mldonkey e iptables

[PsychoWood]

Ciao a tutti,
ho installato da poco una Vectorlinux su di un PC che servirà come client P2P e come MediaPlayer, ma sto avendo un problema con le impostazioni del firewall (iptables).

Ho cambiato le porte di default in altre non standard (5662 e 5666, giusto per la cronaca), e le ho aperte con IPTables con le impostazioni qui consigliate, in pratica nella chain NAT e nella FORWARD.

Ho un router Wireless SpeedTouch570 sul quale ho forwardato tutte le porte necessarie e, nonostante questo, non riesco a connettermi a nessun server a meno di disattivare (mettendo tutte le policies su ACCEPT) iptables (e quindi il problema non è nel router).

Al momento mi sono concentrato sul server RazorBack (usa la porta 4661), tanto per cercare di capire il problema.

Ho aperto tutte le porte possibili (4661 in TCP e UDP, 4665 in TCP e UDP, 65535 in UDP) ma nulla.....

.....heeeeeeeeelp!

[Morpheus79]

parere personalissimo: togli il firewall dal pc con vectorlinux, ti complica solo la vita.
L'unico problema può venire dalla rete wlan, ma si ti entra qualcuno dal wireless la cosa peggiore è che utilizzi la tua connessione internet e non che veda il pc con linux senza firewall quindi a priori deve essere sicura.

[PsychoWood]

Quote:

Originariamente inviato da Morpheus79

parere personalissimo: togli il firewall dal pc con vectorlinux, ti complica solo la vita.
L'unico problema può venire dalla rete wlan, ma si ti entra qualcuno dal wireless la cosa peggiore è che utilizzi la tua connessione internet e non che veda il pc con linux senza firewall quindi a priori deve essere sicura.

Il problema è che il PC è gestito da remoto (e quindi ha quantomeno, oltre ad altri servizi, sshd che gira perennemente), e vorrei limitarne l'acceso a seconda dell'IP.

E' vero che ci vogliono user e password, ma sinceramente mi dà fastidio che chiunque possa accedere ad una schermata di login da remoto...

Posso chiederti cos'è che ha che non va iptables? Io l'ho trovato molto completo e ben fatto, sono anni che cerco qualcosa di simile per Win....

[Pardo]

La forward ha effetto sui pacchetti che vengono forwardati (ergo se quel pc non fa da router la forward non la devi toccare.)
A quanto ho capito il donkey ce l'hai in locale in quel pc, quindi devi aprire le porte sulla input.
Il nat e` lo speedtouch che lo fa [visto che a quanto capisco e` quello il router che usi].

Comunque solitamente questi problemi si risolvono guardando il log, se hai impostato le policy su drop basta che aggiungi sta roba alla fine del ruleset e tutto quello che viene bloccato lo vedrai.
iptables -A FORWARD -j LOG -m limit --limit 60/minute --log-prefix "==DROP== "
iptables -A INPUT -j LOG -m limit --limit 60/minute --log-prefix "==DROP== "

[Morpheus79]

nooo iptables è fantastico, non volevo dire che non va bene!!

visto che il pc è già dietro un router che fa nat puoi decidere tu quali porte aprire in ingresso, in uscita è traffico generato da te (a meno che non ci siano utenti non fidati che si loggano sul server, allora il discorso cambia) e se qualcuno dovesse bucarti il server non si fa fermare da qualche regola di iptables.

per limitare l'accesso in base all'ip bastano due regole (mantenendo le policy su ACCEPT):

iptables -A INPUT -p tcp --dport 22 -s IP_DA_FAR_ENTRARE/SUBNET -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP

l'ip "giusto" viene accettato dalla prima regola e funziona regolarmente, gli altri beccano la seconda regola e vengono droppati. In uscita hai policy ACCEPT quindi nessun problema.

Cmq ti consiglio di cambiare la porta di default di ssh, io prima avevo giornalmente gente che provava ad entrare, cambiando porta non ne ho visti più da mesi ormai.

Per il problema iniziale: come ti ha detto Pardo il problema è che devi agire sulle le regole di INPUT e OUTPUT, nat e forward non c'entrano nel tuo caso.

[PsychoWood]

Quote:

Originariamente inviato da Pardo

La forward ha effetto sui pacchetti che vengono forwardati.
Ma a quanto ho capito il donkey ce l'hai in locale quindi devi aprire le porte sulla input.

Ottimo, questo è già un punto di inizio, grazie!
Avevo il sentore che potesse essere qualcosa del genere, infatti avevo provato ad aprire le porte anche sulla chain INPUT, ma il risultato purtroppo era stato lo stesso

Andrò un po' più a fondo la prossima settimana, poi vi aggiorno

Quote:

Il nat anche e` lo speedtouch che lo fa.

Esatto.
Quindi secondo te i settaggio di iptables consigliati nel sito ufficiale in "What firewall ports to open" sono sballati? O li ho mal interpretati io?

Quote:

Comunque solitamente questi problemi si risolvono guardando il log, se hai impostato le policy su drop basta che aggiungi sta roba alla fine del ruleset e tutto quello che viene bloccato lo vedrai.
iptables -A FORWARD -j LOG -m limit --limit 60/minute --log-prefix "==DROP== "
iptables -A INPUT -j LOG -m limit --limit 60/minute --log-prefix "==DROP== "

Questo si che mi fa comodo, avevo provato a guardare il traffico con iptraf confrontando il comportamento tra porte aperte e porte chiuse, ma non ero riuscito a capirci granché

Teoricamente, se abilitassi mldonkey a connettersi ad 1 solo server (ripulendo la lista dei server) e mettessi tutte le policies su ACCEPT, tramite i log potrei vedere tutto il "dialogo" che avviene tra il programma e il server? Non è che mi sganceresti un comando anche per loggare tutto il traffico? (scusami se ne approfitto, ma credo ci metterai di meno te a scrivere il comando piuttosto che io a cercare di costruirlo, per lo meno in questo momento che non ho tanto tempo ).

[PsychoWood]

Quote:

Originariamente inviato da Morpheus79

nooo iptables è fantastico, non volevo dire che non va bene!!

Ah, ok, mi stava cadendo il mondo addosso...

Quote:

visto che il pc è già dietro un router che fa nat puoi decidere tu quali porte aprire in ingresso, in uscita è traffico generato da te (a meno che non ci siano utenti non fidati che si loggano sul server, allora il discorso cambia) e se qualcuno dovesse bucarti il server non si fa fermare da qualche regola di iptables.

per limitare l'accesso in base all'ip bastano due regole (mantenendo le policy su ACCEPT):

iptables -A INPUT -p tcp --dport 22 -s IP_DA_FAR_ENTRARE/SUBNET -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP

l'ip "giusto" viene accettato dalla prima regola e funziona regolarmente, gli altri beccano la seconda regola e vengono droppati. In uscita hai policy ACCEPT quindi nessun problema.

Cmq ti consiglio di cambiare la porta di default di ssh, io prima avevo giornalmente gente che provava ad entrare, cambiando porta non ne ho visti più da mesi ormai.

Per il problema iniziale: come ti ha detto Pardo il problema è che devi agire sulle le regole di INPUT e OUTPUT, nat e forward non c'entrano nel tuo caso.

Sì, il discorso di Pardo l'ho capito, mi chiedevo solo come mai nel wiki non parlassero di INPUT in senso stretto nonostante facessero riferimento diretto ad un router speedtouch come il mio..

PS. Per quanto riguarda sshd e ipfilter, li ho già configurati correttamente (ed ho cambiato la porta di default ) in maniera identica a come hai scritto te, il mio dubbio riguardava solo l'eventualità, fortunatamente campata per aria , che dovessi disabilitare (!!!) iptables.

[Pardo]

La roba di quel sito si usa se il router stesso e` linux...

[PsychoWood]

Quote:

Originariamente inviato da Pardo

La roba di quel sito si usa se il router stesso e` linux...

Codice:

Script for MLDonkey on a Thomson/Alcatel ~SpeedTouch

[Pardo]

ma la roba di iptables non e` micca in quel paragrafo infatti ..

[PsychoWood]

Quote:

Originariamente inviato da Pardo

ma la roba di iptables non e` micca in quel paragrafo infatti ..

Allora mi sa che ho frainteso la pagina, pensavo che fossero due cose parallele da impostare entrambe... intendi dire che sono alternative, giusto? Allora forse credo di avere capito come risolvere

Vi aggiorno a giorni

[PsychoWood]

Quote:

Originariamente inviato da PsychoWood

Vi aggiorno a giorni

Tutto OK, è effettivamente bastato aprire le singole porte nella chain filter -> INPUT, e non ci sono più problemi di sorta.



(In realtà i downloads sono un po' lentucci... ma vedremo dopo qualche giorno che gira. )