Servus zusammen.

Da ich mich momentan mit dem Thema "Iptables" auseinandersetze, kam mir folgende, für das allgemeine Verständnis wichtige Frage: Woher weiss ich welcher Dienst welchen Port braucht (brauchen könnte).
So muss ich beispielsweise für C&C Generals
TCP
80
8667
28910
2990
29920

UDP
4321
27900

freigeben. Soll ich die angegebene Ports dann für meinem Rechner freigeben oder als Port von deren Rechner ? Also werden die Ports --sport oder --dport (in Input oder Output)?

Gibt es irgendwo eine Liste, welche Programm (nicht nur games) welche Port nutzen (könnten)?

Vielen Dank schonmal.

MfG Markus

moin moin


Woher weiss ich welcher Dienst welchen Port braucht (brauchen könnte).

aus der readme etc. ;) in der /etc/services findest du die *üblichen verdächtigen* und last but not least hier noch ne site, wo du ports abfragen kannst => http://ports.tantalo.net/index.php



Soll ich die angegebene Ports dann für meinem Rechner freigeben oder als Port von deren Rechner ? Also werden die Ports --sport oder --dport (in Input oder Output)?

in dem falle gehen die anfragen an deinen rechner an die entsprechenden ports. also input chain oder forward chain und --dport.

wenn du den *ausgehenden* verkehr auch reglementierst => --sport und output chain



Gruß HL

Würde es für die Ports
TCP
80
8667
28910
2990
29920
dann folgendermaßen aussehen ?

iptables -A input -p tcp --dport 80 -j ACCEPT
iptables -A input -p tcp --dport 8667 -j ACCEPT
iptables -A input -p tcp --dport 28910 -j ACCEPT
iptables -A input -p tcp --dport 2990 -j ACCEPT
iptables -A input -p tcp --dport 29920 -j ACCEPT

?? Den Output-Chain (weiss nicht, ob die "Vokabel" jetzt inhaltlich richtig gesetzt ist) lass ich jetzt mal weg. Ich weiss ja nicht, von Welchem Westwood-Server-Port die Anfrage auf meine Ports (80 8667 28910 2990 29920) kommen wird. oder müsste noch ein "--sport 1024:" dazu ? Woher weiss ich, wann eine Anfrag von einem höheren Port als 1024 kommen wird ?

Vielen Dank schonmal !!!

MfG Markus

Juhu,

hier mal ne "kleine" Übersicht. :ugly:

http://www.seifried.org/security/ports/

Gruß Matze

hi

im großen und ganzen ist das schon richtig so. es kommt natürlich drauf an, wo das script läuft und wo das spiel. angenommen das script läuft auf dem router und das spiel auf dem client, dann mußt du das ganze in der FORWARD CHAIN machen und die ports entsprechend zum client *forwarden*.

die regeln das die (antwort)pakete auch wieder raus dürfen fehlen auch noch. am besten läßt sich das mit connection tracking lösen.


Gruß HL

hmmm ok :)

eine letzte Frage dann aber trotzdem noch: Wenn das Spiel auf dem Rechner mit der Firewall läuft, muss dann folgendes (Ausser dem Output-chain, etc etc etc) in das skript:

iptables -A input -p tcp --dport 80 -j ACCEPT

oder folgendes:

iptables -A input -p tcp --dport 80 --sport 1024: -j ACCEPT


MfG Markus

up's du bist noch wach, hab nicht mehr mit ner antwort gerechnet ;)


ich würde es so machen

iptables -A INPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


wenn die anfragen von den highports kommen, würde ich die gar nicht in der regel aufnehmen. nur wenn sie von einem *festen* port kommen.

btw. wenn du keinen eigenen (spiele)server betreibst, müßte es imho eigentlich reichen, wenn du in der INPUT CHAIN nur ESTABLISHED und RELATED erlaubst. NEW bräuchtest du dann nicht freigeben.


Gruß HL

klar war ich noch wach, ich bin rund um die Uhr on ;)

Nur noch ne ganz kleine verständnisfrage: Das "-m state" ruft das "modul" auf, sehe ich das richtig ? Weil es dann hier (--state NEW,ESTABLISHED,RELATED) genutzt wird.
Aber wo wäre dann der Unterschied zwischen "--state NEW,ESTABLISHED,RELATED" und "" also, wenn ich "--state NEW,ESTABLISHED,RELATED" gerade weglassen würde. Man schliesst ja damit eigentlich nur die invaliden Pakete aus, oder ? Oder muss ich noch eine Angabe zum "Sender" machen ?

MfG Markus

moin moin


Das "-m state" ruft das "modul" auf, sehe ich das richtig ?

jein ;). wenn du mit "rufst" laden meinst, dann nicht. das geschieht hiermit =>
modprobe ip_conntrack


Aber wo wäre dann der Unterschied zwischen "--state NEW,ESTABLISHED,RELATED" und "" also, wenn ich "--state NEW,ESTABLISHED,RELATED" gerade weglassen würde.

dann bekommst du ne fehlermeldung. wenn du -m state aufrufst, mußt du auch wenigstens einen "zustand" angeben.


Man schliesst ja damit eigentlich nur die invaliden Pakete aus, oder ?

das ist richtig. deshalb auch mein hinweis oben, wenn du nur ein game starten willst, brauchst du "NEW* pakete nicht reinlassen. sondern nur established und related, also pakete die zu einer bestehenden verbindung gehören oder in irgendeiner beziehung zu einer verbindung stehen.


Gruß HL

ok, vielen Dank !