Firewall --> Minecraft frei geben

Zoppoint · 9 Mai 2015

Heyho,

ich hatte über McMyadmin einen Minecraft Server aufgesetzt. Soweit so Gut.
Ich kann allerdings nur connecten wen die Firewall (IPtables) deaktiviert ist,
obwohl ich den Minecraft Port (In meinem Fall: 25565) sowohl als TCP als auch als UDP In und Out freigegeben habe.

Könnt ihr mir weiter helfen ?

Mit freundlichen Grüßen
Zoppoint

meytro · 9 Mai 2015

Was sagt iptables -L ?

Zoppoint · 9 Mai 2015

Es sagt:

Chain INPUT (policy DROP)
target prot opt source destination
fail2ban-ssh tcp -- anywhere anywhere multiport dport s ssh
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTA BLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt00

33
ACCEPT tcp -- anywhere anywhere tcp dpt:10011
ACCEPT tcp -- anywhere anywhere tcp dpt:41144
ACCEPT tcp -- anywhere anywhere tcp dpt:8000
ACCEPT tcp -- anywhere anywhere tcp dpt:tproxy
ACCEPT tcp -- anywhere anywhere tcp dpt:8082
ACCEPT tcp -- anywhere anywhere tcp dpt:8083
ACCEPT tcp -- anywhere anywhere tcp dpt:8084
ACCEPT tcp -- anywhere anywhere tcp dpt:8085
ACCEPT tcp -- anywhere anywhere tcp dpt:8086
ACCEPT tcp -- anywhere anywhere tcp dpt:http-alt
ACCEPT tcp -- anywhere anywhere tcp dpt:25565
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:7878
ACCEPT udp -- anywhere anywhere udp dpt:9987
ACCEPT udp -- anywhere anywhere udp dpt:25565
DROP tcp -- anywhere anywhere tcpflags: FIN,SYN, RST,ACK/SYN
ACCEPT tcp -- anywhere anywhere tcp dpt:25565
ACCEPT udp -- anywhere anywhere udp dpt:25565
ACCEPT udp -- anywhere anywhere udp dpt:25565

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTA BLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:2008
ACCEPT tcp -- anywhere anywhere tcp dpt:25565
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:2010
ACCEPT udp -- anywhere anywhere udp dpt:25565

Chain fail2ban-ssh (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

((@meytro))

meytro · 9 Mai 2015

Du darfst die Output Table nicht auf einen Destination Port beschränken, hau die mal komplett raus und mach die Policy von Output auf ACCEPT

EDIT: Das hier "DROP tcp -- anywhere anywhere tcpflags: FIN,SYN, RST,ACK/SYN" sieht auch nicht gut aus, damit lässt sich keine TCP Verbindung mehr eröffnen

Zoppoint · 9 Mai 2015

Da ich in diesem Bereich neu bin, wollte ich fragen ob du mir kurz Zeigen kanst wie du das meinst.
Hier mal die Aktuelle firewall Datei.

#!/bin/sh
### BEGIN INIT INFO
# Provides: custom firewall
# Required-Start: $remote_fs $syslog $network
# Required-Stop: $remote_fs $syslog $network
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: firewall initscript
# Description: Custom Firewall, placed in /etc/init.d.
# script written by Gargi 2009 http://www.gargi.org
### END INIT INFO

#needed modules
modprobe ip_conntrack_ftp

BLACKLIST=/usr/local/etc/blacklist.txt

#trigger for your ports
IN_ALLOWED_TCP="21 22 25 53 80 30033 10011 41144 8000 8081 8082 8083 8084 8085 8086 8080 25565"
OUT_ALLOWED_TCP="21 22 25 53 80 2008 25565"
IN_ALLOWED_UDP="53 7878 9987 25565"
OUT_ALLOWED_UDP="53 2010 25565"
IN_ALLOWED_ICMP=" "
OUT_ALLOWED_IMCP=" "

case "$1" in
start)

# Stopping IP trap
/etc/init.d/fail2ban stop
echo "Stopping fail2ban IP trap ..."

# Clear iptables
iptables -F

#Defaults
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# loopback communication
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# persist on connections
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Ban blacklisted IPs
for x in `grep -v ^# $BLACKLIST | awk '{print $1}'`; do
echo "Blocking $x..."
iptables -A INPUT -t filter -s $x -j DROP
done

# TCP rules in
for port in $IN_ALLOWED_TCP; do
echo "Accepting TCP port $port"
iptables -A INPUT -t filter -p tcp --dport $port -j ACCEPT
done

# TCP rules out
for port in $OUT_ALLOWED_TCP; do
echo "Allowing sending over TCP port $port"
iptables -A OUTPUT -t filter -p tcp --dport $port -j ACCEPT
done

# UDP rules in
for port in $IN_ALLOWED_UDP; do
echo "Accepting UDP port $port"
iptables -A INPUT -t filter -p udp --dport $port -j ACCEPT
done

# UDP rules out
for port in $OUT_ALLOWED_UDP; do
echo "Allowing sending over UDP port $port"
iptables -A OUTPUT -t filter -p udp --dport $port -j ACCEPT
done

# ICMP rules in
for port in $IN_ALLOWED_ICMP; do
echo "Accepting ICMP port $port"
iptables -A INPUT -t filter -p icmp --dport $port -j ACCEPT
done

# ICMP rules out
for port in $OUT_ALLOWED_ICMP; do
echo "Allowing sending over ICMP port $port"
iptables -A OUTPUT -t filter -p icmp --dport $port -j ACCEPT
done

# Dropping startup requests
iptables -A INPUT -t filter -p tcp --syn -j DROP

# Restarting IP trap
/etc/init.d/fail2ban start
echo "Fire up IP trap again ..."
;;
stop)
/etc/init.d/fail2ban stop
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
echo "Warning! Firewall is stopped, server is unprotected now!"
;;
restart)
$0 stop
sleep 1
$0 start
;;
*)
echo "Usage $0 {start|stop|restart}"
;;
esac

meytro · 9 Mai 2015

Einfach mal testen mit "iptables -P OUTPUT ACCEPT" und "iptables -P FORWARD ACCEPT"

Deine Datei ist übrigends ziemlich kompliziert, ich würde dir raten mit einigen Tutorials dir komplett selber deine IPTables zusammen zu stellen. Das dauert einen Tag danach weisst du aber auch exakt was jede Zeile macht und wie IPTables funktionieren.

Zoppoint · 9 Mai 2015

meytro schrieb:
Einfach mal testen mit "iptables -P OUTPUT ACCEPT" und "iptables -P FORWARD ACCEPT"

Deine Datei ist übrigends ziemlich kompliziert, ich würde dir raten mit einigen Tutorials dir komplett selber deine IPTables zusammen zu stellen. Das dauert einen Tag danach weisst du aber auch exakt was jede Zeile macht und wie IPTables funktionieren.

Erstmal Danke für den schnellen Support, es läuft jetz alles.

Den Tipp mit dem selber zusammenstellen werde ich berücksichtigen, auch danke hierfür.
Falls du Gute Tuts kennst einfach mal Posten

Ansonsten Bedanke ich mich

MFG Zoppoint

meytro · 9 Mai 2015

Also ich finde das folgende Tutorial ganz gut und konnte nach ein paar Stunden alles selber:
http://wiki.ubuntuusers.de/iptables2?redirect=no

russenalex · 10 Mai 2015

da steht doch schon welcher port freigeschaltet werden muss

minecraft-server.eu Europas Größte Serverliste

Firewall --> Minecraft frei geben

Zoppoint

Minecrafter

meytro

Kuhfänger

Zoppoint

Minecrafter

meytro

Kuhfänger

Zoppoint

Minecrafter

meytro

Kuhfänger

Zoppoint

Minecrafter

meytro

Kuhfänger

russenalex

Minecrafter