MSN/IPTables: werken aan oplossing ***Gevonden!***

Alle Linux-geeks al gaan slapen ofzo We need you guys !

Op zondag 09 juni 2002 20:27 schreef Samp het volgende:
DRINGEND help nodig

1) Is het normaal dat wanneer ik ./reaim doe, ik niet terug mijn command prompt krijg, en ik dus een nieuwe console moet openen?

Maak daar even './reaim &' van en je keert weer gewoon terug in de console . Eventueel kun je met './reaim &>/mijn/bestand &' nog de uitvoer van dat commando naar een bestand toesturen zodat je het niet in de console in beeld krijgt, maar dat is je persoonlijke voorkeur.

ah, dat wist ik nog niet, thx!

Maar mijn prob is er niet echt mee opgelost, want ik weet nu nog steeds niet of die prog ook goed opstart bij mij ...
Want het lijkt niet echt te willen werken

wb, euh, lees vorige posts plz
het werkt dus gewoon niet ...

Ik krijg wel entries in de logfiles maar het verzenden lukt nog steeds niet.

logfile entries:

MSN/Trylian

En het werkt nu! Ik heb ff in de sourcecode gekeken. En je kan als paramter aan de deamon je extern ip geven. Dit heb ik gedaan en nu werkt het.

Alleen filetransfer maar ja.. tis iig iets!

Ehm.. hier een leek op linux gebied.. maar ik vroeg me af, is dit misschien ook toe toe passen op een Freesco routertje?

Op maandag 10 juni 2002 22:15 schreef eborn het volgende:

[..]

En ik ben weer een leuk op het gebied van Freesco Draait Freesco ook iptables? Of iets anders waarmee je poorten kunt forwarden? Dan moet het gewoon lukken denk ik. Misschien de source wat tweaken

^{maar zoals ik zei, ik ben een leek in freesco}

Er zit inderdaad een port-forwarding optie in.. en Freesco is op linux gebaseerd geloof ik, alleen het broodnodige wat nodig is voor een router zodat het volledig van een diskette te booten is!

Op maandag 10 juni 2002 22:16 schreef eborn het volgende:

[..]

De andere tructjes van MSN (Video/Audio) horen dus met die UPNP gateway te werken. Maar dat is weer een verhaal apart

Hmm zou dat ook samen werken? UPNP en reAIM?

Gaan we dat morgen ff proberen

Op dinsdag 11 juni 2002 00:04 schreef XKB het volgende:
Gaan we dat morgen ff proberen

Let wel op dat die UPnP prog leuk is om mee te klooien, maar ontzettend onveilig is...

Op dinsdag 11 juni 2002 00:01 schreef eborn het volgende:

[..]

Nou, probeer het dan eens te compileren zou ik zeggen

Ik zou dus geen idee hebben hoe ik dat zou moeten doen.. zoals ik al zei.. linuxleek

Lijkt me verstandig om hier idd iemand naar te laten kijken die op beide gebieden verstand heeft.. Freesco draait nu al naar volle tevredenheid, alleen zou het wel leuk zijn als het verzenden van bestanden met MSN Messenger ook zou lukken! ICQ werkt overigens wel, dus dat is altijd nog een optie...
Support voor het H323-protocol is overigens ook in te schakelen binnen Freesco! Netmeeting werkt dus ook!

Bij mij werkt het voor geen meter. Ik installeer de proxy, ik pas de rules aan in iptables. Ik start de proxy.
En ineens wordt ssh actief geweigerd op mijn router
Nu moet ik weer wachten totdat ik thuis ben!!

Ik heb het ook aan de praat gekregen, het is best eenvoudig

download de tar.gz
unpack het en doe een make, verplaatst reaim naar een geschikte dir
/sbin ofzo

bekijk de firewall.sh edit de file, er staat duidelijk in wat je moet editen.

voeg aan /etc/rc.local reaim en je firewall.sh toe om tijdens elke boot te starten.

ik heb dit:
/etc/init.d/ishare {mijn internet share script)
/etc/init.d/firewall.sh
/sbin/reaim &


Suc6, ben best wel happy dat filetransfer eindelijk werkt.
Nu netmeeting nog..... anyone interested?

Dat unpn daemon ding werkt wel voor netmeeting. Of iig wel voor voice. Alleen issie erg onveilig, hij opent poorten zonder te controleren of het wel mag (eigenlijk zet ie portmappings on-the-fly op)

Ik heb een topic geopend mbt ReAIM. Ik heb er super veel problemen mee, alles crashed!! check it out en help me aub:
[topic=523238/1/25]

Ik probeer de rules van die reAIM site in te voeren.. met het volgende resultaat:

Wat mot ik nou? Wat betekent dit?

Heeft er iemand misschien ook een oplossing voor OpenBSD? En hoe zit het met bijv. ICQ?

Op donderdag 13 juni 2002 13:08 schreef Trax_Digitizer het volgende:
Ik heb een topic geopend mbt ReAIM. Ik heb er super veel problemen mee, alles crashed!! check it out en help me aub:
[topic=523238/1/25]

Zeg, hallo?

Zoiets is niet bepaald de bedoeling hier.

Op woensdag 19 juni 2002 20:49 schreef MadEgg het volgende:
Ik probeer de rules van die reAIM site in te voeren.. met het volgende resultaat:

code:

1 2 3

root@server:~# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 5190 -j REDIRECT --to-ports 5190 iptables: No chain/target/match by that name root@server:~#

Wat mot ik nou? Wat betekent dit?

Heb je ipt_REDIRECT wel geladen ? Dus of als module of statisch in je kernel ? Waarschijnlijk niet...

hmm het lukt nog niet bij mij

dit staat er in me log:

moet dat 192.168.0.2:2755 niet mijn externe IP zijn?


Ik heb zowel de regels die op de site staan aangepast en toegevoegd aan mijn firewall script en het firewall-sh ge-execute(na dat ik het aangepast had), daarna reaim opgestart.


kan dit komen omdat ik achter Dubbel NAT zit ?

Op zaterdag 22 juni 2002 16:23 schreef Exci het volgende:
hmm het lukt nog niet bij mij

dit staat er in me log:

code:

1 2 3

[Sat Jun 22 15:13:26 2002] [STARTUP] Started AIM-Fix Proxy [0.5 alpha] [Sat Jun 22 15:13:26 2002] [STARTUP] Auto-detecting the external IP address. [Sat Jun 22 15:19:49 2002] MSN Proxy connection established [192.168.0.2:2755 -> 64.4.13.224:1863] [magic=1]

moet dat 192.168.0.2:2755 niet mijn externe IP zijn?


Ik heb zowel de regels die op de site staan aangepast en toegevoegd aan mijn firewall script en het firewall-sh ge-execute(na dat ik het aangepast had), daarna reaim opgestart.


kan dit komen omdat ik achter Dubbel NAT zit ?

code:

1	alcatel modem --NAT-> server --NAT-> rest van pc's

Lijkt me wel ja. Waarom sluit je de rest van de PC's niet aan op de eerste NAT-server?

Dus als je Reaim installeerd in freesco ben je op je clients je msn problemen kwijt als ik het zo goed lees

Ik heb mijn internet conectie met mijn vader gedeeld (ook de rekening ) via windows 200 met ics geinstalleerd. (alles werkt incl icq filesharing, gek he) Hoe kan ik met deze conf. msn 4 of 5 filesharing enz. aan de praat krijgen? De clients zijn XP maar de server is niet krachtig genoeg voor XP (kan ik upnp in w2k intergreren?)

Mijn dank is groot voor de zinnige antwoorder

k t werkt eindelijk. regels in firewall geplant. firewall.sh opgestart en reaim & gedaan. nu eindelijk draaiend !!!!hahaha

Weet iemand hoe ik UPNP kan intergreren in een ICS (w2k pro) configratie? Zo kan ik mischien MSN aan de praat krijgen. De pc kan geen XP aan. TNX

mbooij schreef op 30 september 2002 @ 14:38:
Weet iemand hoe ik UPNP kan intergreren in een ICS (w2k pro) configratie? Zo kan ik mischien MSN aan de praat krijgen. De pc kan geen XP aan. TNX

hey, dit is NOS, geen WOS .
maar om je toch een beetje opweg te helpen:
open de poorten uit de FAQ oid van NT. download messenger 5.0 en voila, dat werkt nu ook ook.
mocht je daar verder over willen praten verwijs ik je naar -=Het grote Msn Messenger topic=-

Misschien dat ie al genoemd is, maar ik heb reaim draaien op m'n router (gentoo linux, kernel 2.4.19-gentoo-r7, iptables masq ed) en het werkt perfect

Filetranfers werken gewoon, het fungeert gewoon als een socks5-proxy eigenlijk (niet helemaal, maar het werk )

Bij mij wert reaim nog niet

1. ik heb firewall.sh aangepast en die run ik ./firewall.sh
2. ik start reaim ./reaim mijn.ip
3. start ik MSN (5), zonder een proxy in te stellen
4. alles doet het gewoon maar filesend nog steeds niet, in de lig valt verder niets meer te zien dan:

[Sun Oct 6 13:15:56 2002] [STARTUP] Started AIM-Fix Proxy [0.5 alpha]
[Sun Oct 6 13:15:56 2002] [STARTUP] Using xxx.xxx.xxx.xxx for the external IP address.

Moet ik in MSN een proxy server instellen? zo ja, op welk ip?
Filesends in MSN gaat toch over poort 6891 en hoger? Moet daar dan niets mee gebeuren?

En waarom heeft MSN5 nog geen UPnP filesend support, want UPnP werkt tenminste wel bij mij (http://linux-igd.sourceforge.net)

Ik heb hetzelfde probleem, alleen als ik iets ga verzenden, meld me MSN zich binnen 1 seconden af ?
Heel vaag, ik gebruik IPTABLES onder RH7.1, nog meer info nodig ?
en ik heb standaard alles opstaan, en in MSN zelf verder niks ingesteld.

De simpelste oplossing is gewoon die 10 poorten doormappen, en de msn beta van versie 5.0 even zoeken.. Die ondersteund wel verzenden via een NAT router.
Heb je al die problemen met reaim niet meer..

ehmzz....

Ik gebruik dus ook IPtables als firewall, en heb daar een wel een aardig
script voor gemaakt

En ja, je kan ook gewoon MSN'en en alles wat daar bij hoort, dus ook bestanden up en downloaden

Wil hem eventueel wel ergens online mikken voor de liefhebbers

WOS????

pardon wos ?!

mbooij schreef op 10 oktober 2002 @ 10:17:
WOS????

Windows Operated Systems

Zowel Enlightment als terrapin praten over het doormappen van porten om filesend te verwezelijken. In dat geval is slechts voor degene met het ip waar naartoe gemapped wordt filesend beschikbaar.

Dit is dus geen oplossing!

En bij mij werkt reaim nog niet, kan iemand de vraagjes in mijn vorige post beantwoorden?

er is hier gesproken over het forwarden van poorten in freesco.
heb ik gedaan:

t,6891,192.168.0.2/6891
t,6892,192.168.0.2/6892
t,6893,192.168.0.2/6893
t,6894,192.168.0.2/6894
t,6896,192.168.0.2/6896
t,6895,192.168.0.2/6895
t,6897,192.168.0.2/6897
t,6898,192.168.0.2/6898
t,6899,192.168.0.2/6899
t,6900,192.168.0.2/6900
t,6901,192.168.0.2/6901
u,6901,192.168.0.2/6901

alleen bij mij werkt het nog steeds niet, ik kan wel ontvangen niet versturen.

het zou nu toch moeten werken??

TormentoR schreef op 10 oktober 2002 @ 23:10:
Zowel Enlightment als terrapin praten over het doormappen van porten om filesend te verwezelijken. In dat geval is slechts voor degene met het ip waar naartoe gemapped wordt filesend beschikbaar.

Dit is dus geen oplossing!

En bij mij werkt reaim nog niet, kan iemand de vraagjes in mijn vorige post beantwoorden?

Pardon ?!

Iedere pc in m'n netwerk alhier kan via de firewall msn'en, dus ook bestanden verzenden en ontvangen, dat is no problemo

Ik weet niet of dit al langs is gekomen, maar misschien kennen jullie GipTables. Op de site van giptables staat een mini-HOWTO om het op te lossen. Zonder proxy or whatever.

Link....

keej

Ik zal vanavond (zit nu op het werk ) het script beschikbaar stellen aan de tweakers gemeenschap moet nog ff bekijken of ik het hiero post (kan nogal lang verhaal worden) of het als bestand op m'n server zet
URL wil follow soon

Maak gebruik van IPtables in combinatie met Masquerading, de ideale fuurmuur dus

Verwijderd schreef op 22 juni 2002 @ 16:23:
kan dit komen omdat ik achter Dubbel NAT zit ?

code:

1	alcatel modem --NAT-> server --NAT-> rest van pc's

Toch kan het m.i. in jouw setup werken!
Vertel reaim op de commandline het externe IP-adres van 1e NAT doos

oke oke, heren en dames

Hiero dan m'n lang verwachte IPtables script, hopende dat de tweakende gemeenschap alhier er wat aan kan hebben

Firewall Script

Have fun with it

Het lijkt me niet helemaal eerlijk dat jij claimt dat jij die firewall hebt gemaakt, http://nedlinux.nl/~bart, daar is hij van! Niet met de eer gaan strijken he! Ik heb hier totaal geen respect voor! Je moet je schamen!!!! Je lang verwachten iptables script, dit is te idioot voor woorden!

Ik zou iedereen aanraden toch maar wat meer docu erover te lezen ipv klakkeloos van deze site over te nemen:
http://www.nedlinux.nl/~bart/?page=3

In het kopje "TCP" staat:
"Zoals het er nu voorstaat is het onmogelijk om met b.v. een browser een pagina op het internet te bekijken.......
Wat we nu moeten doen is het toelaten van uitgaande TCP pakketten waarvan de 'SYN' vlag geset is en de andere flaggen niet geset zijn. Verder moeten we 'bestaande' (ESTABLISHED) en 'gerelateerde' (RELATED) conneties ook toestaan (om organisatorische redenen moeten ze in omgekeerde volgorde in het script staan): "
Vervolgens staan er 3 iptables commandos , en ik garandeer je , www-browsing werkt echt wel zonder die regels

Verwijderd schreef op 11 oktober 2002 @ 20:02:
Het lijkt me niet helemaal eerlijk dat jij claimt dat jij die firewall hebt gemaakt, http://nedlinux.nl/~bart, daar is hij van! Niet met de eer gaan strijken he! Ik heb hier totaal geen respect voor! Je moet je schamen!!!! Je lang verwachten iptables script, dit is te idioot voor woorden!

Wie zegt dat er wat geclaimt wordt ?
Er wordt wel gezegd dat het script dat ik gebruik hier gepost wordt, meer niet

Hiero dan m'n lang verwachte IPtables script, hopende dat de tweakende gemeenschap alhier er wat aan kan hebben

hiero dan M'N liijkt mij dan toch echt dat jij zegt dat hij van jou is! Of niet!!!

Nog een giller van http://www.nedlinux.nl/~bart/?page=3

"FTP werkt niet vanaf een gemasquerade host
Dat kan kloppen. FTP is een waardeloos protocol. Gebruik SCP in plaats van FTP. Als je toch FTP moet gebruiken kies dan voor passive mode"


Was mij ook al opgevallen in script dat ftp ondersteuning ontbrak.
Helaas is ftp wel wereldwijd ingeburgerd , dus gebruik maar SCP (echt nooit van gehoord) lijkt mij niet zo'n goede tip.

Voor full ftp support is overigens een extra module laden (of in kernel bakken) nodig , + 1 extra iptables regel......

Verwijderd schreef op 11 oktober 2002 @ 19:32:
oke oke, heren en dames

Hiero dan m'n lang verwachte IPtables script, hopende dat de tweakende gemeenschap alhier er wat aan kan hebben

Firewall Script

Have fun with it

Dit script is een rechtsreeks kopie van wat http://www.nedlinux.nl/~bart/?page=3#scripts hier staat als 2e script. Nou is dat niet erg, mist Enlightement dat erbij zou zetten.

Echter, in plaats daarvan vervangt Enlightenment de naam en het email adres die in het script staan (Bart Geverts) door zijn eigen. Voor de rest is het exact hetzelfde op een paar lege regels na.

Daar dit document van Bart onder de GNU Free Document License is geplaats (het staat er duidelijk!!!!!!! http://www.nedlinux.nl/~bart/?page=3#legal) is dit dus eigenlijke pure plagiaat!

Wat hier wordt gedaan is dus echt totaal in tegnspraak met alles wat Linux inhoudt.

Met de eer strijken door jou naam boven iemand anders zijn tekst te zetten......je zou je echt moeten schamen!

Het is gewoon een trieste stakker, die niets meer waard is dan een kakkerlak.

Verwijderd schreef op 09 oktober 2002 @ 23:45:
ehmzz....

Ik gebruik dus ook IPtables als firewall, en heb daar een wel een aardig
script voor gemaakt

En ja, je kan ook gewoon MSN'en en alles wat daar bij hoort, dus ook bestanden up en downloaden

Wil hem eventueel wel ergens online mikken voor de liefhebbers

oke oke, heren en dames

Hiero dan m'n lang verwachte IPtables script, hopende dat de tweakende gemeenschap alhier er wat aan kan hebben

Firewall Script

Have fun with it

Wie zegt dat er wat geclaimt wordt ?
Er wordt wel gezegd dat het script dat ik gebruik hier gepost wordt, meer niet

[geen smiley]
Val jij ff vies door de mand.
Wat ben jij een lul zeg.
[/geen smiley]

Busted
Bovendien heb je je naam boven het script gezet alsof je de auteur was.
Terwijl iedereen kan zien dat je zelfs de uitleg en naam v/h script klakkeloos hebt overgenomen van Bart.

Zoals ik al zei, een trieste idioot.

Verwijderd schreef op 11 oktober 2002 @ 20:34:
Nog een giller van http://www.nedlinux.nl/~bart/?page=3

"FTP werkt niet vanaf een gemasquerade host
Dat kan kloppen. FTP is een waardeloos protocol. Gebruik SCP in plaats van FTP. Als je toch FTP moet gebruiken kies dan voor passive mode"


Was mij ook al opgevallen in script dat ftp ondersteuning ontbrak.
Helaas is ftp wel wereldwijd ingeburgerd , dus gebruik maar SCP (echt nooit van gehoord) lijkt mij niet zo'n goede tip.

Voor full ftp support is overigens een extra module laden (of in kernel bakken) nodig , + 1 extra iptables regel......

Hier heeft Bart eigenlijk wel gelijk.. FTP is een zeer onveilig systeem. De enige nog redelijk veilige vorm is passive FTP.

SCP is een soort van file transfer over SSH. In een perfecte wereld zouden mensen dat inderdaad gebruiken, en geen FTP.. Helaas wordt FTP overal gebruikt (en is het geen perfecte wereld )

Beste Felix Bruin,

Het geeft mij een groot gevoel van voldoening dat andere mensen mijn werk publiceren en doen alsof ze het zelf geschreven hebben. Dat geeft iig aan dat mijn werk gewaardeerd wordt.

Jouw versie:

#!/bin/sh

# Masquerading firewall (relatief veilig)
# 13 augustus 2001
# Felix Bruin (f.bruin@chello.nl) http://linux-root.ath.cx

# Een hele relatief veilige masquerading firewall waarmee het mogelijk om met
# het hele achterliggende LAN het internet op te kunnen. De default policy wordt
# op 'weiger alles' gezet, waarna er gaten in de firewall worden gemaakt.
# Alleen de variabelen moeten aan de omgeving worden aangepast.
# Hiervoor lever ik GEEN support.
# Kom dus niet aan met mailtjes van 'help, het werkt niet"...

originele versie:

#!/bin/sh

# Masquerading firewall (relatief veilig)
# 13 augustus 2001
# Bart Geverts (bart@hakkefest.linux-site.net)

# Een hele relatief veilige masquerading firewall waarmee het mogelijk om met
# het hele achterliggende LAN het internet op te kunnen. De default policy wordt
# op 'weiger alles' gezet, waarna er gaten in de firewall worden gemaakt.
# Alleen de variabelen moeten aan de omgeving worden aangepast.
# Dit script dient alleen als voorbeeld. Het geeft aan hoe de theorie van
# hierboven kan worden toegepast. Hiervoor lever ik GEEN support.
# Kom dus niet aan met mailtjes van 'help, het werkt niet"...

Waar ik echter een heel stuk minder over ben te spreken is dat je in strijd met de GFDL gehandeld heb. Het verhaal waar dit script uitkomt is namelijk geplaatst on de GNU Free Document License versie 1.1 of later. Dat houdt in dat de copyrights bij de schrijver liggen en dat iedereen het mag distributeren en/of wijzigen. De volledige tekst van de GFDL is te lezen op http://www.gnu.org/copyleft/fdl.html.

Bij deze verzoek ik je dan ook vriendelijk om de copyrights te herstellen.

Verwijderd schreef op 11 oktober 2002 @ 19:32:
oke oke, heren en dames

Hiero dan m'n lang verwachte IPtables script, hopende dat de tweakende gemeenschap alhier er wat aan kan hebben

Firewall Script

Have fun with it

Verwijderd schreef op 11 oktober 2002 @ 22:57:

[...]

/offtopic

Ghehe, heb je je speciaal hiervoor ff geregged?

En zegt de asociale enlightment dat hij niet had gezegd dat hij zei dat het script van hem was, terwijl het wel zo was. Wat een idioot... Maar dat had ik al gezegd

Wie was er zo vriendelijk om Bart in te lichten?
Ik had er zelf niet aan gedacht maar in ieder geval een dike pluim aan de anonieme tipgever.
_{Het kan natuurlijk ook een andere Got user geweest zijn}

hehe.... Misschien dat jullie het nog niet wisten maar er hangt hier meer rond dan de vaste GOt users of users die flamen... Er zijn ook nog mensen die gewoon controleren of de gpl en GFDL regels nageleefd worden....
En die mensen zijn niet dom...

Waar om reageert dat verlichte persoon niet ff?

Uit z'n profiel blijkt dat ie wel geweest is?

Laatste bezoek 12-10-2002 09:16

kej hier een vraagje van een niet zo goede comp kenner,ik lees dat jullie het probleem hebben opgelost van bestanden via messenger clients versturen.
nou wil ik graag weten wat ik nu doen moet om dat ook daadwerkleijk te kunnen doen .
ik heb een desktop die fungeert als server en een notebook die client speelt en wil via mijn notebook bestanden kunnen versturen met messenger er draait geen firewall mee en beidde machines hebben win xp proff please helupppppp alvast bedankt !!

eborn schreef op 10 juni 2002 @ 22:15:
[...]


En ik ben weer een leuk op het gebied van Freesco Draait Freesco ook iptables? Of iets anders waarmee je poorten kunt forwarden? Dan moet het gewoon lukken denk ik. Misschien de source wat tweaken

^{maar zoals ik zei, ik ben een leek in freesco}

Ik ken een vriend die hier denk ik ook wel wat mee kan... als iemand een lijstje met te proberen dingen geeft geef ik het wel aan hem door zodat hij het eens kan proberen...

Hij heeft zijn fout ingezien en het script weggehaald.....

maar is inderdaad niet netjes!!

six10again, dat je mijn verhaal de grond in probeert te trappen is jouw goed recht. Maar onderbouw je kritiek dan wel.

Ik zou iedereen aanraden toch maar wat meer docu erover te lezen ipv klakkeloos van deze site over te nemen:

Dat hoef jij niet te vermelden, dat heb ik zelf al gedaan in de inleiding.

Vervolgens staan er 3 iptables commandos , en ik garandeer je , www-browsing werkt echt wel zonder die regels

Als je ff verder had gekeken dan had je gezien dat de default policy daar 'DROP' is. Als je daarnaast op de connection-state let (wat daar ook wordt beschreven) gaat dat NIET lukken zonder die regels.

Nog een giller van http://www.nedlinux.nl/~bart/?page=3
"FTP werkt niet vanaf een gemasquerade host
Dat kan kloppen. FTP is een waardeloos protocol. Gebruik SCP in plaats van FTP. Als je toch FTP moet gebruiken kies dan voor passive mode"

Was mij ook al opgevallen in script dat ftp ondersteuning ontbrak.
Helaas is ftp wel wereldwijd ingeburgerd , dus gebruik maar SCP (echt nooit van gehoord) lijkt mij niet zo'n goede tip.
Voor full ftp support is overigens een extra module laden (of in kernel bakken) nodig , + 1 extra iptables regel......

De tekst die je daar quote komt uit de FAQ; ofwel antwoorden op vragen die ik wel eens krijg. Om vanaf een lokaal netwerk een ftp server te bereiken door een NAT server moet je passive ftp gebruiken, active ftp lukt niet. Dat ik ftp een waardeloos protocol vind is mijn eigen mening en scp vind ik een veel beter alternatief. Maar omdat ftp meer is ingeburgerd, geef ik daarnaast ook de de (passive ftp) manier waarop je ftp wel werkend kan krijgen.

Ik sta altijd open voor kritiek, zowel positief als negatief, maar breng het dan wel een beetje professioneel en lees op z'n minst in welke context ik iets heb geschreven.

Bart:

heb ff wat meer tijd genomen , hier wat opbouwende "kritiek"


Als je in het masquerade gedeelte de 3e regel vervangt door een met established/related , werkt active ftp ook. (niet alle ftp-servers ondersteunen zowel activ als passiv)
De SCP regel komt op mij een beetje over als: actieve ftp krijg ik niet werkend , gebruik maar SCP.


Het kopje TCP , en daarop volgende tekst , is zeer verwarrend. Masquerading werkt al , en je hele LAN kan al browsen. Het stuk daarachter gaat echter alleen uit van client programmas op de firewall zelf ( ik draai GEEN webbrowser op mijn firewalls).
De drie daaropvolgende regels laten alleen alle TCP connecties opgezet door firewall door.
Kan misschien in 2 regels
output chain: new,established,related
input chain: established,related


UDP-Traceroute:
Als ik vanaf mijn firewall traceroute draai , krijg ik "PROTO=UDP SPT=1024 DPT=33439"
Jouw script laat alleen source-port > 32768 door , en dus werkt het niet. Moet m.i. >1023 zijn


Servers-stuk:
m.i. zijn hier alle output regels overbodig, en worden door geen enkel IP-pakketje gebruikt!
In het TCP stuk laat je in de output chain immers al established/related pakketten door.
Een hoop sites maken deze "fout" door ipchains erfenis.

hopende te hebben bjigedragen tot verbetering van je website
friends

Kijk, hier hebben we wat aan

>> werkt active ftp ook
't Grote probleem bij active ftp is dat ik constant een '500 Illegal PORT command. ftp: bind: Address already in use'. krijg. 'k Ben hier erg lang mee beziggeweest maar een fatsoenlijke oplossing heb ik niet kunnen vinden. ESTABLISHED en RELATED brengen daar ook geen verandering in. Verder vind ik dit een non-issue omdat vrijwel elke ftp client met passive ftp overweg kan.

>> Het kopje TCP
Dat je geen webbrowser op een firewall hoort te draaien snap ik ook. Maar ik ga uit van een gemiddelde huis tuin en keuken servertje die niet alleen dienst doet als firewall. En dan is het ook erg prettig als je terplekke nieuwe tcp connecties kan opzetten.
Als er niet op tcp vlaggen wordt gelet, kan je de rest van de tcp connecties doorlaten met 2 extra regels, maar dat lukt in dit geval duidelijk niet. Moet wel toegeven dat wat er staat niet alles verklaart, maar in de volgende versie zou dit wel 't geval moeten zijn.

>> PROTO=UDP SPT=1024 DPT=33439
Jah, dat heb ik ook wel eens gezien! Zou je eens kunnen vermelden wat het versie nummer is van jouw traceroute? 'k Heb het idee dat oudere versies een willekeurige unpriv src-poort pakken terwijl recentere in de range 32769:65535 zitten.

>> Servers-stuk
Heb je helemaal gelijk in. Maar wat staat er nou bovenaan dat script? "Het geeft aan hoe de theorie van hierboven kan worden toegepast.". Maw: hier heb je een opzet en ga er zelf maar mee klooien. luitjes die wat met dat verhaal doen hebben vaak weinig tot geen firewall kennis. Om te voorkomen dat niks meer werkt als je een bepaald deel weglaat staan er een paar overbodige regels in.

Dit verhaal heb ik vanuit het niets uitgebouwd en door schade en schande ben ik wijzer geworden. Daarom is het op meerdere plaatsen nogal rommelig. Ben momenteel met een volledige rewrite bezig die een stuk gestruktureerder in elkaar zit.

NAT ftp support:
ftp_conntrack(oid) module laden/in kernel meecompileren , en established/related doet rest.

Zelf ftp server draaien:
In het server stuk hoef je dan alleen maar port 21 open te zetten voor volledig ftp support.
Rest gaat automatisch met established,related en ftp_conntrack

Multi-port support:
Als je ook multiport support in kernel aanzet dan kun je het complete server stuk in 1 iptables commando zetten! Zijn er nu 16 (8 in , 8 out).


UDP stuk:
UDP werkt ook met established/related
Niet alleen ivm besparing commandos, maar zo zorg je er voor dat UDP verbindingen maar 1 kant opgezet kunnen worden.
In jouw script kan ik van buitenaf alle FW UDP poorten >32678 proben , zolang mijn source port maar in range 33434:33523 zit.

btw:
traceroute: Version 1.4a12 Zat in RH7.3 install

Het heeft mij lang geduurd eer ik statefull firewalling (=iptables) doorhad. Dit werd mede veroorzaakt door scripts van diverse websites:
Niet iedereen die een FW spelend krijgt en zijn scriptje online zet heeft helaas in-depth kennis. Er zijn er zelfs die 100% jatten , en alleen hun eigen naam erboven zetten.

>> NAT ftp support
Ik ga d'r nog eens een weekendje mee prutsen...

>> alleen maar port 21 open te zetten voor volledig ftp
Volledig met je eens. In 't script dat ik thuis gebruik is dat intussen ook al zo.

>> Multi-port support
Grote nadeel van multiport vind ik dat je niet per daemon kan opgeven in welke range de source moet liggen. http kan je wagenwijd openzetten, maar bv ssh beperk ik graag tot bepaalde hosts.

>> alle FW UDP poorten >32678 proben
Hoeveel weken had je gedacht daar voor nodig te hebben?

>> traceroute
Dat snap ik dan niet. Die heb ik ook. Gaan we ook nog eens op puzzelen...

>> Multi-port support
"Grote nadeel van multiport vind ik dat je niet per daemon kan opgeven in welke range de source moet liggen. http kan je wagenwijd openzetten, maar bv ssh beperk ik graag tot bepaalde hosts."

SSH dan in aparte rule.

>> alle FW UDP poorten >32678 proben
"Hoeveel weken had je gedacht daar voor nodig te hebben? 8)"

Als er een gat is , kan er een exploit geschreven worden , die er gebruik van maakt.
Ik vertel een klant liever dat ik iets block , dan dat het lang duurt om te kraken.

Zo die Enlightment kan zijn bek ook niet meer laten zien hier, en terecht.

Nico

Overigens zie ik hier geen regels voor MSN poorten instaan die wel verwacht werden en de methode via Reaim werkt niet bij mij.

Heb nu ipt_conntrack gebouwd .. met iptables 1.2.7a en alle patches zitten er nu ook in (patch-o-matic)! Alleen nog geen kans gehad om te testen omdat veel mensen ook achter een firewall werken.

Verder vraag ik me af of het met everybuddy wel werkt ... (MSN Client onder linux)

Het is overigens niet het einde van de wereld als het niet werkt ... maar het zou leuk zijn als het werkt ... Het liefst zonder extra daemon zoals reaim

Nou er staat GEVONDEN bij de titel, maar het lukt dus echt niet, dat proggie is echt gaar. Als je het start krijg je het niet meer afgesloten. Als het nou nog eens werkte....

Ik heb nu Messenger versie 5 draaien en het is mogelijk om nu zonder proxy files te verzenden. Ik heb deze lines aan m'n firewall script toegevoegd en het werkt:

$IPTABLES -t nat -A PREROUTING -p tcp -d $ext_ip --dport 6891:6900 -j DNAT --to 10.11.12.15:6891:6900
$IPTABLES -A FORWARD -p tcp -d 10.11.12.15 --dport 6891:6900 -j ACCEPT

Hierin is $ext_ip m'n chello ip-adres en 10.11.12.15 het netwerk adres waarop messenger 5 draait. Bij meerdere machines in je netwerk moet je voor elke machine een poort toewijzen in 6891 -6900.

Compileren ging niet...

friemel:/home/hajo/reaim-0.5# make
gcc -o reaim reaim.c -g -Wall
/tmp/cc31YjEe.o(.text+0x4ca): In function `net_connect_to':
/home/hajo/reaim-0.5/reaim.c:527: `sys_errlist' is deprecated; use `strerror' or `strerror_r' instead

maar wat houd ik toch van debian

friemel:/home/hajo/reaim-0.5# apt-get install reaim
Reading Package Lists... Done
Building Dependency Tree... Done
The following NEW packages will be installed:
reaim
0 packages upgraded, 1 newly installed, 0 to remove and 5 not upgraded.
Need to get 18.7kB of archives. After unpacking 79.9kB will be used.
Get:1 http://belnet.dl.sourceforge.net unstable/main reaim 0.5-2 [18.7kB]
Fetched 18.7kB in 0s (33.9kB/s)
Selecting previously deselected package reaim.
(Reading database ...
26119 files and directories currently installed.)
Unpacking reaim (from .../archives/reaim_0.5-2_i386.deb) ...
Setting up reaim (0.5-2) ...
Starting Transparent proxy for IM behind NAT: reaim.

Verwijderd schreef op 24 oktober 2002 @ 12:37:
Ik heb nu Messenger versie 5 draaien en het is mogelijk om nu zonder proxy files te verzenden. Ik heb deze lines aan m'n firewall script toegevoegd en het werkt:

$IPTABLES -t nat -A PREROUTING -p tcp -d $ext_ip --dport 6891:6900 -j DNAT --to 10.11.12.15:6891:6900
$IPTABLES -A FORWARD -p tcp -d 10.11.12.15 --dport 6891:6900 -j ACCEPT

Hierin is $ext_ip m'n chello ip-adres en 10.11.12.15 het netwerk adres waarop messenger 5 draait. Bij meerdere machines in je netwerk moet je voor elke machine een poort toewijzen in 6891 -6900.

Hmm, hoe bedoel je dat met meerder machines? dat je maar 1 port forward naar een intern ip

of boven - onder die reeks gaat zitten..

Hmm.. bij mij crasht reaim met een segmentation fault als ik iets probeer te zenden.. waardoor dus msn & icq offline gaan..

Verwijderd schreef op 24 oktober 2002 @ 12:37:
Ik heb nu Messenger versie 5 draaien en het is mogelijk om nu zonder proxy files te verzenden. Ik heb deze lines aan m'n firewall script toegevoegd en het werkt:

$IPTABLES -t nat -A PREROUTING -p tcp -d $ext_ip --dport 6891:6900 -j DNAT --to 10.11.12.15:6891:6900
$IPTABLES -A FORWARD -p tcp -d 10.11.12.15 --dport 6891:6900 -j ACCEPT

Hierin is $ext_ip m'n chello ip-adres en 10.11.12.15 het netwerk adres waarop messenger 5 draait. Bij meerdere machines in je netwerk moet je voor elke machine een poort toewijzen in 6891 -6900.

Mmm dit werkt bij mij ook al niet..

Pitmaster schreef op 14 October 2002 @ 09:17:
Zo die Enlightment kan zijn bek ook niet meer laten zien hier, en terecht.

Zelfs z'n icon heeft ie geript, die was vroeger van mij, maar dan met een kleine animatie erin...

*ZUCHT*

Verwijderd schreef op 06 december 2002 @ 23:11:
[...]

Zelfs z'n icon heeft ie geript, die was vroeger van mij, maar dan met een kleine animatie erin...

*ZUCHT*

Beetje mosterd na de maaltijd lijkt me dit. De actualiteit waar je op reageert is inmiddels al zo'n 2 maanden oud.

En aangezien de replies die er onlangs zijn bijgekomen nou niet direct hebben geleid tot een boeiende discussie gaat dit topic maar dicht.