Hallo,
ich habe das typische LOWID-Problem trotz (meiner Meinung nach) richtig konfigurierter Firewall.
Allerdings hab ich schon rausgefunden, dass es eindeutig an der Firewall liegt. Wenn ich diese ausschalte, erhalte ich sofort eine HighID.
Deswegen wäre es nett, wenn ihr euch mal meine FW-Regeln anschauen könntet und mir den Fehler zeigen könntet :baby:
Die konfiguration:
Amule läuft auf dem Router (ist suboptimal, ich weiss :] ), der über DSL ins Netz geht (direkt zum Modem, kein weiterer Router dazwischen)
Die interne IP des Routers ist 192.168.0.1, der Rechner dahinter hat die .2
Amule ist so konfiguriert, dass der Client TCP-Port auf 5000 liegt, der UDP-Port ist 5010.
Hier die Firewall
#/bin/sh
#--- Forwarding aktivieren ---
echo -n '.'
echo 1 >> /proc/sys/net/ipv4/ip_forward
echo 1 >> /proc/sys/net/ipv4/ip_dynaddr
#--- Netfilter-Module laden ---
echo -n '.'
modprobe ip_tables
echo -n '.'
modprobe iptable_filter
modprobe iptable_nat
echo -n '.'
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
echo -n '.'
modprobe ip_nat_ftp
modprobe ip_nat_irc
echo -n '.'
modprobe ipt_unclean
modprobe ipt_state
modprobe ipt_tcpmss
echo -n '.'
modprobe ipt_MASQUERADE
modprobe ipt_TCPMSS
modprobe ipt_LOG
#--- alte Regeln lýchen ---
echo -n '.'
iptables -t filter -F
iptables -t nat -F
#--- Default Policy setzen ---
echo -n '.'
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
#--- Masquerading aktivieren ---
echo -n '.'
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/16 -j MASQUERADE
#--- MSS der Pakete ins I-Net an die MTU von DSL (=1492) anpassen ---
echo -n '.'
iptables -A FORWARD -o ppp0 -p TCP --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
#---- Massnahmen gegen Angriffsversuche ergreifen ----------------------------->
echo -n '.'
#-- ungewýnliche/defekte Pakete verwerfen --
# forwarding
iptables -A FORWARD -m unclean -j DROP
# local input
iptables -A INPUT -m unclean -j DROP
#-- Pakete aus I-Net mit privaten (gefaelschten) Absenderadressen verwerfen --
# prerouting
iptables -t nat -A PREROUTING -i ppp0 -s 192.168.0.0/16 -j DROP
iptables -t nat -A PREROUTING -i ppp0 -s 10.0.0.0/8 -j DROP
iptables -t nat -A PREROUTING -i ppp0 -s 172.16.0.0/12 -j DROP
iptables -t nat -A PREROUTING -i ppp0 -s 127.0.0.0/8 -j DROP
# forwarding
iptables -A FORWARD -i ppp0 -s 192.168.0.0/16 -j DROP
iptables -A FORWARD -i ppp0 -s 10.0.0.0/8 -j DROP
iptables -A FORWARD -i ppp0 -s 172.16.0.0/12 -j DROP
iptables -A FORWARD -i ppp0 -s 127.0.0.0/8 -j DROP
# local input
iptables -A INPUT -i ppp0 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i ppp0 -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i ppp0 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i ppp0 -s 127.0.0.0/8 -j DROP
#---- Destination-NAT aktivieren ---------------------------------------------->
echo -n '.'
#-- eMule-Verbindungen nach 192.168.1.5 leiten --
iptables -t nat -A PREROUTING -i ppp0 -p TCP --dport 5000 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A PREROUTING -i ppp0 -p TCP --dport 4999 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A PREROUTING -i ppp0 -p TCP --dport 5005 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A PREROUTING -i ppp0 -p UDP --dport 5010 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A PREROUTING -i ppp0 -p UDP --dport 5001 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A PREROUTING -i ppp0 -p UDP --dport 5002 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A PREROUTING -i ppp0 -p TCP --dport 5003 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A PREROUTING -i ppp0 -p UDP --dport 5004 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A PREROUTING -i ppp0 -p UDP --dport 5006 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A PREROUTING -i ppp0 -p UDP --dport 5007 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A PREROUTING -i ppp0 -p UDP --dport 5008 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A PREROUTING -i ppp0 -p UDP --dport 5009 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A PREROUTING -i ppp0 -p UDP --dport 5010 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A PREROUTING -i ppp0 -p UDP --dport 4662 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A PREROUTING -i ppp0 -p UDP --dport 4661 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A PREROUTING -i ppp0 -p UDP --dport 4672 -j DNAT --to-destination 192.168.0.1
#iptables -t nat -A PREROUTING -i ppp0 -p UDP --dport 46 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A PREROUTING -i ppp0 -p UDP --dport 4666 -j DNAT --to-destination 192.168.0.1
[/COLOR]
#---- bestimmte Verbindungen aus I-Net erlauben -------------------------------->
echo -n '.'
#-- HTTP --
#iptables -A INPUT -i ppp0 -p TCP --dport 80 -j ACCEPT
#-- SSH --
#iptables -A INPUT -i ppp0 -p TCP --dport 22 -j ACCEPT
#-- FTP (mit offenen Ports fr "passive mode") --
#iptables -A INPUT -i ppp0 -p TCP --dport 21 -j ACCEPT
#iptables -A INPUT -i ppp0 -p TCP --dport 49152:65534 -j ACCEPT
#-- Ping --
iptables -A INPUT -i ppp0 -p ICMP --icmp-type ping -j ACCEPT
#-- Destination-NAT fr lokales Netzwerk erlauben --
iptables -A FORWARD -i ppp0 -d 192.168.0.0/16 -j ACCEPT
#---- alle uebrigen Verbindungen aus I-Net abweisen --------------------------->
echo -n '.'
# forwarding
iptables -A FORWARD -i ppp0 -m state --state NEW,INVALID -j LOG
iptables -A FORWARD -i ppp0 -m state --state NEW,INVALID -j DROP
# local input
iptables -A INPUT -i ppp0 -m state --state NEW,INVALID -j LOG
iptables -A INPUT -i ppp0 -m state --state NEW,INVALID -j DROP
#---- Ende Firewall-Skript ---------------------------------------------------->
echo -n '.'
Ich vermute, dass der Fehler in dem rot markierten Teil liegt, bin mir aber nicht sicher, wo.
Schonmal vielen Dank fürs Durchlesen...
Gruß
Zombie
