: ! --syn -j ACCEPT # iptables -A OUTPUT -o eth1 -p tcp -s 192.168.20.1 -d 192.168.20.50 --sport 1024: --dport 23 -j ACCEPT # iptables -A INPUT -i eth1 -p tcp -s 192.168.20.50 -d 192.168.20.1 --sport 23 --dport 1024: ! --syn -j ACCEPT # # whois - Netzwerk-Managment iptables -A OUTPUT -p tcp --sport 1024: --dport 43 -j ACCEPT iptables -A INPUT -p tcp --sport 43 --dport 1024: ! --syn -j ACCEPT # # finger - Netzwerk-Managment iptables -A OUTPUT -p tcp --sport 1024: --dport 79 -j ACCEPT iptables -A INPUT -p tcp --sport 79 --dport 1024: ! --syn -j ACCEPT #--------------------------------------------------------------------------- # Abschnitt V : ICMP-Einstellungen #-------------------------------------------------------------------------- # icmp ping - ping eben - Netzwerk-Managment iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT iptables -A FORWARD -o ppp0 -p icmp --icmp-type echo-request -j ACCEPT iptables -A FORWARD -i ppp0 -p icmp --icmp-type echo-reply -j ACCEPT # # icmp destination unreachables - Netzwerk-Managment iptables -A OUTPUT -p icmp --icmp-type destination-unreachable -j ACCEPT iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT iptables -A FORWARD -o ppp0 -p icmp --icmp-type destination-unreachable -j ACCEPT iptables -A FORWARD -i ppp0 -p icmp --icmp-type destination-unreachable -j ACCEPT # # icmp source-quench - Netzwerk-Managment iptables -A INPUT -p icmp --icmp-type source-quench -j ACCEPT iptables -A FORWARD -i ppp0 -p icmp --icmp-type source-quench -j ACCEPT # # icmp time-exceeded - Netzwerk-Managment iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT iptables -A FORWARD -i ppp0 -p icmp --icmp-type time-exceeded -j ACCEPT # # icmp parameter-problem - Netzwerk-Managment iptables -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT iptables -A FORWARD -i ppp0 -p icmp --icmp-type parameter-problem -j ACCEPT # # externe netbios-Anfrage ( Network Basic Input/Output System ) - gib Windows keine Chance ! iptables -A INPUT -p udp --dport netbios-ns -j DROP iptables -A INPUT -p udp --dport netbios-dgm -j DROP iptables -A INPUT -p tcp --dport netbios-ssn -j DROP # #-------------------------------------------------------------------------- # Abschnitt VI : Forwarding und Masquerading, ICQ und lopster #------------------------------------------------------------------------------------------------------------ # abgehende Pakete FORWARDING - ( Routing ) Paketweiterleitung iptables -A FORWARD -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT # # ankommende Pakete FORWARDING - ( Routing ) iptables -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT # # NAT ( Network Address Translation ) - Maquerading iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE # # ICQ ( IRC - Internet Relay Chat ) - naja, was wohl iptables -t nat -A PREROUTING -i 192.168.20.1 -p tcp --dport 30000:30005 -j DNAT --to 192.168.20.50 # es folgen Einstellungen für lopster LOPSTER="6680:6699" LOPSTER_NET="3333,3456,4444,5555,6000,6666,6667,6699,7777,8888,8899,9999" iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport $LOPSTER -j DNAT --to 192.168.20.50 iptables -A PREROUTING -t nat -i ppp0 -p tcp --sport $LOPSTER -j DNAT --to 192.168.20.50 iptables -A FORWARD -i ppp0 -p tcp --dport $LOPSTER -d 192.168.217.5 -m state -- state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -o ppp0 -p tcp --sport $LOPSTER -s 192.168.20.1 -m state -- state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth1 -o ppp0 -p tcp -m multiport --dport $LOPSTER_NET -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i ppp0 -p tcp -m multiport --sport $LOPSTER_NET -m state -- state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -o eth1 -p tcp -m multiport --dport $LOPSTER_NET -m state -- state NEW,RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -o ppp0 -p tcp -m multiport --sport $LOPSTER_NET -m state -- state NEW,ESTABLISHED,RELATED -j ACCEPT # #---------------------------------------------------------------------------- # Abschnitt VII : abschließende Regeln #--------------------------------------------------------------------------- # alles andere loggen iptables -A INPUT -j LOG iptables -A OUTPUT -j LOG # # ftp identifikation iptables -A INPUT -p tcp --dport auth -j REJECT --reject-with tcp-reset iptables -A FORWARD -i ppp0 -p tcp --dport auth -j REJECT --reject-with tcp-reset # # restliche eintreffende Pakete verwerfen iptables -A INPUT -j DROP # # Fehlermeldungen an Programme iptables -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset iptables -A OUTPUT -p udp -j REJECT iptables -A OUTPUT -j DROP
Hallo Bastian, Ich sehen nur eth1 kein eth0 wieviel rechner sind im Netz ? Geht diese Regel bei dir schon mal ?? Grüße Patrice Am Die, 2003-04-01 um 10.24 schrieb Bastian:
Moin Moin, ich hab ein relativ großes Problem! Und zwar habe ich einen Software Router laufen und möchte ganz gerne auf meinen Clients (192.168.10.50 und 192.168.10.51) Emule nutzen! Allerdings bekomme ich den Port 4662 absolut nicht freigegeben! Mag daran liegen, daß ich zu wenig Erfahrung damit habe, kann aber auch sein, daß ich einfach zu blöd bin!
Wenn mir jemand von Euch helfen könnte, wäre ich Euch sehr dankbar!
Hier mein derzeitiges Skript:
#!/bin/sh # # rc.firewall 0.2.5 # written by piewie # #----------------------------------------------------------------------------
# Abschnitt I : Laden der Module
#---------------------------------------------------------------------------- /sbin/modprobe ip_tables /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_conntrack_irc /sbin/modprobe iptable_nat /sbin/modprobe ip_nat_ftp echo "1" > /proc/sys/net/ipv4/ip_forward echo "1" > /proc/sys/net/ipv4/ip_dynaddr # #----------------------------------------------------------------------------
# Abschnitt II : bisherige Regeln löschen und neue Standard-Policy setzen :
#---------------------------------------------------------------------------- iptables -F iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP #
#----------------------------------------------------------------------------
# Abschnitt III : allgemeine Regeln
#----------------------------------------------------------------------------
# dns (Domain Name Server) - Auflösung von Domainnamen in IP-Adressen iptables -A OUTPUT -p udp --sport 1024: --dport 53 -j ACCEPT iptables -A INPUT -p udp -s 194.25.2.129 --sport 53 --dport 1024: -j ACCEPT iptables -A OUTPUT -p tcp --sport 1024: --dport 53 -j ACCEPT iptables -A INPUT -p tcp -s 194.25.2.129 --sport 53 --dport 1024: ! --syn -j ACCEPT #
# http ( Hyper Text Transfer Protokol ) - browsen im www iptables -A OUTPUT -p tcp --sport 1024: --dport 80 -j ACCEPT iptables -A INPUT -p tcp --sport 80 --dport 1024: ! --syn -j ACCEPT # # https ( Hyper Text Transfer Protokol Security ) - sicheres browsen im www( iptables -A OUTPUT -p tcp --sport 1024: --dport 443 -j ACCEPT iptables -A INPUT -p tcp --sport 443 --dport 1024: ! --syn -j ACCEPT
# # loopback network interface iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT
#--------------------------------------------------------------------------
# Abschnitt IV : erweiterte Regeln
#----------------------------------------------------------------------------
# smtp ( Simple Mail Transfer Protokol ) - e-mail versenden
iptables -A OUTPUT -p tcp --sport 1024: --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --sport 25 --dport 1024: ! --syn -j ACCEPT
# pop3 ( Post Office Protokoll 3 ) - e-mail empfangen
iptables -A OUTPUT -p tcp --sport 1024: --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --sport 110 --dport 1024: ! --syn -j ACCEPT
# realplayer - Real Audio halt
iptables -A INPUT -p tcp --sport 554 --dport 1024: ! --syn -j ACCEPT
iptables -A INPUT -p udp --dport 7070 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 554 -j ACCEPT
#
# nfs ( Network File System ) - Netzlaufwerk - intern erlauben
iptables -A INPUT -i eth1 -s 192.168.20.50 -p tcp --sport 602: --dport 111 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.20.50 -p udp --sport 602: --dport 900: -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.20.50 -p udp --sport 646: --dport 111 -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.20.50 -p udp --sport 1024: --dport 634: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.20.50 -p udp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.20.50 -p tcp --sport 1011 --dport 900: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.20.50 -p tcp --sport 111 --dport 600: -j ACCEPT
#
# ssh ( Secure Shell ) - sichere Remote-Verbindung, nur intern
iptables -A INPUT -i eth1 -p tcp -s 192.168.20.50 -d 192.168.20.1 --sport 32000:38000 --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp -s 192.168.20.1 -d 192.168.20.50 --sport 22 --dport 32000:38000 ! --syn -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp -s 192.168.20.1 -d 192.168.20.50 --sport 22 --dport 32000:38000 ! --syn -j ACCEPT
iptables -A INPUT -i eth1 -p tcp -s 192.168.20.50 -d 192.168.20.1 --sport 22 --dport 32000:38000 ! --syn -j ACCEPT
# telnet - Remote-Verbindung, nur intern. - unverschlsselt !
# iptables -A INPUT -i eth1 -p tcp -s 192.168.20.50 -d 192.168.20.1 --sport 32000: --dport 23 -j ACCEPT
# iptables -A OUTPUT -o eth1 -p tcp -s 192.168.20.1 -d 192.168.20.50 --sport 23 --dport 32000: ! --syn -j ACCEPT
# iptables -A OUTPUT -o eth1 -p tcp -s 192.168.20.1 -d 192.168.20.50 --sport 1024: --dport 23 -j ACCEPT
# iptables -A INPUT -i eth1 -p tcp -s 192.168.20.50 -d 192.168.20.1 --sport 23 --dport 1024: ! --syn -j ACCEPT
#
# whois - Netzwerk-Managment
iptables -A OUTPUT -p tcp --sport 1024: --dport 43 -j ACCEPT
iptables -A INPUT -p tcp --sport 43 --dport 1024: ! --syn -j ACCEPT
#
# finger - Netzwerk-Managment
iptables -A OUTPUT -p tcp --sport 1024: --dport 79 -j ACCEPT
iptables -A INPUT -p tcp --sport 79 --dport 1024: ! --syn -j ACCEPT
#---------------------------------------------------------------------------
# Abschnitt V : ICMP-Einstellungen
#--------------------------------------------------------------------------
# icmp ping - ping eben - Netzwerk-Managment
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A FORWARD -o ppp0 -p icmp --icmp-type echo-request -j ACCEPT
iptables -A FORWARD -i ppp0 -p icmp --icmp-type echo-reply -j ACCEPT
#
# icmp destination unreachables - Netzwerk-Managment
iptables -A OUTPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A FORWARD -o ppp0 -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A FORWARD -i ppp0 -p icmp --icmp-type destination-unreachable -j ACCEPT
#
# icmp source-quench - Netzwerk-Managment
iptables -A INPUT -p icmp --icmp-type source-quench -j ACCEPT
iptables -A FORWARD -i ppp0 -p icmp --icmp-type source-quench -j ACCEPT
#
# icmp time-exceeded - Netzwerk-Managment
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A FORWARD -i ppp0 -p icmp --icmp-type time-exceeded -j ACCEPT
#
# icmp parameter-problem - Netzwerk-Managment
iptables -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT
iptables -A FORWARD -i ppp0 -p icmp --icmp-type parameter-problem -j ACCEPT
#
# externe netbios-Anfrage ( Network Basic Input/Output System ) - gib Windows keine Chance !
iptables -A INPUT -p udp --dport netbios-ns -j DROP
iptables -A INPUT -p udp --dport netbios-dgm -j DROP
iptables -A INPUT -p tcp --dport netbios-ssn -j DROP
#
#--------------------------------------------------------------------------
# Abschnitt VI : Forwarding und Masquerading, ICQ und lopster
#------------------------------------------------------------------------------------------------------------
# abgehende Pakete FORWARDING - ( Routing ) Paketweiterleitung
iptables -A FORWARD -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#
# ankommende Pakete FORWARDING - ( Routing )
iptables -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#
# NAT ( Network Address Translation ) - Maquerading
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
#
# ICQ ( IRC - Internet Relay Chat ) - naja, was wohl
iptables -t nat -A PREROUTING -i 192.168.20.1 -p tcp --dport 30000:30005 -j DNAT --to 192.168.20.50
# es folgen Einstellungen für lopster
LOPSTER="6680:6699"
LOPSTER_NET="3333,3456,4444,5555,6000,6666,6667,6699,7777,8888,8899,9999"
iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport $LOPSTER -j DNAT --to 192.168.20.50
iptables -A PREROUTING -t nat -i ppp0 -p tcp --sport $LOPSTER -j DNAT --to 192.168.20.50
iptables -A FORWARD -i ppp0 -p tcp --dport $LOPSTER -d 192.168.217.5 -m state -- state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --sport $LOPSTER -s 192.168.20.1 -m state -- state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o ppp0 -p tcp -m multiport --dport $LOPSTER_NET -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ppp0 -p tcp -m multiport --sport $LOPSTER_NET -m state -- state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -o eth1 -p tcp -m multiport --dport $LOPSTER_NET -m state -- state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp -m multiport --sport $LOPSTER_NET -m state -- state NEW,ESTABLISHED,RELATED -j ACCEPT
#
#----------------------------------------------------------------------------
# Abschnitt VII : abschließende Regeln
#---------------------------------------------------------------------------
# alles andere loggen
iptables -A INPUT -j LOG
iptables -A OUTPUT -j LOG
#
# ftp identifikation
iptables -A INPUT -p tcp --dport auth -j REJECT --reject-with tcp-reset
iptables -A FORWARD -i ppp0 -p tcp --dport auth -j REJECT --reject-with tcp-reset
#
# restliche eintreffende Pakete verwerfen
iptables -A INPUT -j DROP
#
# Fehlermeldungen an Programme
iptables -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset
iptables -A OUTPUT -p udp -j REJECT
iptables -A OUTPUT -j DROP
[Achtung, fullquote des Vorredners!] On Tue, 01 Apr 2003, Patrice Staudt wrote:
Ich sehen nur eth1 kein eth0 wieviel rechner sind im Netz ? Geht diese Regel bei dir schon mal ??
Am Die, 2003-04-01 um 10.24 schrieb Bastian: [10 KB TOFU]
Patrice, du willst http://learn.to/quote lesen und befolgen! *PATSCH* -dnh -- 31: Multimedia-Multitasking CD-ROM mit Kopfhöreranschluß. (VOBIS Denkzettel)
participants (3)
-
Bastian -
David Haller -
Patrice Staudt