Iptables und Mldonkey.....

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
oli_f
Beiträge: 272
Registriert: 24.10.2003 12:27:05

Iptables und Mldonkey.....

Beitrag von oli_f » 28.05.2004 19:38:29

Ich habe folgendes problem:
seit ich ein kleines firewall-script zusammenkopiert habe kann ich bei mldonkey nicht mehr mit einem edonkey server verbinden. dl/ul und overnet funktionieren normal!

habe jetzt lange probiert aber finde den fehler nicht, währe froh wenn jemand mein skript durchsehen könnte.

-der abschnit für mldonkey ist ganz unten und stammt vom offiziellen board.
-die ports habe ich von netstat.
-da die konfiguration für mldonkey eigentlich stimmen sollte poste ich alles, da ich vermute der fehler liegt an irgend einem konflikt von 2 befehlen...
-wer sonst noch fehler oder ungutes zeug sieht, bitte posten....

Code: Alles auswählen

#!/bin/sh

  # Schnittstelle zum lokalen Netzwerk
  IFACE_INT=eth0

  # Internetschnittstelle - "ippp+" für ISDN
  IFACE_EXT=eth1

  # Loopback device - bedraf keiner Anpassung
  IFACE_LO=lo

  # Module
  modprobe ip_conntrack_ftp
  modprobe ip_nat_ftp
  modprobe ip_tables
  modprobe ip_conntrack

# ************
# * POLICIES *
# ************

  # Zurücksetzen der Konfiguration
  iptables -F
  iptables -t nat -F

  iptables -X
  iptables -t nat -X

  # Default-Policies setzen - alles fliegt raus
  iptables -P INPUT DROP
  iptables -P FORWARD DROP
  iptables -P OUTPUT DROP

  # Einschalten von ip-Forwarding
  echo "1" > /proc/sys/net/ipv4/ip_forward

# *********
# * INPUT *
# *********

  # Soll nicht sein
  iptables -A INPUT -p TCP ! --syn -m state --state NEW -j DROP

  # Vom internen Netz alles erlauben
  iptables -A INPUT -i $IFACE_INT -j ACCEPT

  # Vom Loopback Alles erlauben
  iptables -A INPUT -i $IFACE_LO -j ACCEPT

  # Vom Internet: Darf nicht sein
  iptables -A INPUT -i $IFACE_EXT  -s 10.0.0.0/8 -j DROP
  iptables -A INPUT -i $IFACE_EXT  -s 172.16.0.0/12 -j DROP
  iptables -A INPUT -i $IFACE_EXT  -s 192.168.0.0/16 -j DROP
  iptables -A INPUT -i $IFACE_EXT  -s 169.254/16 -j DROP

  # Vom Internet Erlauben von bereits initialisierten Verbindungen
  iptables -A INPUT -i $IFACE_EXT -m state \
--state ESTABLISHED,RELATED -j ACCEPT


# **********
# * OUTPUT *
# **********

  # Ins lokale Netzwerk: Alles erlauben
  iptables -A OUTPUT -o $IFACE_INT -j ACCEPT

  # Ans Loopback: Alles erlauben
  iptables -A OUTPUT -o $IFACE_LO -j ACCEPT

  # Ins Internet : Alles erlauben
  iptables -A OUTPUT -o $IFACE_EXT -j ACCEPT



  # Masquerading
  iptables -A POSTROUTING -o $IFACE_EXT -t nat -j MASQUERADE


  # Den Rest mitprotokollieren
  iptables -A OUTPUT -j LOG --log-prefix "Nicht raus: "
  iptables -A FORWARD -j LOG --log-prefix "Nicht durch: "
  iptables -A INPUT -j LOG --log-prefix "Nicht rein: "


#############
#Others
##########

#msn file transfer
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 6891 -j DNAT --to-destination 192.168.1.20:6891

#active ftp ports
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT  -p tcp -m state --state NEW  --dport 21 -j ACCEPT

#ml-donkey
iptables -A INPUT -i $IFACE_EXT -p tcp ! --syn -j ACCEPT
iptables -A INPUT -i $IFACE_EXT -p tcp -m multiport --dports 4662,5252,1214,6881,6882 --syn -j ACCEPT
iptables -A INPUT -i $IFACE_EXT -p udp -m multiport --dports 4666,5252,1214,6881,6882 -j ACCEPT

#iptables -A INPUT -i $IFACE_EXT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 5252 -j ACCEPT
#iptables -A INPUT -i $IFACE_EXT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 4662 -j ACCEPT
#iptables -A INPUT -i $IFACE_EXT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 6882 -j ACCEPT
#iptables -A INPUT -i $IFACE_EXT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 6881 -j ACCEPT
#iptables -A INPUT -i $IFACE_EXT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 1214 -j ACCEPT

#iptables -A INPUT -i $IFACE_EXT -m state --state NEW,ESTABLISHED,RELATED -p udp --dport 5252 -j ACCEPT
#iptables -A INPUT -i $IFACE_EXT -m state --state NEW,ESTABLISHED,RELATED -p udp --dport 4662 -j ACCEPT
#iptables -A INPUT -i $IFACE_EXT -m state --state NEW,ESTABLISHED,RELATED -p udp --dport 6882 -j ACCEPT
#iptables -A INPUT -i $IFACE_EXT -m state --state NEW,ESTABLISHED,RELATED -p udp --dport 6881 -j ACCEPT
#iptables -A INPUT -i $IFACE_EXT -m state --state NEW,ESTABLISHED,RELATED -p udp --dport 1214 -j ACCEPT


# SYN-FLOODING PROTECTION
iptables -N syn-flood
iptables -A INPUT -i $IFACE_EXT -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -j DROP

# Make sure NEW tcp connections are SYN packets
iptables -A INPUT -i $IFACE_EXT -p tcp ! --syn -m state --state NEW -j DROP

# FRAGMENTS
iptables -A INPUT -i $IFACE_EXT -f -j LOG --log-prefix "IPTABLES FRAGMENTS: "
iptables -A INPUT -i $IFACE_EXT -f -j DROP
schon mal danke für die geduld :)

edit:

ausserdem landen in /var/log/messages dauernd solche sachen:

Code: Alles auswählen

May 28 19:50:27 server kernel: Nicht rein: IN=eth1 OUT= MAC=00:30:4f:2a:7a:5c:00:a0:c5:42:52:10:08:00 SRC=217.215.32.54 DST=192.168.1.3 LEN=47 TOS=0x00 PREC=0
x00 TTL=115 ID=60740 PROTO=UDP SPT=9021 DPT=5252 LEN=27
May 28 19:50:27 server kernel: Nicht rein: IN=eth1 OUT= MAC=00:30:4f:2a:7a:5c:00:a0:c5:42:52:10:08:00 SRC=81.168.40.218 DST=192.168.1.3 LEN=47 TOS=0x00 PREC=0
x00 TTL=117 ID=177 PROTO=UDP SPT=12912 DPT=5252 LEN=27
May 28 19:50:27 server kernel: Nicht rein: IN=eth1 OUT= MAC=00:30:4f:2a:7a:5c:00:a0:c5:42:52:10:08:00 SRC=217.82.118.70 DST=192.168.1.3 LEN=47 TOS=0x00 PREC=0
x00 TTL=117 ID=30426 PROTO=UDP SPT=12195 DPT=5252 LEN=27
May 28 19:50:28 server kernel: Nicht rein: IN=eth1 OUT= MAC=00:30:4f:2a:7a:5c:00:a0:c5:42:52:10:08:00 SRC=172.181.67.59 DST=192.168.1.3 LEN=47 TOS=0x00 PREC=0
x00 TTL=118 ID=20305 PROTO=UDP SPT=10164 DPT=5252 LEN=27
May 28 19:50:28 server kernel: Nicht rein: IN=eth1 OUT= MAC=00:30:4f:2a:7a:5c:00:a0:c5:42:52:10:08:00 SRC=83.154.83.205 DST=192.168.1.3 LEN=47 TOS=0x00 PREC=0
x00 TTL=117 ID=5816 PROTO=UDP SPT=10450 DPT=5252 LEN=27
May 28 19:50:28 server kernel: Nicht rein: IN=eth1 OUT= MAC=00:30:4f:2a:7a:5c:00:a0:c5:42:52:10:08:00 SRC=211.228.150.210 DST=192.168.1.3 LEN=53 TOS=0x00 PREC
=0x00 TTL=106 ID=26047 PROTO=UDP SPT=6842 DPT=5252 LEN=33
May 28 19:50:28 server kernel: Nicht rein: IN=eth1 OUT= MAC=00:30:4f:2a:7a:5c:00:a0:c5:42:52:10:08:00 SRC=68.84.249.174 DST=192.168.1.3 LEN=47 TOS=0x00 PREC=0
x00 TTL=107 ID=19021 PROTO=UDP SPT=9080 DPT=5252 LEN=27
May 28 19:50:29 server kernel: Nicht rein: IN=eth1 OUT= MAC=00:30:4f:2a:7a:5c:00:a0:c5:42:52:10:08:00 SRC=82.64.254.127 DST=192.168.1.3 LEN=47 TOS=0x00 PREC=0
x00 TTL=118 ID=39857 PROTO=UDP SPT=6734 DPT=5252 LEN=27
May 28 19:50:29 server kernel: Nicht rein: IN=eth1 OUT= MAC=00:30:4f:2a:7a:5c:00:a0:c5:42:52:10:08:00 SRC=82.50.78.197 DST=192.168.1.3 LEN=53 TOS=0x00 PREC=0x
00 TTL=50 ID=7840 PROTO=UDP SPT=12579 DPT=5252 LEN=33
May 28 19:50:29 server kernel: Nicht rein: IN=eth1 OUT= MAC=00:30:4f:2a:7a:5c:00:a0:c5:42:52:10:08:00 SRC=80.219.30.39 DST=192.168.1.3 LEN=47 TOS=0x00 PREC=0x
00 TTL=121 ID=17399 PROTO=UDP SPT=3016 DPT=5252 LEN=27
May 28 19:50:29 server kernel: Nicht rein: IN=eth1 OUT= MAC=00:30:4f:2a:7a:5c:00:a0:c5:42:52:10:08:00 SRC=81.218.115.44 DST=192.168.1.3 LEN=47 TOS=0x00 PREC=0
x00 TTL=115 ID=39532 PROTO=UDP SPT=5714 DPT=5252 LEN=27
May 28 19:50:29 server kernel: Nicht rein: IN=eth1 OUT= MAC=00:30:4f:2a:7a:5c:00:a0:c5:42:52:10:08:00 SRC=24.201.89.164 DST=192.168.1.3 LEN=47 TOS=0x00 PREC=0
x00 TTL=112 ID=2253 PROTO=UDP SPT=65453 DPT=5252 LEN=27
May 28 19:50:29 server kernel: Nicht rein: IN=eth1 OUT= MAC=00:30:4f:2a:7a:5c:00:a0:c5:42:52:10:08:00 SRC=66.171.91.135 DST=192.168.1.3 LEN=47 TOS=0x00 PREC=0
x00 TTL=53 ID=6241 PROTO=UDP SPT=5856 DPT=5252 LEN=27
error - divided by 0

Antworten