Archiv verlassen und diese Seite im Standarddesign anzeigen : Ports
Servus zusammen.
Da ich mich momentan mit dem Thema "Iptables" auseinandersetze, kam mir folgende, für das allgemeine Verständnis wichtige Frage: Woher weiss ich welcher Dienst welchen Port braucht (brauchen könnte).
So muss ich beispielsweise für C&C Generals
TCP
80
8667
28910
2990
29920
UDP
4321
27900
freigeben. Soll ich die angegebene Ports dann für meinem Rechner freigeben oder als Port von deren Rechner ? Also werden die Ports --sport oder --dport (in Input oder Output)?
Gibt es irgendwo eine Liste, welche Programm (nicht nur games) welche Port nutzen (könnten)?
Vielen Dank schonmal.
MfG Markus
moin moin
Woher weiss ich welcher Dienst welchen Port braucht (brauchen könnte).
aus der readme etc. ;) in der /etc/services findest du die *üblichen verdächtigen* und last but not least hier noch ne site, wo du ports abfragen kannst => http://ports.tantalo.net/index.php
Soll ich die angegebene Ports dann für meinem Rechner freigeben oder als Port von deren Rechner ? Also werden die Ports --sport oder --dport (in Input oder Output)?
in dem falle gehen die anfragen an deinen rechner an die entsprechenden ports. also input chain oder forward chain und --dport.
wenn du den *ausgehenden* verkehr auch reglementierst => --sport und output chain
Gruß HL
Würde es für die Ports
TCP
80
8667
28910
2990
29920
dann folgendermaßen aussehen ?
iptables -A input -p tcp --dport 80 -j ACCEPT
iptables -A input -p tcp --dport 8667 -j ACCEPT
iptables -A input -p tcp --dport 28910 -j ACCEPT
iptables -A input -p tcp --dport 2990 -j ACCEPT
iptables -A input -p tcp --dport 29920 -j ACCEPT
?? Den Output-Chain (weiss nicht, ob die "Vokabel" jetzt inhaltlich richtig gesetzt ist) lass ich jetzt mal weg. Ich weiss ja nicht, von Welchem Westwood-Server-Port die Anfrage auf meine Ports (80 8667 28910 2990 29920) kommen wird. oder müsste noch ein "--sport 1024:" dazu ? Woher weiss ich, wann eine Anfrag von einem höheren Port als 1024 kommen wird ?
Vielen Dank schonmal !!!
MfG Markus
MatzeG2002
14.03.03, 17:57
Juhu,
hier mal ne "kleine" Übersicht. :ugly:
http://www.seifried.org/security/ports/
Gruß Matze
hi
im großen und ganzen ist das schon richtig so. es kommt natürlich drauf an, wo das script läuft und wo das spiel. angenommen das script läuft auf dem router und das spiel auf dem client, dann mußt du das ganze in der FORWARD CHAIN machen und die ports entsprechend zum client *forwarden*.
die regeln das die (antwort)pakete auch wieder raus dürfen fehlen auch noch. am besten läßt sich das mit connection tracking lösen.
Gruß HL
hmmm ok :)
eine letzte Frage dann aber trotzdem noch: Wenn das Spiel auf dem Rechner mit der Firewall läuft, muss dann folgendes (Ausser dem Output-chain, etc etc etc) in das skript:
iptables -A input -p tcp --dport 80 -j ACCEPT
oder folgendes:
iptables -A input -p tcp --dport 80 --sport 1024: -j ACCEPT
MfG Markus
up's du bist noch wach, hab nicht mehr mit ner antwort gerechnet ;)
ich würde es so machen
iptables -A INPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
wenn die anfragen von den highports kommen, würde ich die gar nicht in der regel aufnehmen. nur wenn sie von einem *festen* port kommen.
btw. wenn du keinen eigenen (spiele)server betreibst, müßte es imho eigentlich reichen, wenn du in der INPUT CHAIN nur ESTABLISHED und RELATED erlaubst. NEW bräuchtest du dann nicht freigeben.
Gruß HL
klar war ich noch wach, ich bin rund um die Uhr on ;)
Nur noch ne ganz kleine verständnisfrage: Das "-m state" ruft das "modul" auf, sehe ich das richtig ? Weil es dann hier (--state NEW,ESTABLISHED,RELATED) genutzt wird.
Aber wo wäre dann der Unterschied zwischen "--state NEW,ESTABLISHED,RELATED" und "" also, wenn ich "--state NEW,ESTABLISHED,RELATED" gerade weglassen würde. Man schliesst ja damit eigentlich nur die invaliden Pakete aus, oder ? Oder muss ich noch eine Angabe zum "Sender" machen ?
MfG Markus
moin moin
Das "-m state" ruft das "modul" auf, sehe ich das richtig ?
jein ;). wenn du mit "rufst" laden meinst, dann nicht. das geschieht hiermit =>
modprobe ip_conntrack
Aber wo wäre dann der Unterschied zwischen "--state NEW,ESTABLISHED,RELATED" und "" also, wenn ich "--state NEW,ESTABLISHED,RELATED" gerade weglassen würde.
dann bekommst du ne fehlermeldung. wenn du -m state aufrufst, mußt du auch wenigstens einen "zustand" angeben.
Man schliesst ja damit eigentlich nur die invaliden Pakete aus, oder ?
das ist richtig. deshalb auch mein hinweis oben, wenn du nur ein game starten willst, brauchst du "NEW* pakete nicht reinlassen. sondern nur established und related, also pakete die zu einer bestehenden verbindung gehören oder in irgendeiner beziehung zu einer verbindung stehen.
Gruß HL
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.