Firewall --> Minecraft frei geben

Dieses Thema im Forum "Technischer Support" wurde erstellt von Zoppoint, 9. Mai 2015.

  1. Zoppoint
    Offline

    Zoppoint

    Registriert seit:
    24. April 2015
    Beiträge:
    11
    Ort:
    Hamburg
    Minecraft:
    Craftyyen
    Heyho,

    ich hatte über McMyadmin einen Minecraft Server aufgesetzt. Soweit so Gut.
    Ich kann allerdings nur connecten wen die Firewall (IPtables) deaktiviert ist,
    obwohl ich den Minecraft Port (In meinem Fall: 25565) sowohl als TCP als auch als UDP In und Out freigegeben habe.

    Könnt ihr mir weiter helfen ?

    Mit freundlichen Grüßen
    Zoppoint
     
    #1
  2. meytro
    Offline

    meytro

    Registriert seit:
    22. Oktober 2012
    Beiträge:
    92
    Was sagt iptables -L ?
     
    #2
  3. Zoppoint
    Offline

    Zoppoint

    Registriert seit:
    24. April 2015
    Beiträge:
    11
    Ort:
    Hamburg
    Minecraft:
    Craftyyen
    Es sagt:
    Chain INPUT (policy DROP)
    target prot opt source destination
    fail2ban-ssh tcp -- anywhere anywhere multiport dport s ssh
    ACCEPT all -- anywhere anywhere
    ACCEPT all -- anywhere anywhere state RELATED,ESTA BLISHED
    ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
    ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
    ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
    ACCEPT tcp -- anywhere anywhere tcp dpt:domain
    ACCEPT tcp -- anywhere anywhere tcp dpt:http
    ACCEPT tcp -- anywhere anywhere tcp dpt00:333
    ACCEPT tcp -- anywhere anywhere tcp dpt:10011
    ACCEPT tcp -- anywhere anywhere tcp dpt:41144
    ACCEPT tcp -- anywhere anywhere tcp dpt:8000
    ACCEPT tcp -- anywhere anywhere tcp dpt:tproxy
    ACCEPT tcp -- anywhere anywhere tcp dpt:8082
    ACCEPT tcp -- anywhere anywhere tcp dpt:8083
    ACCEPT tcp -- anywhere anywhere tcp dpt:8084
    ACCEPT tcp -- anywhere anywhere tcp dpt:8085
    ACCEPT tcp -- anywhere anywhere tcp dpt:8086
    ACCEPT tcp -- anywhere anywhere tcp dpt:http-alt
    ACCEPT tcp -- anywhere anywhere tcp dpt:25565
    ACCEPT udp -- anywhere anywhere udp dpt:domain
    ACCEPT udp -- anywhere anywhere udp dpt:7878
    ACCEPT udp -- anywhere anywhere udp dpt:9987
    ACCEPT udp -- anywhere anywhere udp dpt:25565
    DROP tcp -- anywhere anywhere tcpflags: FIN,SYN, RST,ACK/SYN
    ACCEPT tcp -- anywhere anywhere tcp dpt:25565
    ACCEPT udp -- anywhere anywhere udp dpt:25565
    ACCEPT udp -- anywhere anywhere udp dpt:25565

    Chain FORWARD (policy DROP)
    target prot opt source destination

    Chain OUTPUT (policy DROP)
    target prot opt source destination
    ACCEPT all -- anywhere anywhere
    ACCEPT all -- anywhere anywhere state RELATED,ESTA BLISHED
    ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
    ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
    ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
    ACCEPT tcp -- anywhere anywhere tcp dpt:domain
    ACCEPT tcp -- anywhere anywhere tcp dpt:http
    ACCEPT tcp -- anywhere anywhere tcp dpt:2008
    ACCEPT tcp -- anywhere anywhere tcp dpt:25565
    ACCEPT udp -- anywhere anywhere udp dpt:domain
    ACCEPT udp -- anywhere anywhere udp dpt:2010
    ACCEPT udp -- anywhere anywhere udp dpt:25565

    Chain fail2ban-ssh (1 references)
    target prot opt source destination
    RETURN all -- anywhere anywhere

    ((@meytro))
     
    #3
  4. meytro
    Offline

    meytro

    Registriert seit:
    22. Oktober 2012
    Beiträge:
    92
    Du darfst die Output Table nicht auf einen Destination Port beschränken, hau die mal komplett raus und mach die Policy von Output auf ACCEPT

    EDIT: Das hier "DROP tcp -- anywhere anywhere tcpflags: FIN,SYN, RST,ACK/SYN" sieht auch nicht gut aus, damit lässt sich keine TCP Verbindung mehr eröffnen
     
    #4
  5. Zoppoint
    Offline

    Zoppoint

    Registriert seit:
    24. April 2015
    Beiträge:
    11
    Ort:
    Hamburg
    Minecraft:
    Craftyyen
    Da ich in diesem Bereich neu bin, wollte ich fragen ob du mir kurz Zeigen kanst wie du das meinst.
    Hier mal die Aktuelle firewall Datei.
    #!/bin/sh
    ### BEGIN INIT INFO
    # Provides: custom firewall
    # Required-Start: $remote_fs $syslog $network
    # Required-Stop: $remote_fs $syslog $network
    # Default-Start: 2 3 4 5
    # Default-Stop: 0 1 6
    # Short-Description: firewall initscript
    # Description: Custom Firewall, placed in /etc/init.d.
    # script written by Gargi 2009 http://www.gargi.org
    ### END INIT INFO

    #needed modules
    modprobe ip_conntrack_ftp

    BLACKLIST=/usr/local/etc/blacklist.txt

    #trigger for your ports
    IN_ALLOWED_TCP="21 22 25 53 80 30033 10011 41144 8000 8081 8082 8083 8084 8085 8086 8080 25565"
    OUT_ALLOWED_TCP="21 22 25 53 80 2008 25565"
    IN_ALLOWED_UDP="53 7878 9987 25565"
    OUT_ALLOWED_UDP="53 2010 25565"
    IN_ALLOWED_ICMP=" "
    OUT_ALLOWED_IMCP=" "

    case "$1" in
    start)

    # Stopping IP trap
    /etc/init.d/fail2ban stop
    echo "Stopping fail2ban IP trap ..."

    # Clear iptables
    iptables -F

    #Defaults
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP

    # loopback communication
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT

    # persist on connections
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    # Ban blacklisted IPs
    for x in `grep -v ^# $BLACKLIST | awk '{print $1}'`; do
    echo "Blocking $x..."
    iptables -A INPUT -t filter -s $x -j DROP
    done

    # TCP rules in
    for port in $IN_ALLOWED_TCP; do
    echo "Accepting TCP port $port"
    iptables -A INPUT -t filter -p tcp --dport $port -j ACCEPT
    done

    # TCP rules out
    for port in $OUT_ALLOWED_TCP; do
    echo "Allowing sending over TCP port $port"
    iptables -A OUTPUT -t filter -p tcp --dport $port -j ACCEPT
    done

    # UDP rules in
    for port in $IN_ALLOWED_UDP; do
    echo "Accepting UDP port $port"
    iptables -A INPUT -t filter -p udp --dport $port -j ACCEPT
    done

    # UDP rules out
    for port in $OUT_ALLOWED_UDP; do
    echo "Allowing sending over UDP port $port"
    iptables -A OUTPUT -t filter -p udp --dport $port -j ACCEPT
    done

    # ICMP rules in
    for port in $IN_ALLOWED_ICMP; do
    echo "Accepting ICMP port $port"
    iptables -A INPUT -t filter -p icmp --dport $port -j ACCEPT
    done

    # ICMP rules out
    for port in $OUT_ALLOWED_ICMP; do
    echo "Allowing sending over ICMP port $port"
    iptables -A OUTPUT -t filter -p icmp --dport $port -j ACCEPT
    done

    # Dropping startup requests
    iptables -A INPUT -t filter -p tcp --syn -j DROP

    # Restarting IP trap
    /etc/init.d/fail2ban start
    echo "Fire up IP trap again ..."
    ;;
    stop)
    /etc/init.d/fail2ban stop
    iptables -F
    iptables -P INPUT ACCEPT
    iptables -P OUTPUT ACCEPT
    echo "Warning! Firewall is stopped, server is unprotected now!"
    ;;
    restart)
    $0 stop
    sleep 1
    $0 start
    ;;
    *)
    echo "Usage $0 {start|stop|restart}"
    ;;
    esac
     
    #5
  6. meytro
    Offline

    meytro

    Registriert seit:
    22. Oktober 2012
    Beiträge:
    92
    Einfach mal testen mit "iptables -P OUTPUT ACCEPT" und "iptables -P FORWARD ACCEPT"

    Deine Datei ist übrigends ziemlich kompliziert, ich würde dir raten mit einigen Tutorials dir komplett selber deine IPTables zusammen zu stellen. Das dauert einen Tag danach weisst du aber auch exakt was jede Zeile macht und wie IPTables funktionieren.
     
    #6
  7. Zoppoint
    Offline

    Zoppoint

    Registriert seit:
    24. April 2015
    Beiträge:
    11
    Ort:
    Hamburg
    Minecraft:
    Craftyyen
    Erstmal Danke für den schnellen Support, es läuft jetz alles.

    Den Tipp mit dem selber zusammenstellen werde ich berücksichtigen, auch danke hierfür.
    Falls du Gute Tuts kennst einfach mal Posten

    Ansonsten Bedanke ich mich :)

    MFG Zoppoint
     
    #7
  8. meytro
    Offline

    meytro

    Registriert seit:
    22. Oktober 2012
    Beiträge:
    92
    #8
    Zoppoint gefällt das.
  9. russenalex
    Offline

    russenalex

    Registriert seit:
    23. September 2012
    Beiträge:
    3
    da steht doch schon welcher port freigeschaltet werden muss
     
    #9