Nastavení firewallu fireHOL

[kris]

Chtěl bych se zeptat jak povolím ve firewallu spouštění streamovaného videa z webu,například ČT24 a jiné.Dále jak povolit porty pro Azureus.
Díky

[LS]

CT24 streamuje po obycejnem http protokolu, tedy port 80. Neni potreba nic povolovat, pokud mate povoleny http.

Otevreni portu pro BitTorrent je potencialni bezpecnostni dira!

Kód: [Vybrat]

#BitTorrent client protocol definition
server_bt_ports="tcp/6881:6999"
client_bt_ports="any"
server bt accept
client bt accept

[seastorm]

Ahoj, jak nastavím firestarter (firehol) aby se automaticky spustip při startu počítače? díky

[LS]

na tento dotaz jsem vam jiz odpovidal: http://forum.ubuntu.cz/viewtopic.php?id=3470

[antelao]

Především díky Lukášovi Svobodovi za jeho návody a rady, bez nich bych byl ztracen :-). No a teď k mému dotazu: KUBUNTU + Azureus + FireHOL. Ode dneška mám nové připojení - veřejnou IP adresu. Doinstaloval jsem proto FireHOL a provedl jeho konfiguraci:

Kód: [Vybrat]

#
# $Id: client-all.conf,v 1.2 2002/12/31 15:44:34 ktsaou Exp $
#
# This configuration file will allow all requests originating from the
# local machine to be send through all network interfaces.
#
# No requests are allowed to come from the network. The host will be
# completely stealthed! It will not respond to anything, and it will
# not be pingable, although it will be able to originate anything
# (even pings to other hosts).
#

version 5

# Accept all client traffic on any interface
# interface any world
# client all accept

DEFAULT_CLIENT_PORTS="1024:65535"

server_icq_ports="tcp/5190"
client_icq_ports="default"

interface eth+ internet src not "${UNROUTABLE_IPS}"
    policy drop
    protection strong 10/sec 10
    server ident reject with tcp-reset
#    server ssh    accept
#    server ping    accept
    client dhcp    accept
    client dns      accept
    client http     accept
    client https    accept
    client ftp      accept
    client ntp      accept
    client ssh      accept
    client icq      accept
    client cups    accept
    client samba    accept

#BitTorrent client protocol definition
server_bt_ports="tcp/6881:6999"
client_bt_ports="any"
server bt accept
client bt accept

UNMATCHED_INPUT_POLICY="DROP"
UNMATCHED_OUTPUT_POLICY="DROP"
FIREHOL_LOG_LEVEL=4Když otestuju port 6881 v "Azureus-Nástroje-NAT/Firewal Test" tak hlásí "Testuji port  6881 ... OK!". Zároveň dole ve stavovém řádku je "NAT OK" = Reachability OK (TCP).

Přesto, soubory, které jsem včera stahoval jako passiv (stará IP adresa, neveřejná) max. rychlostí, se dnes ani nehnou, je u nich červenej puntík s nápovědou: "nejste připojen k žádnému klientovi". Přitom všera 11 seedů a 130 peerů.

Poradí mi prosím někdo, v čem by mohl být problém? díky, jiří

[LS]

zadejte v terminalu prikaz

Kód: [Vybrat]

tail -f /var/log/kern.loga sledujte, jestli jsou blokovany nejake pakety

[antelao]

jirka@jirka-desktop:~$ tail -f /var/log/kern.log

Kód: [Vybrat]

Nov 13 22:28:03 localhost kernel: [17190814.844000] 'OUT-unknown:'IN= OUT=eth0 SRC=53.146.186.75 DST=75.126.28.239 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=36762 DF PROTO=TCP SPT=55126 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Nov 13 22:28:15 localhost kernel: [17190826.844000] 'OUT-unknown:'IN= OUT=eth0 SRC=53.146.186.75 DST=75.126.28.239 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=36763 DF PROTO=TCP SPT=55126 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Nov 13 22:28:38 localhost kernel: [17190850.680000] ''OUT-internet':'IN= OUT=eth0 SRC=53.146.186.75 DST=239.255.255.250 LEN=129 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=UDP SPT=8008 DPT=1900 LEN=109
Nov 13 22:28:43 localhost kernel: [17190855.104000] ''OUT-internet':'IN= OUT=eth0 SRC=53.146.186.75 DST=85.226.162.122 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=48905 DF PROTO=TCP SPT=50094 DPT=2710 WINDOW=5840 RES=0x00 SYN URGP=0
Nov 13 22:29:11 localhost kernel: [17190882.956000] 'IN-unknown:'IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0e:0c:70:d8:1f:08:00 SRC=10.0.31.1 DST=255.255.255.255 LEN=328 TOS=0x10 PREC=0x00 TTL=16 ID=0 PROTO=UDP SPT=67 DPT=68 LEN=308
Nov 13 22:29:38 localhost kernel: [17190910.684000] ''OUT-internet':'IN= OUT=eth0 SRC=53.146.186.75 DST=239.255.255.250 LEN=129 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=UDP SPT=8008 DPT=1900 LEN=109
Nov 13 22:29:44 localhost kernel: [17190916.192000] ''IN-internet':'IN=eth0 OUT= MAC=00:0e:2e:72:60:ea:00:0e:0c:70:d8:1f:08:00 SRC=88.146.131.169 DST=53.146.186.75 LEN=64 TOS=0x00 PREC=0x00 TTL=42 ID=13275 DF PROTO=TCP SPT=1073 DPT=139 WINDOW=53760 RES=0x00 SYN URGP=0
Nov 13 22:29:47 localhost kernel: [17190919.172000] ''IN-internet':'IN=eth0 OUT= MAC=00:0e:2e:72:60:ea:00:0e:0c:70:d8:1f:08:00 SRC=88.146.131.169 DST=53.146.186.75 LEN=64 TOS=0x00 PREC=0x00 TTL=42 ID=15360 DF PROTO=TCP SPT=1073 DPT=139 WINDOW=53760 RES=0x00 SYN URGP=0
Nov 13 22:30:38 localhost kernel: [17190970.688000] ''OUT-internet':'IN= OUT=eth0 SRC=53.146.186.75 DST=239.255.255.250 LEN=129 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=UDP SPT=8008 DPT=1900 LEN=109
Nov 13 22:31:38 localhost kernel: [17191030.692000] ''OUT-internet':'IN= OUT=eth0 SRC=53.146.186.75 DST=239.255.255.250 LEN=129 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=UDP SPT=8008 DPT=1900 LEN=109
Nov 13 22:32:39 localhost kernel: [17191090.696000] ''OUT-internet':'IN= OUT=eth0 SRC=53.146.186.75 DST=239.255.255.250 LEN=129 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=UDP SPT=8008 DPT=1900 LEN=109
Nov 13 22:33:39 localhost kernel: [17191150.700000] ''OUT-internet':'IN= OUT=eth0 SRC=53.146.186.75 DST=239.255.255.250 LEN=129 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=UDP SPT=8008 DPT=1900 LEN=109Jestli tomuhle někdo rozumí :-) co znamená jaká zkratka je zde: http://forum.ubuntu.cz/viewtopic.php?id=3817
vypadá to, že se mi toho tu mele víc. zatím díky, pokusím se tím nějak prokousat. jiří.

[antelao]

Ješte prosím o malé vysvětlení: moje síťové rozhraní je v systému definováno jako "eth0". Proč se tedy v konfiguraci fireholu používá označení "eth+"? viz:

Kód: [Vybrat]

interface eth+ internetJá jsem to opravil na

Kód: [Vybrat]

interface eth0 interneta doufám, že je to OK. Je to OK? jiří

[LS]

Znak "+" mahrazuje libovolny jiny znak. Definici "eth+" jsou tedy pokrtyta vsechna eth rozhrani. To se muze hodit napriklad pokud mate eth0 sitovou kartu a eth1 bezdratovku.

[Andrej Galbavý]

Je to OK? jiří

to + za eth znamena, ze sa moze vyuzivat viacero sietovych rozhrani-eth1,eth2..., ak mas nejaky dlhsi skript je to jednoduchsie viz: firehol.sourceforge.net  edit: lukas ma predbehol

[antelao]

Děkuji za odpovědi. Zároveň ještě prosím o pomoc s torrentem. Pokusím se o stručnou rekapitulaci:

Nastavení FireHOLu a klienta Azureus - viz výše. Stáhnul jsem tedy torrent s dostatečným počtem
seedů a sledoval co se děje.

1. V Azureus na záložce "Zdroje" jsem sledoval, jak se Azureus pokouší kontaktovat jednotlivé seedy - celkem 23. V seznamu zdrojů se objevovali různé IP adresy se stavem "... připojuji". Nestačil jsem je spočítat - většina poměrně rychle zmizela - se stavem "nevyřízený". V seznamu nakonec zbyly 3 adresy se stavem "pevně stanovený". Z těch probíhalo stahování v pohodě. Aspoň něco :-).

2. Opsal jsem si adresy "89.173.27.111" - jedna z těch "nevyřízených", která rychle zmizela a "88.100.219.216" - jedna z těch "pevně stanovených", ze které jsem stahoval.

3. kouknul jsem se do logu: "tail -f /var/log/kern.log" asi čtyřikrát se objevil řádek
s IP "89.173.27.111" - ta nevyřízená (IP 53.146.186.75 je moje).

Kód: [Vybrat]

Nov 14 22:05:35 localhost kernel: [17190439.788000] 'OUT-unknown:'IN= OUT=eth0 SRC=53.146.186.75 DST=89.173.27.111 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=30364 DF PROTO=TCP SPT=43827 DPT=7300 WINDOW=5840 RES=0x00 SYN URGP=0Objevil jsem ale také řádek s adresou "88.100.219.216" - z té jsem stahoval, jakto že je v logu

Kód: [Vybrat]

Nov 14 22:13:01 localhost kernel: [17190885.568000] ''OUT-internet':'IN= OUT=eth0 SRC=53.146.186.75 DST=88.100.219.216 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=56493 DF PROTO=TCP SPT=34101 DPT=45293 WINDOW=5840 RES=0x00 SYN URGP=0Jinak v logu jsou desítky podobných řádků - po spuštění programu Azureus.

Předpokládám, že řádky, které jsem vypsal, je blokovaný provoz programu Azureus. Rád bych se proto zeptal:
- Proč je tento provoz blokovaný, když by měl být podle konfigurace FireHOLu povolený?
- Proč se v logu objevuje i adresa "88.100.219.216", ze které jsem ve skutečnosti bez problému stáhnul data?
- Proč jsou některá spojení přes rozhraní "eth0" realizována mimo definovaného rozhraní "internet" - viz "OUT-unknown:" v prvím záznamu, čekal bych, že vše co jde přes "eth0" ven by mělo být "OUT-internet"
- Možná trochu mimo: Jak z logu poznám, že výše uvedené požadavky má na svědomí Azureaus a ne třeba nějakej jinej SW (třeba nějakej spyware, nebo tak něco)? Resp. jak to pozná systém. Nebo jinak - jak vlastně systém podle definice služby "bt" pozná, že právě Arureus (a ne např. Skype) je BitTorrent?

jiří

[LS]

V nastaveni fireholu jste pro bittorrent povolil porty 6881-6999. Vas Azureus se ale snazi pripojovat i na jine porty (v logu DST). Bud upravte nastaveni Azurea aby pouzival pouze 6881-6999 nebo upravte nastaveni firewallu. Doporucuji prvni moznost.

BTW nechapu ale proc je ten prvni paket zablokovany z "retezce" OUT-unknown, melo by to byt OUT-internet.

[antelao]

... Azureus se ale snazi pripojovat i na jine porty (v logu DST) ...

Nechtěl jste napsat "(v logu DPT)"? Jestli tomu záznamu dobře rozumím, tak (druhý záznam):
SRC=53.146.186.75    ... zdrojová IP požadavku (já, vysílám požadavek, je to moje IP)
DST=88.100.219.216  ... cílová IP, ten, od koho stahuju
PROTO=TCP                ... použit protokol TCP
SPT=34101                 ... zdrojový port, použil ho můj Azureus (to teda nevím proč -viz dále)
DPT=45293                 ... cílový port, kam požadavek směřuje u seeda

Rozumím tomu správně? Muj Azureus se snažil připojit na cílový port "45293", ale to je přeci v pořádku, protože ten seed (asi) provozuje svého klienta právě na portu "45293".

Jinak v Azureus mám nastavený port "6921". Ale jako já mám port "6921" mají ostatní klienti po celém světě nastavené nejrůznější porty od "1024" do "65535". Třeba i "45293".Používané porty rozhodně nejsou jen v rozsahu "6881:6999". Já sám jsem pod windows používal "21547" nebo "36985" (uTorrent). Někteří klienti mají dokonce volbu "používat náhodný port".

To ale nic nemění na tom, jak se Služba BitTorrent definovaná:
server_bt_ports="tcp/6921"  ... zúžil jsem pouze na jeden port, který mám v Azureus
client_bt_ports="any"            ... "any is a keyword that matches any client port"
                                                     (viz. http://firehol.sourceforge.net/)

server_bt_ports="tcp/6921" - tomu rozumím tak, že já jako server (když ode mě někdo stahuje) mám otevřený pouze port 6921, když někomu posílám požadavek, tak zdrojový port je prostě "6921"

client_bt_ports="any" - tomu rozumím tak, že můžu stahovat od ostatních na všech portech.

Nebo jak to vlastně je? Mám v tom docela chaos :-)

No, asi vyzkouším:

Kód: [Vybrat]

server_bt_ports="tcp/1024:65535"jenom mi pořád není jasný, jak systém pozná, že ty porty chci pouze pro Azureus a pro žádný jiný proces (nebo program, či co). Mám takový pocit, že tímhle nastavením postrádá firewall svůj význam :-D

[LS]

...Nechtěl jste napsat "(v logu DPT)"?...

Jiste. Sorry.

...client_bt_ports="any" - tomu rozumím tak, že můžu stahovat od ostatních na všech portech...

Jiste. Sorry.

...No, asi vyzkouším:

Kód: [Vybrat]

server_bt_ports="tcp/1024:65535"

Tim otevrete vsechny neprivilegovane porty!

...mi pořád není jasný, jak systém pozná, že ty porty chci pouze pro Azureus a pro žádný jiný proces...

Nepozna - otevrenim portu povolite komunikaci pro libovolny program.

...Mám takový pocit, že tímhle nastavením postrádá firewall svůj význam...

Ano.

Bohuzel BitTorrent (obecne vsechny p2p) se na firewallu tezko nastavuje tak, aby se soucasne neotevrela velka dira do celeho systemu.

[antelao]

Ještě jedna doplňující otázka: Jak vyřadit funkci fireholu, resp. firewallu (v rámci testování)?

Měla by stačit následující konfigurace?

Kód: [Vybrat]

version 5
interface eth+ internet
server all accept
client all acceptA nebo - proč by tam řádky jinak byly, že - pouze odkomentovat

Kód: [Vybrat]

version 5
Accept all client traffic on any interface
interface any world
client all accept+ samozřejmě restart fireholu

jiří

PS: Původně jsem si myslel, že když odinsatluju FireHOL, tak jsem zas ve stavu jako před instalací. Ale ono ne! Pak sem si řekl. že vlastně nejsem ve windows, a že asi firehol asi nechal konfiguraci někde v iptables a já jsem odinstalací vlastně akorát přišel o nástroj, jak tu konfiguraci měnit ...

[LS]

...jak vyřadit funkci fireholu, resp. firewallu (v rámci testování)?...

sudo firehol stop

[antelao]

jé, to je snažší, než jsem čekal. Moc děkuji za odpovědi a za váš čas. Jiří.

[vadimo]

Mám zapojené routovanie cez firehol:

ath0 - vonkajšia sieť (do internet-wirelles)
wlan0 - vnútorná sieť (do notebook-wirelles)

Všetko ide OK. Rozšíril som si počítač o ďaľšiu kartu eth0  (RJ45), ktorá bude tiež slúžiť na vnútornú sieť. Neviem ako ju zapísať do firehol.conf. Keby mali vnútorné karty rovnaký názov (samozrejme bez číslic), riešil by som to pomocou +pluska.

[Pavel1TU]

zdravím všechny
s firehol/torrent bojuji již 3 roky

nikdy jsem nenastavil firehol tak, aby poskytl jakémukoliv torrentu tostatečný počet připojení ?? nebo to nestíhá ?? prostě ho vypínám (mám ještě HW router/firewall)
se zapnutým fireholem je to ukrutně pomalé a malý počet připojení leechers/seeders

pokud to někdo vyřešil, předem děkuji za poskytnutí informací :-)