portforwarding Problem

barnie · 19 Dez. 2005

hallo zusammen,

habe ein Problem mit der Susefirewall und bräuchte mal euren rat,muß noch dazu sagen ich bin linuxneuling

ich habe mir Suse 9.3 als router eingerichtet nun habe ich ein Problem
mit dem portforwarding ich nutze noch die SuSEfirewall2.Und zwar geht es um ein online game das für einen Dedicated Host die ports 12300,12307 udp benötigen,der host wird zwar online angezeigt kann ihn aber nicht beitreten was mache ich falsch ?
habe unter etc/services das gefunden aber damit kann ich nicht anfangen
linogridengine 12300/tcp # LinoGrid Engine
linogridengine 12300/udp # LinoGrid Engine
wie müßten den meine einstellungen sein damit das funzt hier ist meine config ist noch fast im orginalzustand und auch über sonstige einstellungs tipps was Sicherheit betrifft währe ich euch im voraus schon dankbar

# Path: Network/Firewall/SuSEfirewall2
#
# 2.)
#

FW_DEV_EXT="dsl0 eth-id-00:50:fc:79:5c:d2"

###############################################
#
# 3.)

FW_DEV_INT="eth-id-00:50:fc:79:3a:a5"

###############################################
#
# 4.) Examples: "eth-id-00:e0:4c:9f:61:9a", "tr0", "eth0 eth1"

FW_DEV_DMZ=""

###############################################
#
# 5.) /etc/sysconfig/network/options

FW_ROUTE="yes"

###############################################
#
# 6.) Type: yes no masquerade internal networks to the outside?

FW_MASQUERADE="yes"

################################################
#
# 6a.) Examples: "ippp0", "$FW_DEV_EXT"

FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"

################################################
#
# 7.) Type: yes no Do you want to protect the firewall
# from the internal network?

FW_PROTECT_FROM_INT="no"

###############################################
#
# 9.) !! TCP !! services _on the firewall_ should be
# accessible from untrusted networks?
#
# Examples: "ssh", "123 514", "3200:3299", "ftp 22 telnet 512:514"

FW_SERVICES_EXT_TCP="80 domain"

##
## UDP services Example: "53"
#
FW_SERVICES_EXT_UDP="domain"

###############################################
#
# Usually for VPN/Routing which END at the firewall
#
# Example: "esp"
#
FW_SERVICES_EXT_IP=""

# Example: "mountd nfs"

FW_SERVICES_EXT_RPC=""

## Type: string see comments for FW_SERVICES_EXT_TCP
#
FW_SERVICES_DMZ_TCP="80"

## Type: string see comments for FW_SERVICES_EXT_UDP
#
FW_SERVICES_DMZ_UDP=""

## Type: string see comments for FW_SERVICES_EXT_IP
#
FW_SERVICES_DMZ_IP=""

## Type: string see comments for FW_SERVICES_EXT_RPC
#
FW_SERVICES_DMZ_RPC=""

## Type: string see comments for FW_SERVICES_EXT_TCP
#
FW_SERVICES_INT_TCP="80 microsoft-ds netbios-dgm netbios-ns netbios-ssn"

## Type: string see comments for FW_SERVICES_EXT_UDP
#
FW_SERVICES_INT_UDP="netbios-ns"

## Type: string see comments for FW_SERVICES_EXT_IP
#
FW_SERVICES_INT_IP=""

## Type: string see comments for FW_SERVICES_EXT_RPC
#
FW_SERVICES_INT_RPC=""

#-------------------
# Format: space separated list of net,protocol[,port][,sport]
# Example: "0/0,tcp,445 0/0,udp,4662"

FW_SERVICES_DROP_EXT=""

#-------------------------
# Format: space separated list of net,protocol[,dport][,sport]
# Example: "0/0,tcp,113"

FW_SERVICES_REJECT_EXT="0/0,tcp,113"

#--------------------------------
# Format: space separated list of net,protocol[,dport][,sport]
# Example: "0/0,tcp,22"

FW_SERVICES_ACCEPT_EXT=""

##################################################
#
# 10.) services should be accessible from 'trusted' hosts or nets?
# Example: "172.20.1.1 172.20.0.0/16 1.1.1.1,icmp 2.2.2.2,tcp,22"
#
FW_TRUSTED_NETS=""

#################################################
#
# 11.) Specify which ports are allowed to access unprivileged ports (>1023)
# Format: yes, no or space separated list of ports
# defaults to "no" if not set (good choice)

FW_ALLOW_INCOMING_HIGHPORTS_TCP=""

#-----------------------------------------------
# See FW_ALLOW_INCOMING_HIGHPORTS_TCP
# defaults to "no" if not set (good choice)

FW_ALLOW_INCOMING_HIGHPORTS_UDP=""

################################################
#
# 13.) Requires: FW_ROUTE

FW_FORWARD=""

###############################################
#
# 14.) ports auf den clienten forwarden
#

FW_FORWARD_MASQ="0/0,192.168.6.3,udp,12300 0/0,192.168.6.3,udp,12307"

####################################################
#
# 15.) Which accesses to services should be redirected to a
# local port on the firewall machine?
# Example: "10.0.0.0/8,0/0,tcp,80,3128 0/0,172.20.1.1,tcp,80,8080"

FW_REDIRECT=""

##################################################
#
# 16.) Type: yes no Which kind of packets should be logged?

FW_LOG_DROP_CRIT="yes"

#----------------------------------
# whether all dropped packets should be logged

FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"

#-------------------------------
# Type: yes no
# defaults to "no" if not set

FW_LOG_ACCEPT_ALL="no"

#-----------------------------
#
# Format: a digit and suffix /second, /minute, /hour or /day

FW_LOG_LIMIT=""

#-----------------------------
## Type: string
#
# iptables logging option. Must end with --log-prefix and some prefix
# characters only change this if you know what you are doing!

FW_LOG=""

################################################
#
# 17.) Type: yes no
# Do you want to enable additional kernel TCP/IP security features?
#

FW_KERNEL_SECURITY="yes"

###############################################
#
# 18.) Type: yes no
# Choices "yes" or "no", if not set defaults to "no"

FW_STOP_KEEP_ROUTING_STATE="no"

################################################
#
# 19.) Type: yes no Allow the firewall to reply to icmp echo requests
#

FW_ALLOW_PING_FW="yes"

#-----------------------------------
# 19a.) Type: yes no
#

FW_ALLOW_PING_DMZ="no"

#------------------------------------
# 19b.) Type: yes no
#
# Default: no
# Allow external hosts to be pinged from internal or dmz hosts
# REQUIRES: FW_ROUTE
#
# defaults to "no" if not set

FW_ALLOW_PING_EXT="no"

#########################################
#
# END of /etc/sysconfig/SuSEfirewall2
#
# #
#-------------------------------------------------------------------------#
# #
# EXPERT OPTIONS - all others please don't change these! #
# #
#-------------------------------------------------------------------------#
#
# 21.) Allow ICMP sourcequench from your ISP?
#
# Defaults to "yes" if not set

FW_ALLOW_FW_SOURCEQUENCH=""

#################################################
#
# 22.) string (yes,no) Allow IP Broadcasts?
#
# Whether the firewall allows broadcasts packets.
# Broadcasts are used for e.g. for Netbios/Samba, RIP, OSPF and Games.
#

FW_ALLOW_FW_BROADCAST_EXT=""

#---------------------------------------------------------

## Type: string
#
# see comments for FW_ALLOW_FW_BROADCAST_EXT

FW_ALLOW_FW_BROADCAST_INT="netbios-ns"

#---------------------------------------------------------
# Type: string
#
# see comments for FW_ALLOW_FW_BROADCAST_EXT

FW_ALLOW_FW_BROADCAST_DMZ=""

#--------------------------------------------------------
# Type: string (yes,no)
#
# Suppress logging of dropped broadcast packets. Useful if you don't allow
# broadcasts on a LAN interface.
#

FW_IGNORE_FW_BROADCAST_EXT="yes"

#----------------------------------------------------
# Type: string
#
# see comments for FW_IGNORE_FW_BROADCAST_EXT

FW_IGNORE_FW_BROADCAST_INT="no"

#-------------------------------------------------
# Type: string
#
# see comments for FW_IGNORE_FW_BROADCAST_EXT

FW_IGNORE_FW_BROADCAST_DMZ="no"

#------------------------------------------------
# 23.) Type: yes no
# Default: no
#
# Allow same class routing per default?
# REQUIRES: FW_ROUTE
#

FW_ALLOW_CLASS_ROUTING=""

###############################################
#
# 25.) Type: string
#
# Do you want to load customary rules from a file?
#
# This is really an expert option. NO HELP WILL BE GIVEN FOR THIS!
# READ THE EXAMPLE CUSTOMARY FILE AT /etc/sysconfig/scripts/SuSEfirewall2-custom
#
#FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom"

FW_CUSTOMRULES=""

###############################################

# 26.) Type: yes no
# Default: no
#
# Do you want to REJECT packets instead of DROPing?
#

FW_REJECT=""

##############################################
#
# 27.) Type: string
#

FW_HTB_TUNE_DEV=""

#########################################################
#
# 28.) Type: list(no,drop,reject)
# Default: drop
#
# What to do with IPv6 Packets?
#

FW_IPv6=""

#############################################
#
# 28a.) Type: yes no
# Default: yes
# Reject outgoing IPv6 Packets?
#

FW_IPv6_REJECT_OUTGOING=""

################################################

# 29.) Type: list(yes,no,int,ext,dmz)
# Default: no
#
# Note: you still need to explicitely allow IPsec traffic.
# Example:
# FW_IPSEC_TRUST="int"
# FW_SERVICES_EXT_IP="esp"
# FW_SERVICES_EXT_UDP="isakmp"
# FW_PROTECT_FROM_INT="no"
#
# Defaults to "no" if not set
#

FW_IPSEC_TRUST="no"

###############################################
#
# 30.) Type: string
#
# Default: Define additional firewall zones
#
# Example:
# FW_ZONES="wlan"
# FW_DEV_wlan="wlan0"
# FW_SERVICES_wlan_TCP="80"
# FW_ALLOW_FW_BROADCAST_wlan="yes"
#
FW_ZONES=""

###############################################

framp · 19 Dez. 2005

barnie schrieb:
FW_FORWARD_MASQ="0/0,192.168.6.3,udp,12300 0/0,192.168.6.3,udp,12307"

muss angepasst werden 8)

barnie · 19 Dez. 2005

hallo danke für die schnelle antwort
hatte nun verschiede warianten bei FW_FORWARD_MASQ auspr.
aber keine ist gegangen dedi host status war immer N/A und spieleserver konnte nicht kontaktiert werden , kannst du mir verraten wie genau ich die regel anpassen muss :roll:

framp · 20 Dez. 2005

Du hast sicherlich auch die FW jedesmal restartet mit rcSuSEfirewall2 restart 8) . Aendere mal FW_LOG_DROP_ALL="no" in yes und
mach mal ein tail -f /var/log/firewall wenn Du testest. Dann siehst Du welche Requests, die Ports etc etc von der FW abgewiesen werden und kannst das mit Deinen Eintraegen vergleichen.
Vergiss nicht FW_LOG_DROP_ALL="no" anschliessend zu setzen.

barnie · 20 Dez. 2005

ja FW wurde jedesmal mit diesem befehl neugestartet
dies ist ein auschnitt was mit den besagten ports zu tun hat
hoffe das reicht
SFW2-FWDext-ACC-REVMASQ IN=dsl0 OUT=eth0 SRC=81.217.122.2 DST=192.168.6.3 LEN=40 TOS=0x00 PREC=0x00 TTL=119 ID=31337 PROTO=UDP SPT=12300 DPT=12307 LEN=20

SFW2-FWDext-ACC-REVMASQ IN=dsl0 OUT=eth0 SRC=172.212.229.20 DST=192.168.6.3 LEN=40 TOS=0x00 PREC=0x00 TTL=117 ID=2638 PROTO=UDP SPT=12300 DPT=12307 LEN=20
was sagen mir diese meldungen ?

framp · 20 Dez. 2005

barnie schrieb:
SFW2-FWDext-ACC-REVMASQ IN=dsl0 OUT=eth0 SRC=172.212.229.20 DST=192.168.6.3 LEN=40 TOS=0x00 PREC=0x00 TTL=117 ID=2638 PROTO=UDP SPT=12300 DPT=12307 LEN=20
was sagen mir diese meldungen ?

Sorry, das hilft nicht

. Das ist eine ACC Meldung (Verbindung erlaubt), d.h. es wird gesagt, eine Verbindung von Nertzwerkarte IN=dsl0 zu Netzwerkarte OUT=eth0 von Sender SRC=172.212.229.20 zu Empfaenger DST=192.168.6.3 von Port SPT=12300 zu Port DPT=12307 wurde zugelassen. Also greifen da schon FW Rules und lassen auf diesen Ports Traffic durch.

Die DROP Meldungen sind die interessanten. Da fehlt wohl noch ein Poertchen :wink:

barnie · 20 Dez. 2005

so nun ist es ein bischen mehr

Dec 20 19:12:37 boss kernel: SFW2-INext-DROP-DEFLT IN=eth1 OUT= MAC= SRC=192.168
.1.1 DST=192.168.1.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=5 DF PROTO=UDP SPT=13
7 DPT=137 LEN=58
Dec 20 19:12:38 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=84.157.
197.75 DST=84.157.127.237 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=20008 DF PROTO=TC
P SPT=3381 DPT=445 WINDOW=64800 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Dec 20 19:12:50 boss kernel: SFW2-INext-DROP-DEFLT IN=eth1 OUT= MAC= SRC=192.168
.1.1 DST=192.168.1.255 LEN=215 TOS=0x00 PREC=0x00 TTL=64 ID=3 DF PROTO=UDP SPT=1
38 DPT=138 LEN=195
Dec 20 19:12:51 boss kernel: SFW2-FWDext-ACC-REVMASQ IN=dsl0 OUT=eth0 SRC=83.64.
115.180 DST=192.168.6.3 LEN=40 TOS=0x00 PREC=0x00 TTL=118 ID=40310 PROTO=UDP SPT
=12302 DPT=12307 LEN=20
Dec 20 19:13:06 boss kernel: SFW2-INext-DROP-DEFLT IN=eth1 OUT= MAC= SRC=192.168
.1.1 DST=192.168.1.255 LEN=96 TOS=0x00 PREC=0x00 TTL=64 ID=27 DF PROTO=UDP SPT=1 37 DPT=137 LEN=76
Dec 20 19:13:36 boss kernel: SFW2-FWDext-ACC-REVMASQ IN=dsl0 OUT=eth0 SRC=84.188 .128.108 DST=192.168.6.3 LEN=40 TOS=0x00 PREC=0x00 TTL=122 ID=10520 PROTO=UDP SP T=12300 DPT=12307 LEN=20
Dec 20 19:13:38 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=84.157. 235.238 DST=84.157.127.237 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=51046 DF PROTO=T CP SPT=4200 DPT=135 WINDOW=64800 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Dec 20 19:13:39 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=84.157. 235.238 DST=84.157.127.237 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=51098 DF PROTO=T CP SPT=4200 DPT=135 WINDOW=64800 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Dec 20 19:13:39 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=84.157. 235.238 DST=84.157.127.237 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=51154 DF PROTO=T CP SPT=4200 DPT=135 WINDOW=64800 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Dec 20 19:13:49 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=84.157. 31.188 DST=84.157.127.237 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=33586 DF PROTO=TC P SPT=3758 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Dec 20 19:14:14 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=84.157. 216.210 DST=84.157.127.237 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=43472 DF PROTO=T CP SPT=3537 DPT=135 WINDOW=64800 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Dec 20 19:14:37 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=222.134 .45.54 DST=84.157.127.237 LEN=485 TOS=0x00 PREC=0x00 TTL=54 ID=0 DF PROTO=UDP SP T=51669 DPT=1026 LEN=465
Dec 20 19:14:38 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=222.134 .45.54 DST=84.157.127.237 LEN=485 TOS=0x00 PREC=0x00 TTL=54 ID=0 DF PROTO=UDP SP T=51670 DPT=1026 LEN=465
Dec 20 19:14:42 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=84.157. 198.94 DST=84.157.127.237 LEN=52 TOS=0x00 PREC=0x00 TTL=125 ID=54061 DF PROTO=TC P SPT=2882 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405A0010303000101040 2)
Dec 20 19:14:59 boss kernel: SFW2-FWDext-ACC-REVMASQ IN=dsl0 OUT=eth0 SRC=84.176 .126.117 DST=192.168.6.3 LEN=40 TOS=0x00 PREC=0x00 TTL=122 ID=15385 PROTO=UDP SP T=12300 DPT=12307 LEN=20
Dec 20 19:15:46 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=84.157. 216.210 DST=84.157.127.237 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=15342 DF PROTO=T CP SPT=3842 DPT=135 WINDOW=64800 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Dec 20 19:15:46 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=84.157. 216.210 DST=84.157.127.237 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=15657 DF PROTO=T CP SPT=3842 DPT=135 WINDOW=64800 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Dec 20 19:15:47 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=84.157. 216.210 DST=84.157.127.237 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=16046 DF PROTO=T CP SPT=3842 DPT=135 WINDOW=64800 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Dec 20 19:16:11 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=84.157. 204.228 DST=84.157.127.237 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=7041 DF PROTO=TC P SPT=4371 DPT=139 WINDOW=64800 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Dec 20 19:17:16 boss kernel: SFW2-INext-DROP-DEFLT IN=eth1 OUT= MAC= SRC=192.168.1.1 DST=192.168.1.255 LEN=248 TOS=0x00 PREC=0x00 TTL=64 ID=11 DF PROTO=UDP SPT=138 DPT=138 LEN=228
Dec 20 19:17:16 boss kernel: SFW2-INext-DROP-DEFLT IN=eth1 OUT= MAC= SRC=192.168.1.1 DST=192.168.1.255 LEN=233 TOS=0x00 PREC=0x00 TTL=64 ID=12 DF PROTO=UDP SPT=138 DPT=138 LEN=213
Dec 20 19:17:24 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=84.157.239.190 DST=84.157.127.237 LEN=52 TOS=0x00 PREC=0x00 TTL=125 ID=6571 DF PROTO=TCP SPT=2315 DPT=445 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405AC0103030001010402)
Dec 20 19:17:25 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=84.157.239.190 DST=84.157.127.237 LEN=52 TOS=0x00 PREC=0x00 TTL=125 ID=6707 DF PROTO=TCP SPT=2315 DPT=445 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405AC0103030001010402)
Dec 20 19:17:25 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=84.157.239.190 DST=84.157.127.237 LEN=52 TOS=0x00 PREC=0x00 TTL=125 ID=6816 DF PROTO=TCP SPT=2315 DPT=445 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405AC0103030001010402)
Dec 20 19:17:25 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=84.157.241.252 DST=84.157.127.237 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=27975 DF PROTO=TCP SPT=2717 DPT=135 WINDOW=64800 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Dec 20 19:17:34 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=84.157.72.245 DST=84.157.127.237 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=38554 DF PROTO=TCP SPT=2070 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Dec 20 19:17:38 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=202.111.173.85 DST=84.157.127.237 LEN=398 TOS=0x00 PREC=0x00 TTL=53 ID=0 DF PROTO=UDP SPT=34165 DPT=1027 LEN=378
Dec 20 19:18:08 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=221.5.251.172 DST=84.157.127.237 LEN=485 TOS=0x00 PREC=0x00 TTL=54 ID=0 DF PROTO=UDP SPT=53802 DPT=1026 LEN=465
Dec 20 19:18:08 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=221.5.251.172 DST=84.157.127.237 LEN=485 TOS=0x00 PREC=0x00 TTL=54 ID=0 DF PROTO=UDP SPT=54088 DPT=1026 LEN=465
Dec 20 19:18:34 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=84.217.120.182 DST=84.157.127.237 LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=20361 DF PROTO=TCP SPT=3419 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204055001010402)
Dec 20 19:18:34 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=84.217.120.182 DST=84.157.127.237 LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=20404 DF PROTO=TCP SPT=3419 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204055001010402)
Dec 20 19:18:35 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=84.217.120.182 DST=84.157.127.237 LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=20437 DF PROTO=TCP SPT=3419 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204055001010402)
Dec 20 19:18:58 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=84.157.72.66 DST=84.157.127.237 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=60075 DF PROTO=TCP SPT=2081 DPT=135 WINDOW=43580 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Dec 20 19:19:46 boss kernel: SFW2-FWDext-ACC-REVMASQ IN=dsl0 OUT=eth0 SRC=84.176.126.117 DST=192.168.6.3 LEN=40 TOS=0x00 PREC=0x00 TTL=122 ID=15411 PROTO=UDP SPT=12300 DPT=12307 LEN=20
Dec 20 19:20:13 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=84.157.239.190 DST=84.157.127.237 LEN=52 TOS=0x00 PREC=0x00 TTL=125 ID=37403 DF PROTO=TCP SPT=3427 DPT=445 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405AC0103030001010402)
Dec 20 19:20:14 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=84.157.239.190 DST=84.157.127.237 LEN=52 TOS=0x00 PREC=0x00 TTL=125 ID=37481 DF PROTO=TCP SPT=3427 DPT=445 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405AC0103030001010402)
Dec 20 19:20:14 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=221.10.182.13 DST=84.157.127.237 LEN=374 TOS=0x00 PREC=0x00 TTL=52 ID=0 DF PROTO=UDP SPT=56291 DPT=1026 LEN=354
Dec 20 19:20:14 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=221.10.182.13 DST=84.157.127.237 LEN=374 TOS=0x00 PREC=0x00 TTL=52 ID=0 DF PROTO=UDP SPT=56291 DPT=1027 LEN=354
Dec 20 19:20:14 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=84.157.239.190 DST=84.157.127.237 LEN=52 TOS=0x00 PREC=0x00 TTL=125 ID=37557 DF PROTO=TCP SPT=3427 DPT=445 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405AC0103030001010402)
Dec 20 19:20:27 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=84.157.106.5 DST=84.157.127.237 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=55024 DF PROTO=TCP SPT=4585 DPT=445 WINDOW=64800 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Dec 20 19:20:28 boss kernel: SFW2-INext-DROP-DEFLT IN=dsl0 OUT= MAC= SRC=84.157.106.5 DST=84.157.127.237 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=55136 DF PROTO=TCP SPT=4585 DPT=445 WINDOW=64800 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Dec 20 19:20:50 boss kernel: SFW2-FWDext-ACC-REVMASQ IN=dsl0 OUT=eth0 SRC=84.142.231.74 DST=192.168.6.3 LEN=40 TOS=0x00 PREC=0x00 TTL=59 ID=11247 PROTO=UDP SPT=12300 DPT=12307 LEN=20

framp · 20 Dez. 2005

Man kann erkennen, dass mehrere Male zu 192.168.6.3 was geschickt wurde. Es ist aber leider nicht zu sehen, dass was geblocked wurde.
Du scheinst noch ein weiters NIC eth1 zu haben, welches broadcastes schickt und geblocked wird. Aber das ist hier eigentlich uninteressant :roll: .
Ausserdem kann man sehr schoen sehen, wie die FW typische Requests auf Port 135, 445, 1026 usw berechtigterweise blocked.
Leider kann man hier aber nicht sehen wo Dein Problem liegt

.
Ich habe bei mir immer in solchen Faellen ethereal benutzt. Ein wenig weniger aufwendig und u.U. auch hilfreich ist tcpdump. Mit tcpdump -i eth0 -n host 192.168.6.3 siehst Du was alles von und zu 192.168.3.1 geschickt wird. Mit tcpdump -i dsl0 -n siehst Du was alles vom Internet reinkommt bzw rausgeht. Sorry - jetzt wird es fiselig :?
Was ich in solchen Faellen immer gamacht habe: Ich habe den Rechner fuer kurze Zeit ganz OHNE FW freigegeben um zu testen ob es am FW liegt. Und danach mit ethereal genauer analysiert welche Ports da im Spiel sind.
Vielleicht probierst Du das auch mal:

Code:

iptables -I FORWARD -i dsl0 -o eth0 -p udp -d 192.168.6.3 -j ACCEPT
iptables -I FORWARD -o dsl0 -i eth0 -p udp -s 192.168.6.3 -j ACCEPT
iptables -I FORWARD -i dsl0 -o eth0 -p tcp -d 192.168.6.3 -j ACCEPT
iptables -I FORWARD -o dsl0 -i eth0 -p tcp -s 192.168.6.3 -j ACCEPT

Nach dem Test aber alles mit -D FORWARD wieder deaktivieren.

barnie · 20 Dez. 2005

dieses ist dabei herausgekommen
boss:~ # tcpdump -i eth0 -n host 192.168.6.3
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
21:19:51.808835 IP 83.64.115.180.12302 > 192.168.6.3.12307: UDP, length: 12
21:19:51.811258 IP 192.168.6.3.12307 > 83.64.115.180.12302: UDP, length: 18
21:20:02.703356 IP 192.168.6.3.137 > 192.168.6.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
21:20:03.452353 IP 192.168.6.3.137 > 192.168.6.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
21:20:04.202382 IP 192.168.6.3.137 > 192.168.6.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
21:20:07.749731 IP 192.168.6.3.12308 > 83.64.115.180.12301: UDP, length: 38
21:20:07.883509 IP 83.64.115.180.12301 > 192.168.6.3.12308: UDP, length: 4
21:20:11.830100 IP 83.64.115.180.12302 > 192.168.6.3.12307: UDP, length: 12
21:20:11.843329 IP 192.168.6.3.12307 > 83.64.115.180.12302: UDP, length: 18

9 packets captured
9 packets received by filter
0 packets dropped by kernel
boss:~ # tcpdump -i dsl0 -n
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on dsl0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
21:22:06.727321 IP 85.25.9.26.80 > 84.157.127.237.2739: F 3871247213:3871247213(0) ack 765717038 win 7290
21:22:07.786346 IP 84.157.127.237.12308 > 83.64.115.180.12301: UDP, length: 38
21:22:07.925218 IP 83.64.115.180.12301 > 84.157.127.237.12308: UDP, length: 4
21:22:11.820676 IP 83.64.115.180.12302 > 84.157.127.237.12307: UDP, length: 12
21:22:11.848565 IP 84.157.127.237.12307 > 83.64.115.180.12302: UDP, length: 18
21:22:14.352056 IP 212.72.174.3.80 > 84.157.127.237.2704: S 809658845:809658845(0) ack 748285112 win 5840 <mss 1452,nop,nop,sackOK>
21:22:15.687380 IP 85.25.9.26.80 > 84.157.127.237.2739: F 0:0(0) ack 1 win 7290
21:22:31.813141 IP 83.64.115.180.12302 > 84.157.127.237.12307: UDP, length: 12
21:22:31.818471 IP 84.157.127.237.12307 > 83.64.115.180.12302: UDP, length: 18
21:22:33.606226 IP 85.25.9.26.80 > 84.157.127.237.2739: F 0:0(0) ack 1 win 7290

10 packets captured
10 packets received by filter
0 packets dropped by kernel

was nun ich weiß ferndiagn. zu stellen ist schwierig selber davor zu sitzen ist einfacher ich hatte vorher einen fl4l-router da ist die regel einfacher
PORTFW_4_TARGET='12300' #cb
PORTFW_4_NEW_TARGET='192.168.6.3:12300'
PORTFW_4_PROTOCOL='udp'
#
PORTFW_5_TARGET='12307'
PORTFW_5_NEW_TARGET='192.168.6.3:12307' # cb dedi1
PORTFW_5_PROTOCOL='udp'

frage 1 wenn ich die suse FW abschalte in einen eigenen iptabels skript verwende wie muesten den die regel für die beiden ports lauten ?
frage 2 hast du mir einen basis iptabels fuer beginners ?
vielleicht geht es ja auf diesem weg

barnie · 23 Dez. 2005

meine weitere versuche sind bisher gescheitert leider muss noch viel darüber nachlesen aber trotdem danke framp für deine mühe

kbd01 · 25 Dez. 2005

barnie schrieb:
habe ein Problem mit der Susefirewall und bräuchte mal euren rat,muß noch dazu sagen ich bin linuxneuling

linogridengine 12300/tcp # LinoGrid Engine
linogridengine 12300/udp # LinoGrid Engine

FW_DEV_EXT="dsl0 eth-id-00:50:fc:79:5c:d2"

FW_DEV_INT="eth-id-00:50:fc:79:3a:a5"

FW_ROUTE="yes"

FW_MASQUERADE="yes"

FW_MASQ_DEV="$FW_DEV_EXT"

FW_MASQ_NETS="0/0"

siehst Du, habe hier 'ne Unmenge Informationen gefunden, aber leider nur einen Bruchteil davon verstanden.
Dafür bin ich unheimlich fleissig beim ausprobieren

Bei SuSE 10.0 steht im /etc/sysconfig/SuSEfirewall2:
# Which internal computers/networks are allowed to access the
# internet via masquerading (not via proxys on the firewall)?
FW_MASQ_NETS"192.168.6.3,0/0,tcp,12300 \
2192.168.06.3,0/0,udp,12300"

hat bei uns gefunzt um GuildWars mit dem Port tcp,6112 sowie udp, 1110 und udp,1034 bis 1070 an's Netz zu bringen.
Allerdings funzen Portbereiche wie 1034:1070 scheinbar nicht unter 10.0. Also copy and paste . . .

Zu beurteilen ob das nun richtig, sicher oder blöd ist überlasse ich den Experten. Bei blöd wäre ich doch für einen Hinweis dankbar.
have phun

Anonymous · 25 Dez. 2005

barnie schrieb:
Allerdings funzen Portbereiche wie 1034:1070 scheinbar nicht unter 10.0. Also copy and paste . . .

hi,
verwende zwar keine Suse und schon gar kein fw. regelwerk das vorgefertigt ist, aber ich vermute mal das in diesen falle port

ort an iptables mit option -m multiport übergeben werden und bekannterweise diese option bereiche in dieser form nicht zuläst, sonder max 15 ports in Form port,port,port.etc.

Mƒg ®êïñï

framp · 26 Dez. 2005

@barnie Sorry, habe mein Snowboard die letzten Tage gequaelt und war deshalb offline :lol:

Code:

21:20:07.883509 IP 83.64.115.180.12301 > 192.168.6.3.12308: UDP, length: 4
21:20:11.830100 IP 83.64.115.180.12302 > 192.168.6.3.12307: UDP, length: 12
21:20:11.843329 IP 192.168.6.3.12307 > 83.64.115.180.12302: UDP, length: 18

sieht merkwuerdig aus. Da ist Port 12308 und keine Antwort. Ich dachte Du hast nur die Ports 00 und 07 freigegeben? Was steht bei Dir in Deiner FORW_MASQ?
Hast Du mal probiert wie es kurzzeitig mit vollem Zugriff laueft?

portforwarding Problem

barnie

Newbie

framp

Moderator

barnie

Newbie

framp

Moderator

barnie

Newbie

framp

Moderator

barnie

Newbie

framp

Moderator

barnie

Newbie

barnie

Newbie

kbd01

Newbie

Anonymous

Gast

framp

Moderator