Topic: Nochmal Teamspeak und iptables

[Conti]

Hallo,

ich habe ein Problem mit Teamspeak und bekomme das nicht gelöst. Der Zugriff aus dem LAN funktioniert problemlos, der Zugriff vom Internet nicht.

Der SME ist als Server-only installiert. Zugriff vom Internet erfolgt über einen NAT Router.

Ich konnte das Problem, glaube ich zumindest, lokalisieren. Das Logfile von iptables zeigt folgendes an:

Code: [Select]


2007-03-02 20:07:04.148453500 Mar  2 20:07:04 server3 denylog: IN=eth0 OUT= MAC=00:01:03:c6:ed:30:00:15:0c:c3:84:20:08:00  SRC=80.137.x.x DST=192.168.0.60 LEN=208 TOS=00 PREC=0x00 TTL=125 ID=21423 PROTO=UDP SPT=61351 DPT=8767 LEN=188


iptables -L spuckt u.a. folgendes aus:

Code: [Select]


ACCEPT     udp  --  anywhere             anywhere            udp dpt:8767


Frage 1: Wie kann ich das Problem lösen
Frage 2: Kann man bei iptables einen Counter aktivieren? Damit man sieht, welche Einträge matchen?
Frage 3: Gibt's ne GUI für iptables wenn der SME als Server-only läuft?[/code]

[capri]

Könnte ein Problem mit dem Port sein, versuch mal am Router und auf den SME Server (Port Weiterleitung) den Port UDP 8767 freizugeben.

[Conti]

Das kann nicht sein.

1. Der Router ist hier aussen vor. Die Pakete erreichen den SME ja. D.h. die Port-Weiterleitung funktioniert.

2. Port-Weiterleitung auf dem SME macht keinen Sinn. Der SME arbeitet als Server-Only. Wohin soll ich denn da Pakete weiterleiten?

[capri]

Also verstehe ich das Richtig, die Klients hängen am Router, der SME auch diehnt aber nur als Server für Internetdienste?

Dann würde ich doch sagen, schalten den benannten Port bei deinem Router frei, dann sollte es gehen, denn was du da dann betreibst ist ja keine Betrieb Server mit Klienten sondern Server und andere Rechner hängen an einr Leitung, oder sehe ich das Falsch?

Mal ne Erklärung, weil das Thema ja schon in anderen Threads ähnlich auftauchte.

Es geht um das generelle Verständnis was ist ein Server.

Ein Server ist ein Gerät das mehrere Klienten mehr oder minder weitreichend Verwaltet und diesen Geräten Dienste zur Verfügung stellt.

Eine Router ist KEIN Server, auch wenn er ein paar der möglichen Serverdienste bereitstellen kann.

Sinnvoller Aufbau eine Home Netzwerkes.

Router/DSL Modem - für die Verbindung mit dem Internet, im Fall eines Routers kann der so ein eingestellt werden das er alle eingehenden Packete zum Server leitet und Dienste wie dynaDNS oder Portsperrung etc. erledigt, der eingebaute DHCP und eventuell auch der DNS Server sollte deaktiviert sein.

Server - Der Master des Netzwerkes, stellt Dienste bereit sorgt für das Routing und eventuelle auch für die Sicherheit, versorgt die Klienten mit IP Adressen, DNS Informationen und agiert als PDC (Primary Domain Kontroller) für Windows Netzwerkdienste.

Switch/Hub - Verbindet die Klienten mit der localen Schnittstelle des  Servers.

Klienten - Rechner im Netzwerk die über den Server in das Internet kommen und von Server relevante Informationen und Dienste zur Verfügung gestellt bekommen.

Das ist eine recht vereinfachte Darstellung, aber sollte helfen zu verstehen auf was es bei einer einfachen Netzwerktopographie ankommt, die Methode alle Rechner am Router anzuschliessen ist zwar einfach aber Murks und bringt nur Nachteile und Sicherheitsrisiken, auch wenn so ein Netzwerk schneller Installiert ist.

Für Spiele und Internet-Anwendungen die eine DMZ (demilitarisierte Zone) erfodern, und deren es leider noch imner Einige gibt, ist Folgende unsichere Lösung aber möglich.

Klienten ( angenommene IP 192.168.1.57) doch am Router anschliessen und auf den Router einstellen DMZ 192.168.157 allow, dann funktionieren diese Anwendungen, aber zum Preis das ganze Netzwerk erheblich unsicherer zu machen.

Noch ne kleine Anmerkung ICQ gehört in kein Netzwerk das nur ein bisschen Wert auf Sicherheit legt, ICQ und sein Protocoll ist so unsicher das nur echte Profis es schaffen das sicher in einem Netzwerk betreiben zu können, liebr verzichtet man auf das.

[Conti]

Es ist zwar nett gemeint, aber du erklärst den ganzen Kram dem Falschen Ich habe beruflich mit Netzen zu tun und kenne mich recht gut damit aus.

Wo die Clients hängen ist völlig egal in meinem Fall. Denk dir die Clients einfach weg. Ich habe ein ganz typisches Szenario bei mir:

Internet -> Router -> Switch -> Server.

Dann würde ich doch sagen, schalten den benannten Port bei deinem Router frei, dann sollte es gehen, denn was du da dann betreibst ist ja keine Betrieb Server mit Klienten sondern Server und andere Rechner hängen an einr Leitung, oder sehe ich das Falsch?

Wo ist der Unterschied?

Was bitte hat der Router mit meinem Problem zu tun? Wenn das iptables Logfile auf dem SME anzeigt, dass eingehende Pakete auf UDP 8767 geblockt werden, dann ist der Router raus aus dem Spiel - er funktioniert. Der Fehler sollte irgendwo beim SME zu suchen sein. Leider weiss ich nicht, wo und wie ich weiter suchen soll.

[stefan24]

Ich weiss nicht, wie das mit anderen Diensten aussieht, aber der SME Server unterscheidet beim Zugriff auf https://.../server-manager ganz klar, ob der User aus dem internen (lokalen) Netz kommt oder von außerhalb und verweigert den Zugriff im letzteren Fall.

Du kannst andere Subnetze als lokal definieren, aber das wird bei Dir nicht klappen, da Du wohl bzgl. Teamspeak alles von außerhalb zulassen möchtest, richtig?

Deklarier das bitte im Bugtracker des SME Servers (URL siehe ganz oben)  als Fehler. Dort sitzen die Entwickler, die genau wissen, was da schiefläuft und wie und wo da man was umstellen muss.

[Conti]

Ja, sowas habe ich auch schon im Forum gelesen:

http://forums.contribs.org/index.php?topic=35529.0

Habe das auch versucht, leider vergebens.

Du kannst andere Subnetze als lokal definieren, aber das wird bei Dir nicht klappen, da Du wohl bzgl. Teamspeak alles von außerhalb zulassen möchtest, richtig?

Naja, nicht alles. Aber ein paar Dienste wären schon sinnvoll. So zB Teamspeak.

Ich werde mit den Bugtracker mal anschauen. Danke.