port forwarden (firewall rules)

kekec · Nov 25, 2004

Hallo erst mal!

Und zwar habe ich ein Problem mit meinem Modem. (Alcatel speed touch 510)
Anfangs war es nur ein Modem und wurde dann mit dieser Anleitung: http://www.dsl-webseiten.de/forum/showthread.php?s=c51865863aaa866402805385b67ba7ff&threadid=12655
zum router. Danach ging ich daran im Webinterface für emule die Ports zu forwarden. Undzwar mit:
Protocol: TCP
inside ip: zb. 10.0.0.12
inside port: 4662 (unter den einstellungen von emule auch festgelegt)
outside ip: 0.0.0.0 (sprich jede ip)
outside port: 4662

Also ich dann aber im emule immer nur eine low id bekam wusste ich das die ports noch immer gesperrt sind. Also ging ich darin mir weiter Unterlagen über mein modem zu besorgen. In diesem pdf: http://speedtouchdsl.de/download/files/cli_guide_510.pdf war nun beschrieben wir die intere firewall zu konfigurieren ist. Dies tat ich dann auch. (hook= forward, chain==> src=0.0.0.0 scrport:4662 dst=10.0.0.12 dstport=4662 action=accept) Aber ich bekomme noch immer eine low id. bzw ich habe dann immer nur versucht auf das webinterface von emule zu zugreifen um zu prüfen ob ich zugang von außen habe oder nicht.

Bitte um hilfe ich weiß keinen ausweg mehr!

kekec · Nov 26, 2004

hm.... ob die beiden schritte die ich gemacht habe bei de nötig sind kann ich nicht sagen. aber ich schätz mal das mir die firewall die zugriffe von außen abblocked. Ich werde das mal probieren wenn ich den input hook einen chain hinzufüge.

danke erstmal für die schnelle antwort!

DelumaX · Nov 26, 2004

Leider kann ich das PDF-File nicht öffnen, aber ich meine mich erinnern zu können das auf den Kisten ein Mini-Linux läuft und wir es somit mit Netfilter zu tun haben. Falls dies so ist fehlt dir ein entsprechender Eintrag im PREROUTING und nicht in INPUT.

In der Originalsyntax sähe das in etwa so aus

Code:

iptables -t nat -A PREROUTING -i  $EXTIF -p tcp --dport 4662 -j DNAT --to-destination 10.0.0.12
iptables -A FORWARD -i  $EXTIF -d 10.0.0.12 -p tcp --dport 4662 -j ACCEPT

In die entsprechende Syntax übertragen müsstest du es dann selber. Schau auf jedenfall ob es etwas wie PREROUTING gibt.

Btw: Eine vorangestellte INPUT-Regel kann nicht funktionieren da diese als erste greifen würde und es somit nicht mehr zur Ausführung der Folgeregeln kommt. Die Anfrage wird in diesem Fall einfach vom Router-OS verworfen da kein lokaler Prozess für das Paket zuständig ist..

----> PREROUTING ----> FORWARD ----> POSTROUTING
|
|
----> INPUT -----------> Prozess -----------> OUTPUT

[EDIT]
Ein DNAT auf die interne Adresse ist von Haus aus zwingend da die Pakete schliesslich niemals mit 10.0.0.12 als Zieladresse ankommen werden

kekec · Nov 27, 2004

pdf file

hier noch mal das pdf file!

http://www.stonki.de/fileadmin/st510/cli_guide_510.pdf

dieses sollte jetzt funzen

DelumaX · Nov 28, 2004

Seite 171 ...

kekec · Nov 29, 2004

hm.. hab genau des gemacht was auf der seite steht aber des auch ned gefunzt!

Ich denke wirklich das die ports provider seitig gesperrt sind anders könnte ich mir dies nicht vorstellen!

mfg kekec

DelumaX · Nov 30, 2004

Hast du selber mal den deinen Rechner gescannt um zu schauen ob die Ports offen sind? Gibst du auch die restlichen benötigten Ports frei?

sTEk · Nov 30, 2004

Bedenke auch die UDP-Ports...ich suche mal schnell...

4661 (remoteside/outgoing) TCP um mit einem Server zu connecten
4662 (local/incoming) TCP um zu anderen Clients zu connecten
4665 (remoteside/outgoing) UDP um Quellen auf anderen Servern zu finden
4672 (remoteside/outgoing) UDP um direkte Client zu Client Verbindungen herzustellen

Hier eine kleine Portübersicht, wenn Du mal andere Ports im Emule ausprobierst..ich hab übrigens irgendwas über 12500 laufen - funktioniert wunderbar - man muss halt nur alles richtig durchlassen.

* Clientport = 4662 --> freizugebende Ports: 4661, 4662, 4665 + UDP Port
* Clientport = 6662 --> freizugebende Ports: 6661, 6662, 6665 + UDP Port
* Clientport = 8973 --> freizugebende Ports: 8972, 8973, 8975 + UDP Port
* Clientport = 8000 --> freizugebende Ports: 7999, 8000, 8003 + UDP Port

Wie Du siehst, folgt die Portvergabe einer festen Logik, es sind also alle Ports zwischen 1-65535 möglich.

Quelle der (farbigen) Angaben und zudem eine sehr gute Seite rund um das Thema eMule ist übrigens eMule-Anleitung

kekec · Nov 30, 2004

Sooo... und zwar nach dem ich ein E-mail an den technischen Support meines Providers geschrieben hab bekam ich als Antwort das Serverbetrieb nicht möglich ist. <ggg> und ich hab immer gedacht es liegt daran, dass ich zu inkompetent bin.

mfg kekec