18.04.2011 22:43, Stephan Schaffner: > Als ich jedoch die Regel heute Abend wieder eintrug, um unteranderem > auch die Screens zu erstellen war der Port plötzlich als offen markiert. > Frage mich NICHT wieso, wahrscheinlich hat es der kleinen Kiste oder dem > Client nicht gepasst. Jedoch hab ich jetzt die Befehle per Copy&Paste > bei putty in /etc/network/interfaces eingetragen. Neustart hatte ich > noch nicht, das wird sich dann morgen zeigen ob die Regel dann so > bleiben kann oder einfach nur Zurer Pufall (ähh, purer Zufall) war.
Ich habe keine Ahnung von welchen "Screens" Du sprichst oder wer die kleine Kiste sein könnte. Gehe ich dennoch recht in der Annahme, dass Du sagen willst: "Es funktioniert jetzt"? > Ich erinnere mich nur dunkel dran, da ich iptables bisher immer > vermieden habe. Konnte man also bei den Tables eine Grundeinstellung > währen, also die default policy, die dann entscheidet über ACCEPT und > DROP? Ja, das ist gerade der Sinn der default policy: Passt ein Paket auf keine Regel (mit finalem Ziel wie ACCEPT, DROP) der chain, wird eben gemäß der default policy verfahren. Im output von iptables-save steht die default policy hinter dem Namen der chain, z. B. > :FORWARD ACCEPT [63:2640] Hier ist die default policy demgemäß ACCEPT, es wir also alles durchgelassen, was nicht explizit durch eine Regel abgefangen wird. > In dem Wiki von Ubuntu stand nämlich das es zwingend erforderlich > sei ACCEPT zu schreiben. Die Notwendigkeit für ACCEPT-Regeln ergibt sich mglw. aus anderen im Wiki angegeben Einstellungen, die Du hier nicht erwähnt hast. > Meine zweite frage wäre: Was würde passieren wenn ich die defalt policy > auf DROP ändern würde? Probier's einfach aus. Wir können uns aber auch nochmal die Regeln, welche Pakete Dein Router weiterleiten soll, ansehen: > -A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -m conntrack --ctstate NEW > -j ACCEPT Pakete, die eine neue Verbindung einleiten, eine Quelladresse aus dem Bereich 192.168.0.0/24 haben, über eth0 hereinkommen und nach eth1 hinausgehen, werden erlaubt. Jede Maschine aus Deinem lokalen Netz darf also neue Verbindungen aufbauen. > -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT Alle Pakete, die zu bestehenden Verbindungen gehören (egal in welche Richtung sie weitergeleitet werden sollen), werden erlaubt. Mit diesen beiden Regeln hast Du also Deinem kompletten lokalen Netz die "Internetverbindung" erlaubt. > -A FORWARD -d 192.168.0.61/32 -i eth1 -p udp -m udp --dport 28960 -j ACCEPT > COMMIT Damit erlaubst Du zusätzlich noch alle Pakete, die an UDP-Port 28960 an eine Adresse in Deinem lokalen Netz gehen. Da bleibt jetzt nicht mehr viel für die default policy übrig. > Da ich viel Multiplayer zocke würde es mich etwas > nerven zu jedem Spiel erstmal die Ports zu aktivieren. Wäre dabei > überhaupt noch normales surfen möglich? Da sich auch noch andere Clients > im Netzwerk befinden (Notebook, XBox 360) stellt sich mir die Frage, wie > man dies dann über das ganze Netzwerk aktiviert. Wahrscheinlich dadurch, > dass man das Subnet angibt, oder irre ich mich da total? Nein, Du irrst nicht. Genau das hast Du ja in der ersten Regel oben gemacht. http://www.frozentux.net/documents/iptables-tutorial/ -- Gruß mks -- ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
