Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

SuSEfirewall2 schaltet Ports nicht frei. Warum ? Suse9.3

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

JoeM
Newbie
Newbie
Beiträge: 49
Registriert: 21. Nov 2004, 20:15
Wohnort: Germany

SuSEfirewall2 schaltet Ports nicht frei. Warum ? Suse9.3

Beitrag von JoeM »

Hi. Ich habe folgendes Problem.

Mein Pc geht uber ein DSL-Modem ans netzt, das per Lan angeschlossen ist. Internes Netzwerk gibt es NOCH keines.

Ich verwende den amule2.0.3 und der benötigt die freischaltung von tcp 4662 und udp 4665 und 4672 ist die firewall gestoppt läuft alles einwandfrei.
Die Portnummern sind über yast eingegeben worden und im file SuSEfirewall2 sind diese ports unter tcp und udp richtig übernommen.

FW_SERVICES_EXT_TCP="4662"
FW_SERVICES_EXT_UDP="4665 4672"

Schalte ich die Firewall ein Sind die Ports anscheinend zu und ich bekomme nur LowID.
ein neustart der Firewall (per konsole) habe ich bereits gemacht und hat nichts verändert.

Kann man mit einem Kommando die einzelnen Ports testen ? habe ich evtl noch andere werte zu setzen ?
Signatur ? Braucht man sowas ?
rm -rf /

Beitrag von rm -rf / »

eMule benötigt weit mehr als nur diese paar ports, um eine high-id zu bekommen, muss man komplette portbereiche freischalten, und das sind soviele, da kann man auch direkt garkeine firewall benutzen
JoeM
Newbie
Newbie
Beiträge: 49
Registriert: 21. Nov 2004, 20:15
Wohnort: Germany

Beitrag von JoeM »

Also unter SuSe 9.2 hatte ich keine Probleme damit nur 2 ports freizuschalten und trotzdem HighID zu bekommen.

hier der auszug ais den wiki-seiten von amule.org

Using SuSE Linux as a client machine
If you run SuSE Linux on your client machine which runs a firewall itself, you need to do the following to allow the correct ports to come through:
You basically need to allow TCP and UDP ports 4662 and 4672 to be open.
Open /etc/sysconfig/SuSEfirewall2, and locate FW_SERVICES_EXT_TCP and FW_SERVICES_EXT_UDP. Now add to both of these the above ports:
FW_SERVICES_EXT_TCP="4662 4672"
FW_SERVICES_EXT_UDP="4662 4672"
Note that you should keep ports that are already in there.
After making these changes save the file.

Mich würde interessieren, warum das bei 9.3 anderst ist. gibt es evtl. andere oder mehr optionen in der Firewall, die man berücksichtigen muss?
Signatur ? Braucht man sowas ?
rm -rf /

Beitrag von rm -rf / »

iptables = iptables, da kann auch ein suse 9.3 nix dran ändern (es sei denn, die haben mal eben schnell ein neues paketfilter-kernelmodul entwickelt), also müsste auch deine einstellung greifen, ich denke das Problem liegt hier an anderer stelle, mach doch mal "iptables -L" und ein "ip route", und zeig mal was die kiste dann alles schreit
JoeM
Newbie
Newbie
Beiträge: 49
Registriert: 21. Nov 2004, 20:15
Wohnort: Germany

Beitrag von JoeM »

linux:/home/JoeM # iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTAB
LISHED
input_ext all -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 3/min bu
rst 5 LOG level warning tcp-options ip-options prefix `SFW2-IN-ILL-TARGET '
DROP all -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min bu
rst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWD-ILL-ROUTING '

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW,RELATED,E
STABLISHED
LOG all -- anywhere anywhere limit: avg 3/min bu
rst 5 LOG level warning tcp-options ip-options prefix `SFW2-OUT-ERROR '

Chain forward_ext (0 references)
target prot opt source destination

Chain input_ext (1 references)
target prot opt source destination
DROP all -- anywhere anywhere PKTTYPE = broadcast

ACCEPT icmp -- anywhere anywhere icmp source-quench
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere state RELATED,ESTAB
LISHED icmp echo-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTAB
LISHED icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere state RELATED,ESTAB
LISHED icmp time-exceeded
ACCEPT icmp -- anywhere anywhere state RELATED,ESTAB
LISHED icmp parameter-problem
ACCEPT icmp -- anywhere anywhere state RELATED,ESTAB
LISHED icmp timestamp-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTAB
LISHED icmp address-mask-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTAB
LISHED icmp protocol-unreachable
ACCEPT icmp -- anywhere anywhere state RELATED,ESTAB
LISHED icmp redirect
LOG tcp -- anywhere anywhere limit: avg 3/min bu
rst 5 tcp dpt:4662 flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-option
s prefix `SFW2-INext-ACC-TCP '
ACCEPT tcp -- anywhere anywhere tcp dpt:4662
reject_func tcp -- anywhere anywhere tcp dpt:ident sta
te NEW
ACCEPT udp -- anywhere anywhere udp dpt:4665
ACCEPT udp -- anywhere anywhere udp dpt:rfa
LOG tcp -- anywhere anywhere limit: avg 3/min bu rst 5 tcp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
LOG icmp -- anywhere anywhere limit: avg 3/min bu rst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
LOG udp -- anywhere anywhere limit: avg 3/min bu rst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
LOG all -- anywhere anywhere limit: avg 3/min bu rst 5 state INVALID LOG level warning tcp-options ip-options prefix `SFW2-INext- DROP-DEFLT-INV '
DROP all -- anywhere anywhere

Chain reject_func (1 references)
target prot opt source destination
REJECT tcp -- anywhere anywhere reject-with tcp-res et
REJECT udp -- anywhere anywhere reject-with icmp-po rt-unreachable
REJECT all -- anywhere anywhere reject-with icmp-pr oto-unreachable
linux:/home/JoeM # iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
input_ext all -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-IN-ILL-TARGET '
DROP all -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWD-ILL-ROUTING '

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-OUT-ERROR '

Chain forward_ext (0 references)
target prot opt source destination

Chain input_ext (1 references)
target prot opt source destination
DROP all -- anywhere anywhere PKTTYPE = broadcast
ACCEPT icmp -- anywhere anywhere icmp source-quench
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp echo-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp time-exceeded
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp parameter-problem
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp timestamp-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp address-mask-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp protocol-unreachable
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp redirect
LOG tcp -- anywhere anywhere limit: avg 3/min burst 5 tcp dpt:4662 flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-TCP '
ACCEPT tcp -- anywhere anywhere tcp dpt:4662
reject_func tcp -- anywhere anywhere tcp dpt:ident state NEW
ACCEPT udp -- anywhere anywhere udp dpt:4665
ACCEPT udp -- anywhere anywhere udp dpt:rfa
LOG tcp -- anywhere anywhere limit: avg 3/min burst 5 tcp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
LOG icmp -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
LOG udp -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
LOG all -- anywhere anywhere limit: avg 3/min burst 5 state INVALID LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT-INV '
DROP all -- anywhere anywhere

Chain reject_func (1 references)
target prot opt source destination
REJECT tcp -- anywhere anywhere reject-with tcp-reset
REJECT udp -- anywhere anywhere reject-with icmp-port-unreachable
REJECT all -- anywhere anywhere reject-with icmp-proto-unreachable
linux:/home/JoeM #

linux:/home/JoeM # ip route
217.0.116.69 dev dsl0 proto kernel scope link src 84.157.134.17
127.0.0.0/8 dev lo scope link
default via 217.0.116.69 dev dsl0
linux:/home/JoeM #


Also wirklich schlau werd ich daraus nicht. Ich hoffe, ihr könnt damit mehr anfangen als ich.
Von mir wurden keine Regeln, kein Routing,... festgelegt. Ich denke mal das sollte eigentlich nicht nötig sein.
Signatur ? Braucht man sowas ?
rm -rf /

Beitrag von rm -rf / »

das sieht soweit in ordnung aus..bis auf einige wenige komische sachen :shock: . :arrow: erstmal unwichtig. Versuch doch bitte mal MIT firewall emule zu starten, verbinden, und nach 1 min wieder zu schliessen, direkt danach bitte ein "tail -n 50 /var/log/messages" machen, und wieder die ausgabe hier posten
JoeM
Newbie
Newbie
Beiträge: 49
Registriert: 21. Nov 2004, 20:15
Wohnort: Germany

Beitrag von JoeM »

linux:/home/JoeM # tail -n 50 /var/log/messages
Aug 21 12:44:40 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=222.141.102.7 DST=84.157.134.17 LEN=500 TOS=0x00 PREC=0x00 TTL=54 ID=0 DF PROTO=UDP SPT=59159 DPT=1027 LEN=480
Aug 21 12:44:49 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.177.248.37 DST=84.157.134.17 LEN=52 TOS=0x00 PREC=0x00 TTL=124 ID=47717 DF PROTO=TCP SPT=4136 DPT=135 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405A00103030001010402)
Aug 21 12:45:23 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=61.138.137.9 DST=84.157.134.17 LEN=506 TOS=0x00 PREC=0x00 TTL=53 ID=0 DF PROTO=UDP SPT=51654 DPT=1026 LEN=486
Aug 21 12:46:07 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.157.111.118 DST=84.157.134.17 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=58860 DF PROTO=TCP SPT=1844 DPT=445 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405AC01010402)
Aug 21 12:46:10 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.157.111.118 DST=84.157.134.17 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=59181 DF PROTO=TCP SPT=1844 DPT=445 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405AC01010402)
Aug 21 12:46:39 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.155.235.106 DST=84.157.134.17 LEN=52 TOS=0x00 PREC=0x00 TTL=124 ID=35488 DF PROTO=TCP SPT=1125 DPT=135 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405A00103030001010402)
Aug 21 12:47:22 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.157.89.235 DST=84.157.134.17 LEN=52 TOS=0x00 PREC=0x00 TTL=125 ID=44398 DF PROTO=TCP SPT=4242 DPT=135 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405A00103030001010402)
Aug 21 12:47:33 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.157.89.235 DST=84.157.134.17 LEN=52 TOS=0x00 PREC=0x00 TTL=125 ID=48223 DF PROTO=TCP SPT=2463 DPT=445 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405A00103030001010402)
Aug 21 12:47:44 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.157.88.170 DST=84.157.134.17 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=7653 DF PROTO=TCP SPT=1230 DPT=135 WINDOW=64800 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Aug 21 12:47:47 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.157.88.170 DST=84.157.134.17 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=8012 DF PROTO=TCP SPT=1230 DPT=135 WINDOW=64800 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Aug 21 12:48:10 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.157.120.171 DST=84.157.134.17 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=27548 DF PROTO=TCP SPT=1027 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Aug 21 12:48:13 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.157.120.171 DST=84.157.134.17 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=27677 DF PROTO=TCP SPT=1027 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Aug 21 12:49:05 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.157.89.235 DST=84.157.134.17 LEN=52 TOS=0x00 PREC=0x00 TTL=125 ID=11721 DF PROTO=TCP SPT=4877 DPT=445 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405A00103030001010402)
Aug 21 12:49:08 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.157.89.235 DST=84.157.134.17 LEN=52 TOS=0x00 PREC=0x00 TTL=125 ID=12660 DF PROTO=TCP SPT=4877 DPT=445 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405A00103030001010402)
Aug 21 12:49:31 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.133.125.106 DST=84.157.134.17 LEN=52 TOS=0x00 PREC=0x00 TTL=60 ID=63850 DF PROTO=TCP SPT=4230 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405A00103030001010402)
Aug 21 12:49:34 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.133.125.106 DST=84.157.134.17 LEN=52 TOS=0x00 PREC=0x00 TTL=60 ID=64057 DF PROTO=TCP SPT=4230 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405A00103030001010402)
Aug 21 12:49:52 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.157.187.12 DST=84.157.134.17 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=43076 DF PROTO=TCP SPT=4769 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405AC01010402)
Aug 21 12:51:00 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.61.34.14 DST=84.157.134.17 LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=5104 DF PROTO=TCP SPT=2622 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405AC01010402)
Aug 21 12:51:03 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.61.34.14 DST=84.157.134.17 LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=5176 DF PROTO=TCP SPT=2622 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=49797 OPT (020405AC01010402)
Aug 21 12:51:07 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=61.152.160.63 DST=84.157.134.17 LEN=506 TOS=0x00 PREC=0x00 TTL=53 ID=0 DF PROTO=UDP SPT=32833 DPT=1026 LEN=486
Aug 21 12:52:05 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.157.217.98 DST=84.157.134.17 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=46090 DF PROTO=TCP SPT=1829 DPT=135 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405A00103030001010402)
Aug 21 12:52:08 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.157.217.98 DST=84.157.134.17 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=46542 DF PROTO=TCP SPT=1829 DPT=135 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405A00103030001010402)
Aug 21 12:52:43 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.157.101.14 DST=84.157.134.17 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=6730 DF PROTO=TCP SPT=4136 DPT=135 WINDOW=64800 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Aug 21 12:52:46 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.157.101.14 DST=84.157.134.17 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=7581 DF PROTO=TCP SPT=4136 DPT=135 WINDOW=64800 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Aug 21 12:53:26 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=210.214.131.49 DST=84.157.134.17 LEN=78 TOS=0x00 PREC=0x00 TTL=109 ID=62479 PROTO=UDP SPT=1027 DPT=137 LEN=58
Aug 21 12:54:20 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=61.138.137.12 DST=84.157.134.17 LEN=344 TOS=0x00 PREC=0x00 TTL=53 ID=0 DF PROTO=UDP SPT=52490 DPT=1026 LEN=324
Aug 21 12:54:20 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=61.138.137.12 DST=84.157.134.17 LEN=344 TOS=0x00 PREC=0x00 TTL=53 ID=0 DF PROTO=UDP SPT=52494 DPT=1027 LEN=324
Aug 21 12:54:50 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.157.187.12 DST=84.157.134.17 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=3167 DF PROTO=TCP SPT=4516 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405AC01010402)
Aug 21 12:54:53 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.157.187.12 DST=84.157.134.17 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=3416 DF PROTO=TCP SPT=4516 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405AC01010402)
Aug 21 12:55:25 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.154.230.115 DST=84.157.134.17 LEN=52 TOS=0x00 PREC=0x00 TTL=124 ID=58072 DF PROTO=TCP SPT=2615 DPT=135 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405A00103030001010402)
Aug 21 12:55:59 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.157.200.20 DST=84.157.134.17 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=6590 DF PROTO=TCP SPT=3235 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Aug 21 12:56:02 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.157.200.20 DST=84.157.134.17 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=7140 DF PROTO=TCP SPT=3235 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Aug 21 12:56:36 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.157.126.120 DST=84.157.134.17 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=6254 DF PROTO=TCP SPT=2268 DPT=135 WINDOW=64800 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Aug 21 12:56:39 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.157.126.120 DST=84.157.134.17 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=7428 DF PROTO=TCP SPT=2268 DPT=135 WINDOW=64800 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Aug 21 12:58:22 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.157.187.12 DST=84.157.134.17 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=21068 DF PROTO=TCP SPT=4653 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405AC01010402)
Aug 21 12:58:25 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.157.187.12 DST=84.157.134.17 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=21279 DF PROTO=TCP SPT=4653 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405AC01010402)
Aug 21 12:58:33 linux su: FAILED SU (to root) JoeM on /dev/pts/2
Aug 21 12:58:40 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.157.68.162 DST=84.157.134.17 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=28929 DF PROTO=TCP SPT=2587 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Aug 21 12:58:40 linux su: (to root) JoeM on /dev/pts/2
Aug 21 12:58:40 linux su: (to root) JoeM on /dev/pts/2
Aug 21 12:58:51 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.157.139.99 DST=84.157.134.17 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=39803 DF PROTO=TCP SPT=4135 DPT=135 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405AC0103030001010402)
Aug 21 12:59:05 linux su: (to root) JoeM on /dev/pts/1
Aug 21 12:59:14 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.157.88.254 DST=84.157.134.17 LEN=52 TOS=0x00 PREC=0x00 TTL=125 ID=40198 DF PROTO=TCP SPT=2558 DPT=135 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405AC0103030001010402)
Aug 21 12:59:17 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.157.88.254 DST=84.157.134.17 LEN=52 TOS=0x00 PREC=0x00 TTL=125 ID=40459 DF PROTO=TCP SPT=2558 DPT=135 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405AC0103030001010402)
Aug 21 12:59:20 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=61.233.40.169 DST=84.157.134.17 LEN=312 TOS=0x00 PREC=0x00 TTL=48 ID=0 DF PROTO=UDP SPT=47238 DPT=1026 LEN=292
Aug 21 12:59:22 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=83.149.101.93 DST=84.157.134.17 LEN=60 TOS=0x00 PREC=0x00 TTL=57 ID=6704 DF PROTO=TCP SPT=32959 DPT=4662 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405AC0402080A2AC6CB3B0000000001030300)
Aug 21 13:00:34 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.157.101.19 DST=84.157.134.17 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=37112 DF PROTO=TCP SPT=4005 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Aug 21 13:00:37 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=84.157.101.19 DST=84.157.134.17 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=37780 DF PROTO=TCP SPT=4005 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Aug 21 13:00:38 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=80.53.48.206 DST=84.157.134.17 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=21803 DF PROTO=TCP SPT=33333 DPT=16691 WINDOW=8712 RES=0x00 ACK SYN URGP=0 OPT (020405AC01010402)
Aug 21 13:00:44 linux kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=80.53.48.206 DST=84.157.134.17 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=34603 DF PROTO=TCP SPT=33333 DPT=16691 WINDOW=8712 RES=0x00 ACK SYN URGP=0 OPT (020405AC01010402)

Genau wie du es wolltest. amule beendet und sofort hier gepostet.
Signatur ? Braucht man sowas ?
rm -rf /

Beitrag von rm -rf / »

siehts du? überall da, wo "DPT" steht, muss der entsprechende port freeigeschaltet werden, weil er geblockt wird (1 zeile = 1 geblocktes Paket)
DPT = Port, der freigeschaltet werden muss (eingehende Richtung
PROTO = Protokoll, welches in bezug auf den port freigeschaltet werden muss.

Du siehst, dass das sehr viele Ports sind, und ich denke es werden insgesamt einige hundert sein (da stehen bei weitem nicht alle)
-->Linux-eMule + Iptables = LowID, es sei denn man macht ein sog. DMZ-Hole, was aber ned grade leicht is, besonders dann wenn es nur für eine Anwendung gelten soll
JoeM
Newbie
Newbie
Beiträge: 49
Registriert: 21. Nov 2004, 20:15
Wohnort: Germany

Beitrag von JoeM »

na gut aber das würde ja dann heissen, das jeder, der amule hinter der firewall laufen hat eine lowID bekommt. Ich kann aber aus erfahrung sagen, das dem nicht so ist. und auch unter amule.org wird darauf hingewiesen, das es wohl genügt diese ports freizuschalten.

Werden wir da etwa von den amule-Entwicklern belogen ?

Und wenn es wirklich so viele ports sind, die amule benötigt, warum wird dann nicht ein script mitgegeben, das die verwendeten Ports automatisch freischaltet?

Ich seh schon, da werd ich mich wohl mit der LowID zufrieden geben müssen.
Signatur ? Braucht man sowas ?
rm -rf /

Beitrag von rm -rf / »

ich verstehe auch nicht, woher immer die ganzen behauptungen a´la "das geht mit xy ports" kommen, ich selbst habe es auch noch nie hingekriegt, allerdings bin ich mal hier im forum über einen post gestolpert, der beschreibt wie es angeblich funktionieren soll, einfach mal die suchfunktion benutzen. Aber Achtung: Es gibt auch Methoden, dem e-mule Server nur vorzutäuschen, dass man alle Pakete erhält, was aber in Wirklichkeit nicht so ist. Endeffekt ist dann, dass du ne HighID hast, aber trotzdem langsamer runterlädst, als es möglich ist. Leider weiss ich nicht, ob die hier im Forum beschriebenen Methoden zu ner Fake-ID führen oder nicht, am besten mal selbst einlesen.....
JoeM
Newbie
Newbie
Beiträge: 49
Registriert: 21. Nov 2004, 20:15
Wohnort: Germany

Beitrag von JoeM »

oh kannst mir glauben. im Forum hab ich so ziemlich alles gelesen, was auch nur im entferntesten damit zu tun haben kann. Aber meist gehts darum, das die einstellungen von yast nicht übernommen werden oder die firewall hängt und neu gesartet werden muss.

Kann es denn sein, das man bei DSL-Modems öfters mal Probs mit den Ports hat ?

Vorher hatte ich eine FritzBox-Fon (Router) und da hab ich die Ports freigeschaltet und im Yast auch und alles lief wie geschmiert.

Jetzt hab ich von 9.2 auf 9.3 gewechselt und statt dem router ein Teledat-Lan-DSLModem

Übrigens... was hattest du vorhin gemeint mit "komische sachen" ?
ich hoffe nix beunruhigendes.
Zuletzt geändert von JoeM am 21. Aug 2005, 13:31, insgesamt 1-mal geändert.
Signatur ? Braucht man sowas ?
Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4327
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

Beitrag von framp »

rm -rf / hat geschrieben:siehts du? überall da, wo "DPT" steht, muss der entsprechende port freeigeschaltet werden, weil er geblockt wird (1 zeile = 1 geblocktes Paket)
Ich wuerde das nicht so ohne weiteres tun :!: Da sind Ports dabei die definitiv nichts mit eMule zu tun haben (135, 455, ...) und richtigerweise geblocked werden :!:
So ganz verstehe ich nicht, was sich geandert hat so dass es nicht mehr tut. Was hast Du geaendert?
EDIT: Habe eben gesehen, dass Du von 9.2 auf 9.3 gegangen bist. Bei

Code: Alles auswählen

iptables -L
fehlt das Wichtigste. Poste doch mal

Code: Alles auswählen

iptables -L -v
rm -rf /

Beitrag von rm -rf / »

janee is klar, alles sollte man nicht grade durchlassen, selbst wenn er das machen würde, würde es wahrscheinlich immernoch nicht gehen, da es ja weitaus mehr ports sind. Wenn du es schon geschafft hast, emule mit (WAHRER) high-id am laufen zu kriegen, erzähl doch mal bitte WIE
JoeM
Newbie
Newbie
Beiträge: 49
Registriert: 21. Nov 2004, 20:15
Wohnort: Germany

Beitrag von JoeM »

linux:/home/JoeM # iptables -L -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
200 13282 ACCEPT all -- lo any anywhere anywhere
30990 22M ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
0 0 input_ext all -- eth0 any anywhere anywhere
521 40481 LOG all -- any any anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-IN-ILL-TARGET '
597 46327 DROP all -- any any anywhere anywhere

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 LOG all -- any any anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWD-ILL-ROUTING '

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
200 13282 ACCEPT all -- any lo anywhere anywhere
29348 4937K ACCEPT all -- any any anywhere anywhere state NEW,RELATED,ESTABLISHED
0 0 LOG all -- any any anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-OUT-ERROR '

Chain forward_ext (0 references)
pkts bytes target prot opt in out source destination

Chain input_ext (1 references)
pkts bytes target prot opt in out source destination
0 0 DROP all -- any any anywhere anywhere PKTTYPE = broadcast
0 0 ACCEPT icmp -- any any anywhere anywhere icmp source-quench
0 0 ACCEPT icmp -- any any anywhere anywhere icmp echo-request
0 0 ACCEPT icmp -- any any anywhere anywhere state RELATED,ESTABLISHED icmp echo-reply
0 0 ACCEPT icmp -- any any anywhere anywhere state RELATED,ESTABLISHED icmp destination-unreachable
0 0 ACCEPT icmp -- any any anywhere anywhere state RELATED,ESTABLISHED icmp time-exceeded
0 0 ACCEPT icmp -- any any anywhere anywhere state RELATED,ESTABLISHED icmp parameter-problem
0 0 ACCEPT icmp -- any any anywhere anywhere state RELATED,ESTABLISHED icmp timestamp-reply
0 0 ACCEPT icmp -- any any anywhere anywhere state RELATED,ESTABLISHED icmp address-mask-reply
0 0 ACCEPT icmp -- any any anywhere anywhere state RELATED,ESTABLISHED icmp protocol-unreachable
0 0 ACCEPT icmp -- any any anywhere anywhere state RELATED,ESTABLISHED icmp redirect
0 0 LOG tcp -- any any anywhere anywhere limit: avg 3/min burst 5 tcp dpt:4662 flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-TCP '
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:4662
0 0 reject_func tcp -- any any anywhere anywhere tcp dpt:ident state NEW
0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:4665
0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:rfa
0 0 LOG tcp -- any any anywhere anywhere limit: avg 3/min burst 5 tcp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
0 0 LOG icmp -- any any anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
0 0 LOG udp -- any any anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
0 0 LOG all -- any any anywhere anywhere limit: avg 3/min burst 5 state INVALID LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT-INV '
0 0 DROP all -- any any anywhere anywhere

Chain reject_func (1 references)
pkts bytes target prot opt in out source destination
0 0 REJECT tcp -- any any anywhere anywhere reject-with tcp-reset
0 0 REJECT udp -- any any anywhere anywhere reject-with icmp-port-unreachable
0 0 REJECT all -- any any anywhere anywhere reject-with icmp-proto-unreachable
linux:/home/JoeM #


und was sieht man jetzt mehr durch das -v ?
Signatur ? Braucht man sowas ?
rm -rf /

Beitrag von rm -rf / »

nicht wirklich viel mehr, hauptsächlich debugging-informationen, die aber hier nicht greifen, da alle betroffenen ports/protos bereits mit iptables -L aufgelistet werden
mantables hat geschrieben:-v, --verbose
Verbose output. This option makes the list command show the interface name, the rule options (if any), and the TOS masks. The packet and
byte counters are also listed, with the suffix 'K', 'M' or 'G' for 1000, 1,000,000 and 1,000,000,000 multipliers respectively (but see the
-x flag to change this). For appending, insertion, deletion and replacement, this causes detailed information on the rule or rules to be
printed.
Benutzeravatar
panamajo
Guru
Guru
Beiträge: 2599
Registriert: 12. Feb 2005, 22:45

Beitrag von panamajo »

rm -rf / hat geschrieben:eMule benötigt weit mehr als nur diese paar ports,
Sry aber das ist Blödsinn.
Bevor ihr anfangt die Bits mit Magneten zu manipulieren: die angegebenen Ports sind falsch gewählt, so kann das also gar nicht gehen, egal wie die FW konfiguriert ist! :mrgreen:

Das eDonkey Protokoll benötigt genau 2 freie Ports zum Verbindungsaufbau. Allerdings nicht
JoeM hat geschrieben: FW_SERVICES_EXT_TCP="4662"
FW_SERVICES_EXT_UDP="4665 4672"
sondern BASE (z.B. 4662) TCP und BASE+4 UDP
Das ergibt also

Code: Alles auswählen

 FW_SERVICES_EXT_TCP="4662" 
FW_SERVICES_EXT_UDP="4666"
Deine Behauptung
rm -rf / hat geschrieben: um eine high-id zu bekommen, muss man komplette portbereiche freischalten, und das sind soviele, da kann man auch direkt garkeine firewall benutzen
stimmt nicht. Die obigen Ports werden zur Kommunikation benötigt, für die Datenübertragung öffnet der Client entsprechende Hiports (die von rm -rf / akribisch als Beweis aufgelistet wurden), was aber keinesfalls die Firewall kompromittiert (ftp arbeitet genauso, niemand würde behaupten dass ftp nur ohne Firewall möglich ist).
Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4327
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

Beitrag von framp »

JoeM hat geschrieben:linux:/home/JoeM
und was sieht man jetzt mehr durch das -v ?
Die Interfaces :!: Es ist schon wichtig auf welchem Interface eine Rule greift :roll:.
Die beste Methode so ein Problem anzugehen ist mit tcpdump.
Ein Fenster oeffenen und als root tcpdump -i dsl0 -n eingeben.
Dann das Problemkind starten und nachsehen auf welchen Ports da was ablaeuft.

Code: Alles auswählen

14:59:24.447279 IP 84.160.237.182.4463 > 84.160.219.156.445: S 319867473:319867473(0) win 16384 <mss 1440,nop,nop,sackOK>
Sagt z.B. dass da jemand von Port 4663 auf Port 445 zugreifen will - und nicht darf. Da hat er nichts verloren...
Deine OUTPUT chain ist offen - also wird irgendwas beim INPUT geblocked.
Mom: Mir faellt eben noch was ein:
Da gibt es bei SuSEFW eine Option FW_LOG_DROP_ALL="yes"
. Die hast Du vermutlich nicht auf yes. Aendere das. Danach tail -f /var/log/firewall | grep DROP und starten des Problemkindes. Dann solltest Du schnell herausfinden was geblocked wird.
Zuletzt geändert von framp am 22. Aug 2005, 20:47, insgesamt 1-mal geändert.
Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4327
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

Beitrag von framp »

panamajo hat geschrieben: ... Bevor ihr anfangt die Bits mit Magneten zu manipulieren: ...
Guter Spruch. Muss ich mir merken ;-)
JoeM
Newbie
Newbie
Beiträge: 49
Registriert: 21. Nov 2004, 20:15
Wohnort: Germany

Beitrag von JoeM »

also ich habe in der SuSEfirewall2 die Ports entsprechend geändert (TCP4662 und UDP4666) und auch diesen besagten wert auf "yes" gesetzt. wenn ich dann das tail.... kommando eingebe kommt folgendes.


linux:/ # tail -f /var/log/firewall | grep DROP
tail: „/var/log/firewall“ kann nicht zum Lesen geöffnet werden: Datei oder Verzeichnis nicht gefunden
tail: Keine Dateien mehr übrig
linux:/ #

und der amule hat immernoch lowID

Und das mit dem tcpdump hab ich mal eingegeben. aber das rauscht so schnell vorbei, das man garnichts erkennen kann. wie stoppe ich die ausgabe von tcpdump wieder ?
Signatur ? Braucht man sowas ?
rm -rf /

Beitrag von rm -rf / »

panamajo hat geschrieben:keinesfalls die Firewall kompromittiert (ftp arbeitet genauso, niemand würde behaupten dass ftp nur ohne Firewall möglich ist).
kommt drauf an, ob aktives oder passives ftp o_0 wenn ich das jetz richtig verstanden hab
panamajo hat geschrieben: ... Bevor ihr anfangt die Bits mit Magneten zu manipulieren: ...
:lol: :lol: :lol:
Antworten