Fehler: MTU 1492 ist zu hoch gewesen. Habe die AVM DSL-Modem PCI-Karte mit den capi Treibern moechte deutlich weniger! Momentan 1400, mal sehen wo er keine zicken mehr macht!
Hallo!
Ich habe mich mal entschlossen selber eine Firewall zu bauen und diese scheint auch sehr sicher zu sein!
(Nein, ich will keinen Firewallbuilder nutzen!
)
Seit ein paar Monaten spiele ich nicht mehr, deswegen ist es mir erst jetzt aufgefallen, dass ich garkeine Spieleserver im Internet erreiche.
NETSTAT von einem Winrechner aus sagt mir
|
Quellcode
|
1
2
3
|
Proto Lokale Adresse Remoteadresse Status
TCP 10.0.0.2:1531 87.237.39.140:443 HERGESTELLT
TCP 10.0.0.2:1533 87.237.38.50:26000 HERGESTELLT
|
Demnach geht es wohl raus, aber es kommt nix rein.
Also habe ich mal die Firewall minimalistisch konfiguriert:
|
Quellcode
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
|
# Generated by iptables-save v1.3.5 on Sun Feb 18 16:43:35 2007
*mangle
:PREROUTING ACCEPT [8974:2015332]
:INPUT ACCEPT [6033:467719]
:FORWARD ACCEPT [2940:1547537]
:OUTPUT ACCEPT [4125:1391154]
:POSTROUTING ACCEPT [7030:2937208]
COMMIT
# Completed on Sun Feb 18 16:43:35 2007
# Generated by iptables-save v1.3.5 on Sun Feb 18 16:43:35 2007
*nat
:PREROUTING ACCEPT [568:56309]
:POSTROUTING ACCEPT [28:2246]
:OUTPUT ACCEPT [67:6045]
[188:11915] -A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Sun Feb 18 16:43:35 2007
# Generated by iptables-save v1.3.5 on Sun Feb 18 16:43:35 2007
*filter
:INPUT ACCEPT [376:51723]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [378:38843]
[0:0] -A INPUT -j LOG --log-level 6
[2349:152100] -A INPUT -s 10.0.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
[1296:187723] -A FORWARD -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
[1303:1287313] -A FORWARD -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A OUTPUT -j LOG --log-level 6
[2035:1094828] -A OUTPUT -o eth0 -p tcp -m tcp --sport 22 -j ACCEPT
COMMIT
# Completed on Sun Feb 18 16:43:35 2007
|
Verbindung ist immernoch nicht moeglich! Weder zu einer Seite mit https noch zu einem Spiel.
Hm, Forwarding von innen nach aussen ist erlaubt, der Connect geht also. Die Input-Regel sagt alles erlauben, es findet aber keine Verbindung statt.
Var/log/messages ist zwar sehr gespraechig, aber nichts ueber die IP 87.237.38.50 oder den PORT 26000.
Die Win Firewall habe ich deaktiviert.
Meine Frage ist:
Warum funktioniert ssh, ftp, http, TS, aber keine Spiele oder https und wie stelle ich das ab?
Als Loesung bleibt meiner Ansicht nach noch die Forwardregel ueber, aber ein IPTABLES -A FORWARD -i ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT ist ein bisschen drastisch und unsicher?!
Fuer Hinweise waehre ich sehr dankbar, wenn sie zur Loesung des Problemes beitragen!
MfG
Uwe
Meine orginal Firewall:
|
Quellcode
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
|
# Generated by iptables-save v1.3.5 on Mon Apr 2 14:10:25 2007
*filter
:INPUT DROP [141:17988]
:FORWARD DROP [338:19344]
:OUTPUT DROP [2:483]
[567:46876] -A INPUT -i lo -j ACCEPT
[2212:168596] -A INPUT -s 10.0.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
[68748:11547945] -A INPUT -j LOG
[10099979:9655208304] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A INPUT -i eth0 -p icmp -m icmp --icmp-type 0 -j ACCEPT
[127:9906] -A INPUT -i ppp0 -p udp -m udp --dport 137 -j DROP
[0:0] -A INPUT -i ppp0 -p udp -m udp --dport 138 -j DROP
[502:24636] -A INPUT -i ppp0 -p tcp -m tcp --dport 139 -j DROP
[0:0] -A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with tcp-reset
[102:5928] -A INPUT -i eth0 -p tcp -m tcp --dport 137:139 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
[4091:265675] -A INPUT -s 10.0.0.0/255.255.255.0 -i eth0 -p udp -m udp --dport 53 -j ACCEPT
[0:0] -A INPUT -s 194.25.2.129 -p udp -m udp --sport 53 -j ACCEPT
[0:0] -A INPUT -s 194.25.2.129 -p tcp -m tcp --sport 53 -j ACCEPT
[1401:163938] -A INPUT -i eth0 -p udp -m udp --dport 137:139 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
[9:540] -A INPUT -i eth0 -p tcp -m tcp --dport 888 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
[267:16020] -A INPUT -i eth0 -p tcp -m tcp --dport 8000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
[1159:68580] -A INPUT -s 10.0.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
[3:172] -A INPUT -s 10.0.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
[0:0] -A INPUT -s 87.237.38.50 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[68596:11533874] -A INPUT -j DROP
[1253745:83927277] -A FORWARD -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
[2231640:3088498853] -A FORWARD -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
[12102459:18135726227] -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[565:46796] -A OUTPUT -o lo -j ACCEPT
[1101:150188] -A OUTPUT -o eth0 -p tcp -m tcp --sport 22 -j ACCEPT
[10538:1186532] -A OUTPUT -j LOG
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 80 -j ACCEPT
[11:924] -A OUTPUT -o eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
[4398:729009] -A OUTPUT -p udp -j REJECT --reject-with icmp-port-unreachable
[347:29795] -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset
[0:0] -A OUTPUT -s 10.0.0.0/255.255.255.0 -o eth0 -p udp -m udp --dport 53 -j ACCEPT
[5848:433635] -A OUTPUT -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT
[0:0] -A OUTPUT -p tcp -m tcp --sport 1024:65535 --dport 53 -j ACCEPT
[0:0] -A OUTPUT -p tcp -m tcp --sport 1024:65535 --dport 21 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p udp -m udp --dport 137:139 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --dport 137:139 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --dport 8000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --dport 888 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 80 -j ACCEPT
[0:0] -A OUTPUT -p tcp -m tcp --sport 80 -j ACCEPT
[6:1232] -A OUTPUT -j DROP
COMMIT
# Completed on Mon Apr 2 14:10:25 2007
# Generated by iptables-save v1.3.5 on Mon Apr 2 14:10:25 2007
*nat
:PREROUTING ACCEPT [93496:13150974]
:POSTROUTING ACCEPT [825:59791]
:OUTPUT ACCEPT [9779:1133828]
[23020:1414994] -A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Mon Apr 2 14:10:25 2007
# Generated by iptables-save v1.3.5 on Mon Apr 2 14:10:25 2007
*mangle
:PREROUTING ACCEPT [13665995:12840267334]
:INPUT ACCEPT [10179285:9667602422]
:FORWARD ACCEPT [3485871:3172506189]
:OUTPUT ACCEPT [12114868:18137192692]
:POSTROUTING ACCEPT [15595654:21308927869]
COMMIT
# Completed on Mon Apr 2 14:10:25 2007
|