Problem mit glazors Firewall und mldonkey

[crack]

Hi,

also ich nutze Glazors Firewallscript und versuche mldonkey auf dem Rechner laufen zu lassen.
Ohne Firewall habe ich immer so 25 kb/s bekommt, mit Firewall aber nur ca. 5 kb/s.
Ich habe also das Script editiert aber leider ohne Erfolg.
Mein Script könnt Ihr hier sehen:
http://mitglied.lycos.de/asdfasdfadsf/firewall

Die letzten 10 Zeilen in /var/log/messages sehen so aus:

Code: Alles auswählen

Nov  5 19:35:19 router kernel: Nicht rein: IN=ppp0 OUT= MAC= SRC=218.168.217.* DST=217.80.227.* LEN=47 TOS=0x00 PREC=0x00 TTL=118 ID=53405 PROTO=UDP SPT=6573 DPT=10153 LEN=27
Nov  5 19:35:21 router kernel: Nicht rein: IN=ppp0 OUT= MAC= SRC=217.228.10.* DST=217.80.227.* LEN=47 TOS=0x00 PREC=0x00 TTL=59 ID=45805 PROTO=UDP SPT=13038 DPT=10153 LEN=27
Nov  5 19:35:22 router kernel: Nicht rein: IN=ppp0 OUT= MAC= SRC=220.68.174.* DST=217.80.227.* LEN=53 TOS=0x00 PREC=0x00 TTL=114 ID=50051 PROTO=UDP SPT=12270 DPT=10153 LEN=33
Nov  5 19:35:23 router kernel: Nicht rein: IN=ppp0 OUT= MAC= SRC=217.228.10.* DST=217.80.227.* LEN=51 TOS=0x00 PREC=0x00 TTL=59 ID=45850 PROTO=UDP SPT=13040 DPT=10153 LEN=31
Nov  5 19:35:29 router kernel: Nicht rein: IN=ppp0 OUT= MAC= SRC=67.32.221.* DST=217.80.227.* LEN=47 TOS=0x00 PREC=0x00 TTL=114 ID=45711 PROTO=UDP SPT=5454 DPT=10153 LEN=27
Nov  5 19:35:30 router kernel: Nicht rein: IN=ppp0 OUT= MAC= SRC=81.50.153.* DST=217.80.227.* LEN=47 TOS=0x00 PREC=0x00 TTL=118 ID=5970 PROTO=UDP SPT=60107 DPT=10153 LEN=27
Nov  5 19:35:31 router kernel: Nicht rein: IN=ppp0 OUT= MAC= SRC=80.33.154.* DST=217.80.227.* LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=13646 DF PROTO=TCP SPT=4761 DPT=10153 WINDOW=65535 RES=0x00 SYN URGP=0
Nov  5 19:35:32 router kernel: Nicht rein: IN=ppp0 OUT= MAC= SRC=213.243.187.* DST=217.80.227.* LEN=47 TOS=0x00 PREC=0x00 TTL=118 ID=28336 PROTO=UDP SPT=4265 DPT=10153 LEN=27
Nov  5 19:35:33 router kernel: Nicht rein: IN=ppp0 OUT= MAC= SRC=62.117.177.* DST=217.80.227.* LEN=53 TOS=0x00 PREC=0x00 TTL=119 ID=37678 PROTO=UDP SPT=4340 DPT=10153 LEN=33
Nov  5 19:35:34 router kernel: Nicht rein: IN=ppp0 OUT= MAC= SRC=80.33.154.* DST=217.80.227.* LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=13750 DF PROTO=TCP SPT=4761 DPT=10153 WINDOW=65535 RES=0x00 SYN URGP=0

Vielleicht weiss ja jemand Rat und kann mir erklären ich die Firewall so konfiguriere das die Packete ankommen.
Welche Ports benutzt mldonkey noch alles?

Danke im Voraus

Benny

[spiffi]

Hm, wenn ich das so richtig sehe, dann benutz mldonkey per default die Ports 4662/tcp und 4666/udp für das eDonkey-Protokoll und 12844 (tcp und udp) für Overnet. Diese Ports müßtest Du eingehend aufmachen.

Auf welchen Ports mldonkey bei Dir lauscht kannst Du mit

Code: Alles auswählen

netstat -npl | grep mlnet

sehen.

Wofür soll der Port 3665 sein?

[crack]

HI,

also ein ergibt:

Code: Alles auswählen

tcp        0      0 0.0.0.0:4000            0.0.0.0:*               LISTEN      257/mlnet
tcp        0      0 0.0.0.0:4001            0.0.0.0:*               LISTEN      257/mlnet
tcp        0      0 0.0.0.0:4002            0.0.0.0:*               LISTEN      257/mlnet
tcp        0      0 0.0.0.0:10153           0.0.0.0:*               LISTEN      257/mlnet
tcp        0      0 0.0.0.0:4080            0.0.0.0:*               LISTEN      257/mlnet
tcp        0      0 0.0.0.0:4662            0.0.0.0:*               LISTEN      257/mlnet
tcp        0      0 0.0.0.0:4444            0.0.0.0:*               LISTEN      257/mlnet
udp        0      0 0.0.0.0:32770           0.0.0.0:*                           257/mlnet
udp        0      0 0.0.0.0:10153           0.0.0.0:*                           257/mlnet
udp     1696      0 0.0.0.0:4666            0.0.0.0:*                           257/mlnet

Wenn ich aber die Ports so wie gefordert aufmache erhalte ich solche Einträge in meiner Logdatei:

Code: Alles auswählen

Nov  6 09:15:23 router kernel: Nicht rein: IN=ppp0 OUT= MAC= SRC=219.240.58.* DST=217.235.121.* LEN=88 TOS=0x00 PREC=0xC0 TTL=242 ID=65353 PROTO=ICMP TYPE=3 CODE=1 [SRC=217.235.121.* DST=192.168.3.100 LEN=60 TOS=0x00 PREC=0x00 TTL=47 ID=49495 DF PROTO=TCP SPT=32964 DPT=4661 WINDOW=5808 RES=0x00 SYN URGP=0 ]

Destination ist 192.168.3.100???
Wo hat der das her?
Das hab ich garnicht.
Fehlgeleitetes emule Packet?

Port 4661 ist aber freigegeben, wieso wird der abgewiesen?

Danke Benny

[spiffi]

Also nach dem, was ich da sehe, läuft Dein Overnet auf Port 10153. Dann brauchst Du folgende Regeln:

Code: Alles auswählen

iptables -A INPUT -i $IFACE_EXT -p tcp --dport 4662 -j ACCEPT
iptables -A INPUT -i $IFACE_EXT -p tcp --dport 10153 -j ACCEPT

iptables -A INPUT -i $IFACE_EXT -p udp --dport 4666 -j ACCEPT
iptables -A INPUT -i $IFACE_EXT -p udp --dport 10153 -j ACCEPT

Die Port 3665,4661,4663,4665 brauchst Du nicht zu öffnen, denn wie Dir netstat zeigt, lauscht der mldonkey ohnehin nicht auf diesen Ports.

Was Deine Firewall da abgewiesen hat, ist kein Verbindungsversuch an Deinen Port 4661, sondern eine ICMP Nachricht, genauergesagt ein
ICMP Host unreachable error.

Du hast versucht zu eine Verbindung zu einem Rechner aufzubauen, den es nicht gibt. Und das möchte Dir diese Nachricht jetzt mitteilen. Nur leider wird die Nachricht von Deiner Firewall abgefangen. IMHO nicht sinvoll! Das führt nämlich jetzt dazu, daß die Anwendung, die versucht hat, das fragliche Paket zu schicken keine Antwort vom Zielrechner erhält und nun glaubt, daß das gesendete Paket unterwegs verloren gegangen ist. Also schickt sie ein neues Paket los. Der Vorgang wird sich noch ein paar Mal wiederholen, bis die Applikation dann irgendwann aufgibt.

Edit: Ups, das ist kein Port unreachable, sondern ein Host unreachable

[crack]

Hi,

ich habe jetzt geschnallt für was SPT und DPT steht. Jetzt ergibt alles sogar einen Sinn.

Leider habe ich auch mit den oben beschriebenen Einstellungen dieses Ergebniss:

Code: Alles auswählen

Nov  6 15:43:13 router kernel: Nicht rein: IN=ppp0 OUT= MAC= SRC=209.120.209.* DST=217.228.212.212 LEN=60 TOS=0x00 PREC=0x00 TTL=51 ID=7358 DF PROTO=TCP SPT=42739 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0
Nov  6 15:43:15 router kernel: Nicht rein: IN=ppp0 OUT= MAC= SRC=80.172.0.* DST=217.228.212.212 LEN=56 TOS=0x00 PREC=0x00 TTL=52 ID=33710 DF PROTO=ICMP TYPE=3 CODE=3 [SRC=217.228.212.212 DST=80.172.0.* LEN=53 TOS=0x00 PREC=0x00 TTL=52 ID=0 FRAG:64 PROTO=UDP ]
Nov  6 15:43:16 router kernel: Nicht rein: IN=ppp0 OUT= MAC= SRC=209.120.209.* DST=217.228.212.212 LEN=60 TOS=0x00 PREC=0x00 TTL=51 ID=7359 DF PROTO=TCP SPT=42739 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0
Nov  6 15:43:22 router kernel: Nicht rein: IN=ppp0 OUT= MAC= SRC=209.120.209.* DST=217.228.212.212 LEN=60 TOS=0x00 PREC=0x00 TTL=51 ID=7360 DF PROTO=TCP SPT=42739 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0
Nov  6 15:43:36 router kernel: Nicht rein: IN=ppp0 OUT= MAC= SRC=81.48.166.* DST=217.228.212.212 LEN=78 TOS=0x00 PREC=0x00 TTL=118 ID=30326 PROTO=UDP SPT=33139 DPT=137 LEN=58
Nov  6 15:43:51 router kernel: Nicht rein: IN=ppp0 OUT= MAC= SRC=62.131.165.* DST=217.228.212.212 LEN=88 TOS=0x00 PREC=0xC0 TTL=56 ID=62161 PROTO=ICMP TYPE=3 CODE=1 [SRC=217.228.212.212 DST=172.16.1.* LEN=60 TOS=0x00 PREC=0x00 TTL=51 ID=36545 DF PROTO=TCP SPT=33319 DPT=4662 WINDOW=5808 RES=0x00 SYN URGP=0 ]
Nov  6 15:43:51 router kernel: Nicht rein: IN=ppp0 OUT= MAC= SRC=62.131.165.* DST=217.228.212.* LEN=88 TOS=0x00 PREC=0xC0 TTL=56 ID=62162 PROTO=ICMP TYPE=3 CODE=1 [SRC=217.228.212.212 DST=172.16.1.* LEN=60 TOS=0x00 PREC=0x00 TTL=51 ID=36546 DF PROTO=TCP SPT=33319 DPT=4662 WINDOW=5808 RES=0x00 SYN URGP=0 ]
Nov  6 15:44:00 router kernel: Nicht rein: IN=ppp0 OUT= MAC= SRC=62.131.165.* DST=217.228.212.* LEN=88 TOS=0x00 PREC=0xC0 TTL=56 ID=62163 PROTO=ICMP TYPE=3 CODE=1 [SRC=217.228.212.* DST=172.16.1.* LEN=60 TOS=0x00 PREC=0x00 TTL=51 ID=36547 DF PROTO=TCP SPT=33319 DPT=4662 WINDOW=5808 RES=0x00 SYN URGP=0 ]
Nov  6 15:44:12 router kernel: Nicht rein: IN=ppp0 OUT= MAC= SRC=62.131.165.* DST=217.228.212.212 LEN=88 TOS=0x00 PREC=0xC0 TTL=56 ID=62164 PROTO=ICMP TYPE=3 CODE=1 [SRC=217.228.212.* DST=172.16.1.* LEN=60 TOS=0x00 PREC=0x00 TTL=51 ID=36548 DF PROTO=TCP SPT=33319 DPT=4662 WINDOW=5808 RES=0x00 SYN URGP=0

Was sollen die Zugriffe auf Port 22 und 137?
Portscanns?

Was sollen die letzten 3 Packete dastellen?
Ich habe gar kein Netz mit der Adresse 172.*.*.*

Danke Benny

[crack]

Ich habe jetzt nur noch Logs in denen versucht wird auf Port 135 und 137 zuzugreifen.
Scheinen wohl irgendwelche Windowswürmer zu sein.

Benny

[spiffi]

Was sollen die letzten 3 Packete dastellen?
Ich habe gar kein Netz mit der Adresse 172.*.*.*

Code: Alles auswählen

Nov  6 15:44:12 router kernel: Nicht rein: IN=ppp0 OUT= MAC= SRC=62.131.165.* DST=217.228.212.212 LEN=88 TOS=0x00 PREC=0xC0 TTL=56 ID=62164 PROTO=ICMP TYPE=3 CODE=1 [SRC=217.228.212.* DST=172.16.1.* LEN=60 TOS=0x00 PREC=0x00 TTL=51 ID=36548 DF PROTO=TCP SPT=33319 DPT=4662 WINDOW=5808 RES=0x00 SYN URGP=0

Gehen wir den Log-Eintrag doch einfach mal Stück für Stück durch.
IN=ppp0: Wohl eindeutig: Paket kam über ppp0 rein.
SRC=62.131.165.*: Das Paket kommt von dieser IP. Vermutlich ein T-Online-Router
DST=217.228.212.212: Die Zieladresse. Vermutlich Dein Rechner
PROTO=ICMP: Dies ist eine ICMP (Internet Control Message Protocol) Nachricht
TYPE=3 CODE=1: Typ und Subtyp der ICMP-Nachricht. In diesem Falle Host unreachable (Rechner nicht erreichbar)
Was jetzt in eckigen Klammern folgt, ist das ursprüngliche Paket, das diesen Fehler ausgelöst hat.
Wie wir darin sehen können, hat Dein Rechner (SRC=217.228.212.212) versucht einen Rechner im 172.16.0.0/12 Netz zu erreichen. 172.16.0.0/12 ist aber ein privater Adressbereich, genau wie 192.168.0.0/16. Mit anderen Worten: Diese Adresse existiert im Internet nicht. Und wenn die Adresse nicht existiert, gibt es auch keinen Weg dorthin. Genau das wollte Dir der freundliche T-Online-Router mit dieser ICMP-Nachricht mitteilen. Er kann das Paket nicht ausliefern, weil er nicht weiß wohin damit.

Wie schon gesagt: Das ist ein Manko an Glazors Firewall: Die blockt allen eingehenden ICMP-Traffic.