SuSEfirewall2 und Esel

#16

Zitat

macw postete
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_NETS="192.168.XX.X/24"
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_TCP="4661 4662"
FW_SERVICES_EXT_UDP="4665"
FW_SERVICES_INT_TCP="ssh domain 4661 4662"
FW_SERVICES_INT_UDP="ssh domain 4665"
FW_ALLOW_INCOMING_HIGHPORTS_TCP="4661 4662"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="4665"
FW_SERVICE_AUTODETECT="yes"
FW_FORWARD=""
FW_FORWARD_MASQ="0/0,192.168.XX.XX/24,tcp,4661:4662 0/0,192.168.XX.XX/24,udp,4665 192.168.XX.XX/24,0/0,tcp,4661:4662 192.168.XX.XX/24,0/0,udp,4665"

Diese .config funktioniert !!! viel glück (btw wenn jemand eine bessere Lösung hat "her damit")

Die config wird noch nichtmal richtig ausgefuehrt (Suse 7.3) weil das Ziel eine IP sein muß und kein Netz, wie Du es angelegt hast

#17 Die fehlerhafte Zeile ist unnötig, das normale forward von 0.0/0 auf 192.bla reicht aus. Wichtig allerdings nochmals (siehe joschis post): Auch wenn Ihr edonkey gerade erst runtergeladen habt - die Serverliste ist nicht aktuell und MUSS aktualisiert werden. Sonst geht nix.

#18 also bei klappts so leider nicht ganz. Das komische ist, dass der 4661er Port offen ist, die anderen 2 aber nicht. Jetzt darf ich zwar uploden wien irrer, aber,... .

Hab ich hier vielleicht nen Fehler drin?
FW_FORWARD_MASQ="0.0/0,10.10.10.70,tcp,4661:4662 0.0/0,10.10.10.70,udp,4665 10.10.10.70,0.0/0,tcp,4661:4662 10.10.10.70/0,0.0/0,udp,4665"

Oder hat jemand ne idee, woran das liegen könnt?

#19 Ich hab auch versucht die ports auf meinem linux server über die SuSEfirewall2-custom bei
"fw_custom_before_ port handling()" mit folgenden Befehlen freizuschalten:

iptables -A INPUT -i ppp0 -p tcp --dport 4661:4662 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --dport 4665 -j ACCEPT

Funzt nur leider nicht! Sind die Befehle falsch oder muss man vielleicht noch etwas zusätzlich beachten??!?!?

#20 ....endlich!

Ich habe die oben genannten iptables durch die folgenden in der SuSEfirewall2-custom bei
"fw_custom_before_ port handling()" ersetzt:

#tcp port:4661
iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 4661 -j DNAT --to 192.168.0.2:4661
iptables -I FORWARD -p tcp -i ppp0 --dport 4661 -j ACCEPT

#tcp port:4662
iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 4662 -j DNAT --to 192.168.0.2:4662
iptables -I FORWARD -p tcp -i ppp0 --dport 4662 -j ACCEPT

#udp port:4665
iptables -A PREROUTING -t nat -p udp -i ppp0 --dport 4665 -j DNAT --to 192.168.0.2:4665
iptables -I FORWARD -p udp -i ppp0 --dport 4665 -j ACCEPT

Die erste Regel verwandelt das ankommende Packet sozusagen in ein FORWARD-Packet, und wenn dann die Firewall meint ausschließlich Masqu-Packete durchlassen/weiterleiten zu dürfen klappt das mit dem DNAT --to nicht ohne es mit der 2. Regel explizit zu erlauben.

Es geht garantiert auch einfacher aber so funkionierts auch und das ist ja die Hauptsache!

#21 Alles so gemacht, funzt aber immernochnicht. Muss ich dem squid noch irgendwas sagen?

#22 Aus einigen Lösungsvorschlägen, die ich hier gefunden habe, habe ich mir meine eigene Firewall bauen können.
Ich benutze einen Emule-Client (daher der Port 4672) hinter einem Gateway/Router.

1. SuSEfirewall(2) deaktivieren
2. Folgendes Script definiert meine Iptables.
3. Das Script beim Verbindungsaufbau ausführen (/etc/ppp/ip-up)

#!/bin/sh
#
#Routing aktivieren
echo "1" > /proc/sys/net/ipv4/ip_forward

#definierten Zustand erstellen und alle Regeln loeschen
iptables -F
iptables -t nat -F

#Ein Router sollte Pakete vom Typ Destination-unreachable bearbeiten
iptables -A INPUT -i ppp0 -p icmp --icmp-type destination-unreachable -j ACCEPT

#Edonkey-Ports oeffnen
iptables -A FORWARD -p tcp --dport 4662 -j ACCEPT
iptables -A FORWARD -p udp --dport 4672 -j ACCEPT

#Kette erstellen, die neue Verbindungen blockt, es sei denn, sie kommen von innen
#oder es sind Antwortpakete (ESTABLISHED)
iptables -N block
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT

#Von Input und Forward Ketten zu dieser Kette springen
iptables -A INPUT -j block
iptables -A INPUT -j DROP

iptables -A FORWARD -j block
iptables -A FORWARD -LOG --log-prefix "Packets FORWARD DROP -> "
iptables -A FORWARD -j DROP

iptables -A OUTPUT -j block
iptables -A OUTPUT -j DROP

iptables -t nat -A PREROUTING -p tcp --dport 4662 -j DNAT --to-destination 192.168.xx.yy
iptables -t nat -A PREROUTING -p udp --dport 4672 -j DNAT --to-destination 192.168.xx.yy
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

#####ENDE########

Wichtig ist hierbei:
a. aktivieren des IP-Forwarding
b. PREROUTING um das Ziel für eingehende Packete anzugegeben
c. FORWARD für Ports freigeben

Eine gute Problembeschreibung (ohne Lösung) ist in den FAQs bei www.emule.de zu finden.
Die Vorlage für das Script habe ich von www.linuxeinsteiger.org

#23 Hi,

@kudo:
vielleicht hilft es dir, wenn du die Regeln nicht mit der Option -A an das Ruleset anhaengst sondern ganz oben einfuegst (Schalter musst du mal gucken, ich glaube es war -I)

Gruss,
ReverZ

#24

Zitat

auweia postete
Mit lesen habt ihr's nicht so, oder?

1. SuSEfirewall2 ist nur n Frontend für iptables.
Das Ding erzeugt einen Satz von iptables-Regeln aus den Einstellungen in seinem Konfigfile.

2. Wenn man was außer der Reihe einbauen will, kann man immer noch Regeln mit iptables machen
und die dann über SuSEfirewall2-custom einbauen, wo sie automatisch mit der Firewall zusammen gestartet oder gestoppt werden.

3. RTFM!

Kann ich nur zustimmen. Fuer den Normalfall und OttoNormalVerbraucher (wer ist das bei Linux ) ist SFW2 eine gute Basis und kann nach und nach durch -custom erweiter werden. Das erfordert dann allerdings RTFM...
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds

#25 Hi!
Ich hab eben das gleiche Problem mit der SuSE FW2 gehabt.
Desweiteren waren die iptables rules total zugemüllt, da waren hunderte von
einträgen drin !?!?
nach kurzer suche im netz hab ich folgendes skript gebastelt

btw um zu prüfen welche port von außen erreichbar sind kann ich folgende zeiten empfehlen:
http://www.linuxdelta.de/portscan.php
https://grc.com/x/ne.dll?bh0bkyd2

#!/bin/sh

#
#definierten Zustand erstellen und alle Regeln loeschen
iptables -F
iptables -t nat -F

#
#!/bin/sh
modprobe iptable_nat

#!/bin/sh
modprobe iptable_nat

#
#definierten Zustand erstellen und alle Regeln loeschen
iptables -F
iptables -t nat -F

#
#Ein Router sollte Pakete vom Typ Destination-unreachable bearbeiten
iptables -A INPUT -i ppp0 -p icmp --icmp-type destination-unreachable -j ACCEPT

#
#Edonkey-Ports oeffnen
iptables -A INPUT -i ppp0 -p tcp --dport 4661:4662 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --dport 4665 -j ACCEPT
#!/bin/bash
/sbin/ifconfig ppp0 | grep inet | cut -d : -f 2 | cut -d\ -f1
~
~
~
~
~

#
#definierten Zustand erstellen und alle Regeln loeschen
iptables -F
iptables -t nat -F

#
#Ein Router sollte Pakete vom Typ Destination-unreachable bearbeiten
iptables -A INPUT -i ppp0 -p icmp --icmp-type destination-unreachable -j ACCEPT

#
#Edonkey-Ports oeffnen
iptables -A INPUT -i ppp0 -p tcp --dport 4661:4662 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --dport 4665 -j ACCEPT

#
#Ports fuer IRC oeffnen
#
iptables -A INPUT -i ppp0 -p tcp --dport 3334:3335 -j ACCEPT

#WWW Server öffnen
iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT

#SSH
iptables -A INPUT -i ppp0 -p tcp --dport 22 -j ACCEPT

#
#Kette erstellen, die neue Verbindungen blockt, es sei denn, sie kommen von innen
#oder es sind Antwortpakete (ESTABLISHED)
iptables -N block
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT
iptables -A block -j DROP

es funzt eigentlich ganz gut, bislang zumindest :-)

#26 Hi,
habe folgendes Problem mit Edonkey unter Linux:
Ich kann wunderbar saugen, jedoch keiner von mir.ich habe den Client auf meinem Server laufen,der direkt ans Internet gebunden ist.Also nix mit Proxy.

Habe keine Firewall aktiviert und meine IPTABLES sehen folgendermassen aus:

Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:4661:4662
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:4665

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination


sollte doch funktionieren, wenn ich hier alles richtig gelesen habe.

Edit: Habe das selbe nun auch für OUTPUT erstellt. Aber noch immernix.Keiner kann zu mir connecten ich aber zu denen

#27 iptables -A FORWARD -t filter -i ppp0 -s 0/0 -p tcp --dport 4662 -j ACCEPT
iptables -A FORWARD -t filter -i ppp0 -s 0/0 -p udp --dport 4672 -j ACCEPT

iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport 4662 -j DNAT --to-destination 192.168.1.1:4662
iptables -A PREROUTING -t nat -i ppp0 -p udp --dport 4672 -j DNAT --to-destination 192.168.1.1:4672

nur ip muss in die des clients wo emule läuft geändert werden.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#28 Aber auf meinem Server läuft doch der Client.Also muß da doch nichtgeroutet werden.Oder verstehe ich da was falsch????

#29 @Nordtheim

ne in dem Fall nicht.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#30 Guten Morgen,
hier ist meine Lösung für das Problem mit der SuSEfirewall2 und Emule.
Ich habe folgendes Szenario:
Linux Router mit SuSE 8.2 der Emule-Client läuft auf einem Windows 2000 Rechner. Die unten aufgeführte Konfiguration läuft auch unter der SuSE 8.1.
Als erstes sollte man die Firewall updaten, da diese buggy ist.
Wichtig sind die Punkte 10 und 13 bzw. 14 je nach Grundeinstellung der Firewall.

10)
FW_TRUSTED_NETS="0/0"
FW_SERVICES_TRUSTED_TCP="4661:4665"
FW_SERVICES_TRUSTED_UDP="port"
Die beiden Zeilen mit TCP und UDP müssen nachgetragen werden. "port" muß durch den benötigten Port von Emule ersetzt werden.
13)
FW_FORWARD="siehe punkt 14"
14)
FW_FORWARD_MASQ="0/0,zielip,tcp,4661:4665 0/0,zielip,udp,port"
"port" muß durch den benötigten Port von Emule ersetzt werden.

Viel Glück

MFG
Dragon