Firewall mitinstalliert?

[MrFire]

Hallo,
ich hoffe ihr könnt mir weiterhelfen.
ich habe die Sarge Version installiert und alles auf testing Basis umgestellt.
Nun habe ich nachträglich amule installiert und bekomme aber immer eine LoxId. Alle ports sind im Router freigeschaltet und ich ahbe keien Firewall installiert.
Wird bei Sarge eine mitinstalliert?
Ich habe clamAv drauf, doch das dürfte wohl nicht das Problem sein, oder?
Danke schon im voraus

[rolo]

hi und willkommen im forum,

> Wird bei Sarge eine mitinstalliert?
nein bzw. genauer, keine konfigurierte, aber hier findest du entsprechende howtos:
http://www.linux-user.de/ausgabe/2002/0 ... all-4.html
http://www.netfilter.org/documentation/
es gibt dann noch shorewall, die meines wissens aber nicht mehr weiter entwickelt wird - zumindest derzeit und ansonsten auch nicht gerade trivial ist.
ich denke da mußt du dich mal durcharbeiten, wobei der erste link für den anfang, wirklich gut geeignet ist, wie ich finde.
clamav ist ein virenscanner, keine firewall - aber sowas hattest du ja schon vermutet.
es ging dir doch um die firewall? oder um amule? - da wirst du dann die entsprechenden ports freischalten müssen, gibts sicher ein howto für (google z.b.)

bis denn
atropin

[MrFire]

Das clam AV ein Virenscanner ist ist klar. Mir ging es um folgendes:
Ich habe amule installiert und bekomme immer ne LowId. Da aber alle benötigten Ports auf dem Router freigeschaltet sind kannes daran nicht liegen! es bleibt also nur eine Firewall. Doch ich habe wissentlcih kein installiert.
Deshalb meine Frage ob bei Sarge eine mtinstalliert wird. Bei Woody war das nicht der Fall.

[stelmi]

soweit ich weiss, sind iptables "mit"installiert!!

Die "Einstellungen" kannst du dir mittels

Code: Alles auswählen

iptables -L

anzeigen lassen!!!

fg,steve

[MrFire]

Also, Die Ausgabe laute in etwas folgendermaßen:
iptables -L

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination


Allerdings sagt mir das nur, wenn mich meine bescheidenen Kenntnisse nicht im Stich lassen, das nichts blockiert wird.
Was nun?
Ich weiß nicht woran das liegen könnte?

[Capsad]

Hi,
ich tippe mal dass es dann evtl. doch am router liegt - oder geht emule unter win mit highid? Glaube ich musste bei mir ned nur die ports freischalten sondern noch nen virtuellen server auf meine private ip für die ports einrichten, nur ne vermutung, vielleicht liegts daran,
Gruß
Capsad

[siraly]

Hi,

...und wenn's nicht der Router ist, dann könnte doch auch dein Provider der Buhmann sein (sowas soll's heutzutage ja geben

HTH

[rolo]

> Deshalb meine Frage ob bei Sarge eine mtinstalliert wird
iptables halt, genau wie bei woody auch, wenn du einen 2.4er kernel benutzt hast, ansonsten bei einem 2.2er ipchains
hast du meine antwort eigentlich genau gelesen und vielleicht auch die beiden links?
da steht eben das, unter anderem drin, und wie man es konfiguriert halt.

aber du hast ja eh einen router mit firewall davor, welcher von dir richtig eingestellt wurde und die aufgabe übernimmt. wenn du da sicher bist, solltest du, wie siraly schon meinte, mal überprüfen was dein provider zu den entsprechenden ports sagt, es gibt mittlerweile einige, die an der stelle ärger machen.

ansonsten wenn auch das nicht dein problem ist, findest du hier vielleicht noch hilfe:
http://www.amule.org/wiki/index.php/Firewall
falls doch irgendwas an deinen einstellungen nicht ganz ok. ist.

[MrFire]

Also, Emule läfu einwandfrei mit dem router und dem provider (high Id)
Die IPtables können es nicht sein.
einen virtuellen Server einrichten für P2P?
Das würde ja ein großer Schritt in Richtung Windows sein. Da Glaub ich nicht. Aber der Versuch kann nicht schade. Werde es testen.
Habe eine Antwort gelesenund die Links auch, doch das brachte Nichts.
Übrigens: wenn ich die Server anpinge auf den angegebenen Ports dann habe ich normal Geschwindigkeit.
Ich suche mal noch ein wenig!
Übrigens, ich habe den 2.6 Kernel, vielleciht liegt es auch daran.

[MrFire]

Also, ich habe mal die iptables konfiguriert und das nochmal nach den angaben unter dem hier stehenden Link Danach bekomme ich folgende Tabelle.

ACCEPT tcp -- anywhere anywhere tcp dpt:4661
ACCEPT tcp -- anywhere anywhere tcp dpts:4661:4663
ACCEPT udp -- anywhere anywhere udp dpts:4671:4673


Allerdings bekomme ich immer noch eine LOWID

[MrFire]

sagt mal, ich las gerade etwas, das mir ins Auge stach als problem was die LOWID angeht. Ich ahbe i Kernel bisher nur den Support für IPv6 und kein IPv4. Könnte das das Problem sein?

[rolo]

> Übrigens, ich habe den 2.6 Kernel, vielleciht liegt es auch daran.
nein, wohl kaum.

darf man nochmal die frage nach dem provider stellen? bist du z.b. bei tiscali?
> Also, Emule läfu einwandfrei mit dem router und dem provider (high Id)
ups, also wohl eine überflüssige frage, weil du hast sie damit ja schon beantwortet.

[KBDCALLS]

Das normale IPV4 geht ohne irgendwelchen Zusatz. Aber bist du sicher das die Ports wirklich freigeben sind? Mal mit NMAP testen. Rauskriegen welche Wan IP du hast .

Als Beispiel.

Code: Alles auswählen

nmap -p 3000 180.180.180.180

[slater]

Hi...

meines wissen nach bekommt jeder Teilnehmer bei e/aMule/MLDonkey nur dann eine LowID wenn über den port 4662 keine direkte Verbindung zu dem Esel-client beseht.

Will sagen, das es sehr ungewönlich ist das du unter dem gleichen Rechner unter Win eine HI bekommst und unter Lin nur eine Low!!! hast Du vielleicht unterschiedliche Ips in den einzelnen os angegeben?


Google hat bei mir folgendes ergeben:
Die Ports im einzelnen:
4661 TCP nur für den Serverbetrieb benötigt heisst du machst einen eigenen Verzeichnissserver...
*4662 TCP Com Port (Wichtig für die HighIDs!!!!!!)
4665 UDP für das Esel Nachrichtensystem (wer's brauch)
*4672 UDP für die Client 2 Client kommunikation

Die mit * gekennzeichneten sind sozusagen die Wichtigsten!

Was meinst du eigentlich mit freigegeben? die Ports müssen durchgeschleift werden an den Rechner wo der service läuft...

ich hoffe du kommst damit der lösung näher...


Gruß

Slater

[MrFire]

Mit freischalten meine ich das die Ports am Router geöffnet sind.
Bei meinem Rechner sind sie auch offen (somit durchgeschkliffen).
Die IP wird vom Router dynamisch vergebenund der DHCP läuft auf dem Rechner.
Es funktioniert alles wunderbar. Außer das ich eine LowID bekomme.

[slater]

Mit freischalten meine ich das die Ports am Router geöffnet sind.
Bei meinem Rechner sind sie auch offen (somit durchgeschkliffen).
Die IP wird vom Router dynamisch vergebenund der DHCP läuft auf dem Rechner.
Es funktioniert alles wunderbar. Außer das ich eine LowID bekomme.

Sorry, wenn das jetzt frech kligen mag:

Du willst mir doch nicht erzählen das du IP-Forwarding mit einer per DHCP-IP (dem Rechner wo aMule läuft) geschafft hast.... Ich wette das du unter Win eine Static-IP eingetragen hast!!! wenn Lin per DHCP die IP bekommt, und du auf eine bestimmte IP die Weiterleitung im Router setzt (meines wissens nach kann man bei allen Hardwareroutern nur ips einstellen und keine Hostnamen).

Dann ist es Kein Wunder das du immer nur eine Low ID bekommst.


schau dir mal das hier an http://www.amule.org/wiki/index.php/Firewall
dort sind routerconfigurationen für verschiede Router angegeben...

Gruß


slater

[Capsad]

Hi,
zumindest hier kann ich DHCP Adressen "statisch" vergeben lassen (sodass eine bestimmte MAC Adresse immer die bestimmte Adresse, die ich auswähle bekommt) - schätze mal er hat das evtl so gemacht,
Gruß
Capsad

[berlinerbaer]

wenn man seinen firewall nicht selbst konfigurieren kann, weil das mit dem Englischen hapert, aber damit muss ich halt mal leben. Ich werde mich als mehrfacher Großvater nicht hinsetzen und noch Englisch lernen . . .

was ist den kmyfirewall wert ? Reicht dieses einfache simple Konfiguration aus, die das System da macht ? Oder ist das GUI zu dem, was ihr hier als Firewall (für mich relativ unverständlich) beschreibt?
Wenn ich mein System mittels dieser Adresse
http://seccheck.onsite.ch z.B. teste, dann komme ich auf grüne 01 von 50 und das System sagt mir, dass ich gut bin. Kann ich mich darauf verlassen ?

[slater]

Hi,
zumindest hier kann ich DHCP Adressen "statisch" vergeben lassen (sodass eine bestimmte MAC Adresse immer die bestimmte Adresse, die ich auswähle bekommt) - schätze mal er hat das evtl so gemacht,
Gruß
Capsad

Das ist eine möglichkeit, die ich nicht bedacht habe, aber es hat sich jetzt nicht so gelesen, als würde er etwas in dieser richtung machen (ein nicht zu unterschätzender vorteil wenn es so ist, bsp. neuer rechner im lan und alle sollen eine neue IP bekommen...)....

[DynaBlaster]

Ich gebe slater Recht: wie ich das sehe, handelt es sich "mal wieder" um einen Fall von Missverständnis in Bezug auf den Begriff Firewall bei Hardware-Routern.

Immer wieder zucke ich innerlich zusammen, wenn ich lese, jemand habe einen Port auf dem HW-Router geöffnet (bzw. freigeschaltet). Das ist imho einfach nicht korrekt, denn in 99,9% der Fälle meinen diese Leute, sie haben einen Port weitergeleitet. 0.01% sind vielleicht wirklich so wahnsinnig und öffnen das Konfigurations-Webinterface (bei mir Port 80) des HW-Routers für Zugriffe aus dem WWW

Ich denke jedenfalls auch, daß bei Windows ne statische IP vergeben wurde und bei Linux nicht. Ne Firewall auf dem Sarge-Rechner ist jedenfalls nicht aktiv. Bleibt also nur das Forwarding des HW-Routers.

[slater]

...snip...0.01% sind vielleicht wirklich so wahnsinnig und öffnen das Konfigurations-Webinterface (bei mir Port 80) des HW-Routers für Zugriffe aus dem WWW

sowas ähnliches gab es bei uns im Haus mal....

nur das einer dieser Zyxel KAISICHER Wlan-Router ohne WEP oder WPA Schlüssel lief und das mindestens 1 o. 2 Monate...

Das beste war noch das alle rechner erreichbar wahren. Im Haus habe ich allerdings keinen gefunden wer es sein könnte und bevor ich eine Nachricht bei ihm auf dem Desktop ablegen konnte, war es dann doch dicht gemacht worden... Möchte nicht wissen wieviele im Haus über ihn gesurft sind oder von der Straße aus...


Gruß

Slater

[Capsad]

Hallo,
also am Router hier kann ich beides machen - jeden Port freischalten und jeden beliebigen Port an jeden beliebigen Rechner weiterleiten lassen. Das mit dem config-webinterface ist hier nochmal was anderes, bei manchen Programmen reichts aus einfach den Port zu öffnen (für alle Rechner, bsp. icq, ich geb einfach den Port ohne weiterleiten frei und gaim geht auf allen rechner, bei amule oder torrent ned, da muss ich den port freigeben und weiterleiten),
Gruß
Capsad

[slater]

Hallo,
also am Router hier kann ich beides machen - jeden Port freischalten und jeden beliebigen Port an jeden beliebigen Rechner weiterleiten lassen. Das mit dem config-webinterface ist hier nochmal was anderes, bei manchen Programmen reichts aus einfach den Port zu öffnen (für alle Rechner, bsp. icq, ich geb einfach den Port ohne weiterleiten frei und gaim geht auf allen rechner, bei amule oder torrent ned, da muss ich den port freigeben und weiterleiten),
Gruß
Capsad

aja, dann wird er wohl vergessen haben den port weiterzuleiten (schreibt ja immer nur was von öffnen....)

BTW: Welcher port war eigentlich nochmal für Torrent?

Gruß Slater

[berlinerbaer]

Ihr bringt mich schon wieder durcheinander. Wenn das mit dem Port 80 so gefährlich ist, dachte ich mir jetzt, sperrst du denn kurzerhand im Router. Gedacht, getan, aber da komme ich ja gar nicht ins Internet
Den muss ich doch offen lassen, oder
@DynaBlaster
wie meinst du das mit dem Port 80 ?
Surfen möchte ich ja noch können Ist ein bissel schlecht, wenn beim aufruf des Debianforums dauernd die lapidare Routermeldung kommt "Zeitüberschreitung an Port 80" und man vor der Tür sitzen bleiben darf.Also war das sicher so nicht gemeint mit dem Port 80, wie aber dann ?

[slater]

Ihr bringt mich schon wieder durcheinander. Wenn das mit dem Port 80 so gefährlich ist, dachte ich mir jetzt, sperrst du denn kurzerhand im Router. Gedacht, getan, aber da komme ich ja gar nicht ins Internet
Den muss ich doch offen lassen, oder
@DynaBlaster
wie meinst du das mit dem Port 80 ?
Surfen möchte ich ja noch können Ist ein bissel schlecht, wenn beim aufruf des Debianforums dauernd die lapidare Routermeldung kommt "Zeitüberschreitung an Port 80" und man vor der Tür sitzen bleiben darf.Also war das sicher so nicht gemeint mit dem Port 80, wie aber dann ?

er meinte die Portfreigabe bzw. eher die Weiterleitung (forwarding genannt) des Port 80 auf die IP des Routers... Damit währe die konfiguration deines Routers übers I-Net möglich... das ist aber meines Wissens nach Standartmäßig nicht so aktiviert (sprich nur übers interne Netz erlaubt.)

Ich hoffe das war jetzt nicht zu kurz gehalten die Erklärung...

Gruß

Slater