ICQ Dateitransfer geht??? (iptables - ports) [Archiv] - linuxforen.de -- User helfen Usern

Archiv verlassen und diese Seite im Standarddesign anzeigen : ICQ Dateitransfer geht??? (iptables - ports)

-As-

23.10.07, 20:13

Hallo!

Folgendes Problem; ich hatte lange Zeit das Problem, dass ich keine Dateien über icq senden und empfangen kann. Hierbei war die Policy FORWARD auf ACCEPT gernell eingestellt. Nun habe ich sie paranoiderweise mal so eingestellt, dass ich alles strikt verbiete bis auf ausgewählte Ports!

Es handelt sich um ein NAT-PAT system wobei ein Debianrouter als gateway fungiert. An diesem ist der windoofclient dran.

Merkwürdig: Ich kann Ebay nicht mehr anpingen. Https geht. ping zu Gmx.de + google.de geht auch.

Frage: warum kann ich aufmal Dateien empfangen und versenden, wobei die pakete vorher ins nirvana liefen?

modprobe ip_tables
modprobe ipt_LOG
modprobe ipt_REJECT
modprobe ipt_MASQUERADE
modprobe ipt_limit
modprobe ip_conntrack

...

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state ESTABLISHED
ACCEPT all -- anywhere anywhere state RELATED
ACCEPT all -- 127.0.0.0/8 anywhere

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp spts:1024:65535 dpt:www
ACCEPT tcp -- anywhere anywhere tcp spts:1042:65535 dpt:https
ACCEPT tcp -- anywhere anywhere tcp spt:www dpts:1024:65535 flags:!SYN,RST,ACK/SYN
ACCEPT tcp -- anywhere anywhere tcp spt:https dpts:1024:65535 flags:!SYN,RST,ACK/SYN
ACCEPT udp -- anywhere anywhere udp spts:1024:65535 dpt:domain
ACCEPT udp -- anywhere anywhere udp spt:domain dpts:1024:65535
ACCEPT tcp -- anywhere anywhere tcp spts:1024:65535 dpt:5190
ACCEPT tcp -- anywhere anywhere tcp spt:5190 dpts:1024:65535 flags:!SYN,RST,ACK/SYN
ACCEPT tcp -- anywhere anywhere tcp spts:1024:65535 dpt:5223
ACCEPT tcp -- anywhere anywhere tcp spt:5223 dpts:1024:65535 flags:!SYN,RST,ACK/SYN
ACCEPT icmp -- anywhere anywhere
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

#icq
iptables -A FORWARD -i eth0 -o ppp0 -p tcp --sport 1024:65535 --dport 5190:5190 -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth0 -p tcp ! --syn --sport 5190:5190 --dport 1024:65535 -j ACCEPT

..die komische Sache ist die: Ich versende von Port <1023 zum Remote ICQ-Client auf Port 5190 eine Datei. Schön und gut. Aber: dieser Empfänger kann mir über Port <1023 (es war 2340 laut iftop) auf mein port 5190 etwas senden. - Das verwirrt mich ein wenig! Habe ich die Policies evtl misverstanden? (Da steht ja: -i ppp0 nur von port 5190 !!!! )

muss hierbei noch erwähnen das diese firewall mit FORWARD ACCEPT auf suse9.1 lief und ich debian (aktuellste version - gestern gezogen) neu installiert habe. wobei das nicht die portsache erklären würde..

hilfeeeeeeeeee xD

mfg alex

-As-

24.10.07, 07:25

keiner rat? :(

oder ist es garnich so merkwürdig das dies funktioniert (und ich bin nur zu blöd)?!

gruß alex

-As-

24.10.07, 17:10

hier mal eine auflistung von wireshark:

5:09.520712 IP 64.12.24.94.5190 > dslb-088-070-065-148.pools.arcor-ip.net.3599: P 21768:21967(199) ack 3285 win 16384
03:55:09.523030 IP dslb-088-070-065-148.pools.arcor-ip.net.2737 > dns5.arcor-ip.de.domain: 56917+ A? ars.oscar.aol.com. (35)
03:55:09.536271 IP dns5.arcor-ip.de.domain > dslb-088-070-065-148.pools.arcor-ip.net.2737: 56917 2/0/0 CNAME[|domain]
03:55:09.537377 IP dslb-088-070-065-148.pools.arcor-ip.net.3635 > arsvip-d01.blue.aol.com.5190: S 3633893097:3633893097(0) win 64512 <mss 1452,nop,nop,sackOK>
03:55:09.651488 IP arsvip-d01.blue.aol.com.5190 > dslb-088-070-065-148.pools.arcor-ip.net.3635: S 3622246341:3622246341(0) ack 3633893098 win 65535 <mss 1360>
03:55:09.652051 IP dslb-088-070-065-148.pools.arcor-ip.net.3635 > arsvip-d01.blue.aol.com.5190: . ack 1 win 65280
03:55:09.652119 IP dslb-088-070-065-148.pools.arcor-ip.net.3635 > arsvip-d01.blue.aol.com.5190: P 1:51(50) ack 1 win 65280
03:55:09.713539 IP dslb-088-070-065-148.pools.arcor-ip.net.3599 > 64.12.24.94.5190: . ack 21967 win 65081
03:55:09.770744 IP arsvip-d01.blue.aol.com.5190 > dslb-088-070-065-148.pools.arcor-ip.net.3635: . ack 51 win 65535
03:55:09.772189 IP arsvip-d01.blue.aol.com.5190 > dslb-088-070-065-148.pools.arcor-ip.net.3635: P 1:19(18) ack 51 win 65535
03:55:09.772794 IP dslb-088-070-065-148.pools.arcor-ip.net.3599 > 64.12.24.94.5190: P 3285:3395(110) ack 21967 win 65081
03:55:09.888727 IP 64.12.24.94.5190 > dslb-088-070-065-148.pools.arcor-ip.net.3599: . ack 3395 win 16384
03:55:09.914671 IP dslb-088-070-065-148.pools.arcor-ip.net.3635 > arsvip-d01.blue.aol.com.5190: . ack 19 win 65262
03:55:10.221341 IP arsvip-d01.blue.aol.com.5190 > dslb-088-070-065-148.pools.arcor-ip.net.3635: P 19:31(12) ack 51 win 65535
03:55:10.357759 IP 64.12.24.94.5190 > dslb-088-070-065-148.pools.arcor-ip.net.3599: P 21967:22122(155) ack 3395 win 16384
03:55:10.416578 IP dslb-088-070-065-148.pools.arcor-ip.net.3635 > arsvip-d01.blue.aol.com.5190: . ack 31 win 65250
03:55:10.517155 IP dslb-088-070-065-148.pools.arcor-ip.net.3599 > 64.12.24.94.5190: . ack 22122 win 64926
03:55:10.531097 IP arsvip-d01.blue.aol.com.5190 > dslb-088-070-065-148.pools.arcor-ip.net.3635: P 31:287(256) ack 51 win 65535
03:55:10.533360 IP dslb-088-070-065-148.pools.arcor-ip.net.3635 > arsvip-d01.blue.aol.com.5190: P 51:307(256) ack 287 win 64994

warum kommen eingehende verbindungen außerhalb des ports 5190 rein?

asi_dkn

24.10.07, 18:57

also auf den ersten blick fällt mir nur das auf:

ACCEPT all -- anywhere anywhere

er akzeptiert alles von irgendwo her nach irgendwo hin? erste rule in der input chain... da kannst gleich die policy auf accept lassen :)

so genau kann ichs dir aber nicht sagen, ich finds mühsam die liste zu lesen. hast du evtl. das script in welchem du die regeln definierst? das kann man wenigstens flüssig lesen :)

-As-

25.10.07, 07:54

Danke!

Ich verstehe nur nicht warum da immer "anywhere" steht obwohl ich ihm explizit sagte welches interface nach welchem interface.

Die "anywehre"-Regel bezieht sich darauf, dass er alles von eth0 akpeptiert.

iptables -A INPUT -i eth0 -j ACCEPT

..macht doch sinn, ihm zu sagen, dass alles was vom LAN kommt nicht geblockt werden soll, oder?

Wobei ich mich jetzt wunder; Policy -A INPUT steht auf -j DROP, jedoch FORWARD erlaubt einige reinkommende Verbindungen auf ppp0 mit best. Ports. Würde hier nicht die -A INPUT -j DROP Policy greifen, oder sind das 2 Paar Schuhe?

Aufbau:
eth0 - LAN
ppp0 - DSL

-As-

27.10.07, 14:37

hmm naja wayne