Hallo,

ist es möglich mit iptables die Ports für aMule und BitTorrent alle richtig zu öffnen, oder könnte ich dann meine Firewall vergessen ?

bei azureus habe ich ständig ein Nat-Problem und aMule braucht extrem lange zum verbinden und findet so gut wie nichts mehr.,...

ohne Firewall funktioniert jedoch alles gut, hier die betreffenden Zeilen des Skripts:


####### azureus #####################
$IPT -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED --sport 6881:6889 -j ACCEPT
$IPT -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED --dport 6881:6889 -j ACCEPT
$IPT -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED --dport 6868 -j ACCEPT
$IPT -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED --dport 6969 -j ACCEPT
######## aMule ######################
$IPT -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED --dport 4661 -j ACCEPT

Wenn ich mal mitprotokolliere sehe ich extrem viele DROPs auf high-ports, daher denke ich das es ohne weiteres nicht möglich ist.

Komischerweise wenn ich die Firewall nach dem verbinden bei aMule wieder anstelle ist alles ok.
Genauso ist es bei azureus, wenn die Firewall aus war und das Nat-Problem weg ist kommt es auch in der ganzen Zeit nicht wieder...

mfg
tost

Was verstehst du denn unter einem NAT-Problem? Soll das ein Paketfilter auf einem Router sein? Wenn ja reicht es nicht die Ports einfach zu öffnen, sie müssen schließlich auch noch auf den entsprechenden Rechner geforwarded werden.

ups sry habe ich ganz vergessen !

Ich sitze hinter einem Router, und betreibe zudem noch Iptables (nur für mich)

Die Firewall im Router ist ok, ich will auch keine High Id bei amule, sondern lediglich nur mehr quellen finden.

tost

Ja, aber was bringt es dir die Ports an deinem Rechner zu öffnen, wenn schon vorher alles am Router "kleben" bleibt?

ohne Firewall funktioniert jedoch alles gut, hier die betreffenden Zeilen des Skripts:

d.h wenn ich iptables nicht aktiv habe funktioniert ist.

von daher dürfte der router keine probs machen ;-)

tost

Da anscheind keiner so genau weiß, was der tost von euch will versuche ich es euch zu erklären:

Die Router-Firewall macht keine Probleme, die können wir eigentlich außen vor lassen, die BitTorrent Ports sind offen, jedoch die von aMule nicht (das ist auch so gewollt)....

Bei aktivierter Iptables-Firewall:

aMule:

-->Server bei aMule müssen bei jedem Start neu geladen werden
-->verbinden dauert extrem lange (5min) und nur zu No-Name Servern
-->Suchergebnisse sind sehr mager

azureus:

-->hat irgendein Nat-Problem, es kann bei aktivierter Firewall keine Remotverbindung aufbauen

Wenn die Firewall aus ist:

aMule:

-->Serverliste ist beim Start schon gleich da
-->verbinden geht zügig, und auch zu "normalen" Servern
-->Suchergebnisse sind "normal"

azureus:

-->hat keine Probleme mehr, alles ist "ok"

Vergleiche die Screenshots:

aMule ohne Firewall (http://home.arcor.de/tost90/html/Screenshot/aMule.jpg)

aMule mit Firewall (http://home.arcor.de/tost90/html/Screenshot/aMule-fw.jpg)

das war die selbe Suche, man beachte die Ergebnisse (150:0) und die Server ...

Hoffe das war etwas klarer

mfg
tost

Deine Iptables-Regeln und ein Auszug aus der /var/log/messages bei aktiviertem Paketfilter würde mich jetzt nochma interessieren.

ok kein Problem:

aMule (http://home.arcor.de/tost90/html/Skripte/aMule-Firewall.txt)

BitTorrent (http://home.arcor.de/tost90/html/Skripte/azureus-Firewall.txt)

IpTables (http://home.arcor.de/tost90/html/Skripte/IpTables.txt)

im IpTables Skripte habe ich natürlich nur die relevanten Regeln auf den Webspace geladen...

da die Ports alle so verschieden sind, bezweifle ich, dass dies ohne einen großen Sicherheitsverlust einzugehen möglich ist....

tost

Ich versuch jetzt einfach mal ein bischen was aus deinen Logs herauszulesen.

Bei Bittorent kommt überhaupt kein Verbindugsaufbau zustande, weil sämtliche Pakete an jeweils von verschiedenen Source- und an wechselnde Destinationports adressiert sind.

Für Amule hast du nur ausgehenden Traffic freigegeben, in den Logs sieht man, dass verschiedene, eingehende Anfragen auf deinen Port 6885 geblockt werden. Desweiteren versucht dein Rechner bestimmte Server zu erreichen, wobei der Port wieder variabel zu sein scheint.


Hoffe das ich hier grad mal richtig analysiert habe. Vielleicht findest du im Filesharing HowTo [1] noch eine Idee oder Anregung. Wüsste selbst direkt nicht wie man mit diesen Variablen Port-Bereichen umzugehen hat, auch wenn da bestimmt eine Möglichkeit besteht. Auch wenn das keine richtige Lösung is, könntest du dich von deinen restriktiven Iptables regeln trennen. Es gibt einen Generator [2] für ein gutes Script, dass ich auch selbst im Einsatz habe.

Vielleicht kann dir jemand anders kompetenter helfen

PS: Könntest du mir bitte mal deine gesamte Firewall zeigen? Nur interessehalber, kopieren würd ich nie
:ugly:

[1]http://www.linuxforen.de/forums/showthread.php?action=showpost&postid=254451#254451
[2]http://harry.home.linux.de

komplette Iptables-Firewall (http://home.arcor.de/tost90/html/Skripte/firewall)

iptables-Reset (http://home.arcor.de/tost90/html/Skripte/iptables-reset)

Startskript (http://home.arcor.de/tost90/html/Skripte/myiptables)

mmhh ja das dachte ich mir auch schon :-(

tost

das selbe Problem habe ich auch beim Login mit Skype :mad: !

tausende OUTPUT tcp Verbindungen....

tost

Kann mir keiner helfen, oder mir eine andere nicht so enge Firewall anbieten bei der ich keine Probleme habe ...

tost

Du könntest dein Script so verändern, dass jeglicher ausgehender Verkehr erlaubt wird und nur der Eingehende extra gestattet werden muss.
Dann kannst du auch deine sämtlichen Output-Regeln, bis auf diese hier löschen.



$IPT -A OUTPUT -m state --state ESTABLISHED -j ACCEPT

Eine Frage habe ich da eh, dieses Skript gilt nur für meinen Linux Rechner.
OUTPUT ist doch unter Linux generell kein großes Risiko, oder sehe ich das falsch ?

Ich mache dann glaube ich 2 Skripte, eins für Filesharing (welches ich ja auch nur sehr selten benutze) und eins für den normalen Gebrauch.

tost

Eine Frage habe ich da eh, dieses Skript gilt nur für meinen Linux Rechner.
OUTPUT ist doch unter Linux generell kein großes Risiko, oder sehe ich das falsch ?

Wenn dein System befallen ist kann die Malware bei einer gesetzten ACCEPT-Policy über beliebige Ports kommunizieren...

Mußt Du selbst entscheiden...

mfg
cane