seit ich ein kleines firewall-script zusammenkopiert habe kann ich bei mldonkey nicht mehr mit einem edonkey server verbinden. dl/ul und overnet funktionieren normal!
habe jetzt lange probiert aber finde den fehler nicht, währe froh wenn jemand mein skript durchsehen könnte.
-der abschnit für mldonkey ist ganz unten und stammt vom offiziellen board.
-die ports habe ich von netstat.
-da die konfiguration für mldonkey eigentlich stimmen sollte poste ich alles, da ich vermute der fehler liegt an irgend einem konflikt von 2 befehlen...
-wer sonst noch fehler oder ungutes zeug sieht, bitte posten....
Code: Alles auswählen
#!/bin/sh
# Schnittstelle zum lokalen Netzwerk
IFACE_INT=eth0
# Internetschnittstelle - "ippp+" für ISDN
IFACE_EXT=eth1
# Loopback device - bedraf keiner Anpassung
IFACE_LO=lo
# Module
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_tables
modprobe ip_conntrack
# ************
# * POLICIES *
# ************
# Zurücksetzen der Konfiguration
iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X
# Default-Policies setzen - alles fliegt raus
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
# Einschalten von ip-Forwarding
echo "1" > /proc/sys/net/ipv4/ip_forward
# *********
# * INPUT *
# *********
# Soll nicht sein
iptables -A INPUT -p TCP ! --syn -m state --state NEW -j DROP
# Vom internen Netz alles erlauben
iptables -A INPUT -i $IFACE_INT -j ACCEPT
# Vom Loopback Alles erlauben
iptables -A INPUT -i $IFACE_LO -j ACCEPT
# Vom Internet: Darf nicht sein
iptables -A INPUT -i $IFACE_EXT -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i $IFACE_EXT -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i $IFACE_EXT -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i $IFACE_EXT -s 169.254/16 -j DROP
# Vom Internet Erlauben von bereits initialisierten Verbindungen
iptables -A INPUT -i $IFACE_EXT -m state \
--state ESTABLISHED,RELATED -j ACCEPT
# **********
# * OUTPUT *
# **********
# Ins lokale Netzwerk: Alles erlauben
iptables -A OUTPUT -o $IFACE_INT -j ACCEPT
# Ans Loopback: Alles erlauben
iptables -A OUTPUT -o $IFACE_LO -j ACCEPT
# Ins Internet : Alles erlauben
iptables -A OUTPUT -o $IFACE_EXT -j ACCEPT
# Masquerading
iptables -A POSTROUTING -o $IFACE_EXT -t nat -j MASQUERADE
# Den Rest mitprotokollieren
iptables -A OUTPUT -j LOG --log-prefix "Nicht raus: "
iptables -A FORWARD -j LOG --log-prefix "Nicht durch: "
iptables -A INPUT -j LOG --log-prefix "Nicht rein: "
#############
#Others
##########
#msn file transfer
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 6891 -j DNAT --to-destination 192.168.1.20:6891
#active ftp ports
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW --dport 21 -j ACCEPT
#ml-donkey
iptables -A INPUT -i $IFACE_EXT -p tcp ! --syn -j ACCEPT
iptables -A INPUT -i $IFACE_EXT -p tcp -m multiport --dports 4662,5252,1214,6881,6882 --syn -j ACCEPT
iptables -A INPUT -i $IFACE_EXT -p udp -m multiport --dports 4666,5252,1214,6881,6882 -j ACCEPT
#iptables -A INPUT -i $IFACE_EXT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 5252 -j ACCEPT
#iptables -A INPUT -i $IFACE_EXT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 4662 -j ACCEPT
#iptables -A INPUT -i $IFACE_EXT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 6882 -j ACCEPT
#iptables -A INPUT -i $IFACE_EXT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 6881 -j ACCEPT
#iptables -A INPUT -i $IFACE_EXT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 1214 -j ACCEPT
#iptables -A INPUT -i $IFACE_EXT -m state --state NEW,ESTABLISHED,RELATED -p udp --dport 5252 -j ACCEPT
#iptables -A INPUT -i $IFACE_EXT -m state --state NEW,ESTABLISHED,RELATED -p udp --dport 4662 -j ACCEPT
#iptables -A INPUT -i $IFACE_EXT -m state --state NEW,ESTABLISHED,RELATED -p udp --dport 6882 -j ACCEPT
#iptables -A INPUT -i $IFACE_EXT -m state --state NEW,ESTABLISHED,RELATED -p udp --dport 6881 -j ACCEPT
#iptables -A INPUT -i $IFACE_EXT -m state --state NEW,ESTABLISHED,RELATED -p udp --dport 1214 -j ACCEPT
# SYN-FLOODING PROTECTION
iptables -N syn-flood
iptables -A INPUT -i $IFACE_EXT -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -j DROP
# Make sure NEW tcp connections are SYN packets
iptables -A INPUT -i $IFACE_EXT -p tcp ! --syn -m state --state NEW -j DROP
# FRAGMENTS
iptables -A INPUT -i $IFACE_EXT -f -j LOG --log-prefix "IPTABLES FRAGMENTS: "
iptables -A INPUT -i $IFACE_EXT -f -j DROP
edit:
ausserdem landen in /var/log/messages dauernd solche sachen:
Code: Alles auswählen
May 28 19:50:27 server kernel: Nicht rein: IN=eth1 OUT= MAC=00:30:4f:2a:7a:5c:00:a0:c5:42:52:10:08:00 SRC=217.215.32.54 DST=192.168.1.3 LEN=47 TOS=0x00 PREC=0
x00 TTL=115 ID=60740 PROTO=UDP SPT=9021 DPT=5252 LEN=27
May 28 19:50:27 server kernel: Nicht rein: IN=eth1 OUT= MAC=00:30:4f:2a:7a:5c:00:a0:c5:42:52:10:08:00 SRC=81.168.40.218 DST=192.168.1.3 LEN=47 TOS=0x00 PREC=0
x00 TTL=117 ID=177 PROTO=UDP SPT=12912 DPT=5252 LEN=27
May 28 19:50:27 server kernel: Nicht rein: IN=eth1 OUT= MAC=00:30:4f:2a:7a:5c:00:a0:c5:42:52:10:08:00 SRC=217.82.118.70 DST=192.168.1.3 LEN=47 TOS=0x00 PREC=0
x00 TTL=117 ID=30426 PROTO=UDP SPT=12195 DPT=5252 LEN=27
May 28 19:50:28 server kernel: Nicht rein: IN=eth1 OUT= MAC=00:30:4f:2a:7a:5c:00:a0:c5:42:52:10:08:00 SRC=172.181.67.59 DST=192.168.1.3 LEN=47 TOS=0x00 PREC=0
x00 TTL=118 ID=20305 PROTO=UDP SPT=10164 DPT=5252 LEN=27
May 28 19:50:28 server kernel: Nicht rein: IN=eth1 OUT= MAC=00:30:4f:2a:7a:5c:00:a0:c5:42:52:10:08:00 SRC=83.154.83.205 DST=192.168.1.3 LEN=47 TOS=0x00 PREC=0
x00 TTL=117 ID=5816 PROTO=UDP SPT=10450 DPT=5252 LEN=27
May 28 19:50:28 server kernel: Nicht rein: IN=eth1 OUT= MAC=00:30:4f:2a:7a:5c:00:a0:c5:42:52:10:08:00 SRC=211.228.150.210 DST=192.168.1.3 LEN=53 TOS=0x00 PREC
=0x00 TTL=106 ID=26047 PROTO=UDP SPT=6842 DPT=5252 LEN=33
May 28 19:50:28 server kernel: Nicht rein: IN=eth1 OUT= MAC=00:30:4f:2a:7a:5c:00:a0:c5:42:52:10:08:00 SRC=68.84.249.174 DST=192.168.1.3 LEN=47 TOS=0x00 PREC=0
x00 TTL=107 ID=19021 PROTO=UDP SPT=9080 DPT=5252 LEN=27
May 28 19:50:29 server kernel: Nicht rein: IN=eth1 OUT= MAC=00:30:4f:2a:7a:5c:00:a0:c5:42:52:10:08:00 SRC=82.64.254.127 DST=192.168.1.3 LEN=47 TOS=0x00 PREC=0
x00 TTL=118 ID=39857 PROTO=UDP SPT=6734 DPT=5252 LEN=27
May 28 19:50:29 server kernel: Nicht rein: IN=eth1 OUT= MAC=00:30:4f:2a:7a:5c:00:a0:c5:42:52:10:08:00 SRC=82.50.78.197 DST=192.168.1.3 LEN=53 TOS=0x00 PREC=0x
00 TTL=50 ID=7840 PROTO=UDP SPT=12579 DPT=5252 LEN=33
May 28 19:50:29 server kernel: Nicht rein: IN=eth1 OUT= MAC=00:30:4f:2a:7a:5c:00:a0:c5:42:52:10:08:00 SRC=80.219.30.39 DST=192.168.1.3 LEN=47 TOS=0x00 PREC=0x
00 TTL=121 ID=17399 PROTO=UDP SPT=3016 DPT=5252 LEN=27
May 28 19:50:29 server kernel: Nicht rein: IN=eth1 OUT= MAC=00:30:4f:2a:7a:5c:00:a0:c5:42:52:10:08:00 SRC=81.218.115.44 DST=192.168.1.3 LEN=47 TOS=0x00 PREC=0
x00 TTL=115 ID=39532 PROTO=UDP SPT=5714 DPT=5252 LEN=27
May 28 19:50:29 server kernel: Nicht rein: IN=eth1 OUT= MAC=00:30:4f:2a:7a:5c:00:a0:c5:42:52:10:08:00 SRC=24.201.89.164 DST=192.168.1.3 LEN=47 TOS=0x00 PREC=0
x00 TTL=112 ID=2253 PROTO=UDP SPT=65453 DPT=5252 LEN=27
May 28 19:50:29 server kernel: Nicht rein: IN=eth1 OUT= MAC=00:30:4f:2a:7a:5c:00:a0:c5:42:52:10:08:00 SRC=66.171.91.135 DST=192.168.1.3 LEN=47 TOS=0x00 PREC=0
x00 TTL=53 ID=6241 PROTO=UDP SPT=5856 DPT=5252 LEN=27