Koozali.org: home of the SME Server
Other Languages => Deutsch => Topic started by: ed_2 on March 19, 2007, 09:00:49 PM
-
Hi,
ich versuche eine anwendung auf meinem server laufen zu lassen und müsste den UDP port 20248 vom I-Net aus erreichen und senden.
Wie kann ich das einstellen?
Das Contrip Port Opening habe ich schon installiert aber damit geht es nicht.
Das ist der sme 7.1 als allein Server hinter einem Router der den Port aus dem I-Net an die IP des Servers weiterleitet.
Im Log von IPTables steht folgendes:
@4000000045feca37261abce4 Mar 19 18:36:45 smeserver denylog: IN=eth0 OUT= MAC=e1:08:c8:99:97:ed:00:a0:c5:ec:88:f1:08:00 SRC=84.187.54.146 DST=192.168.0.181 LEN=128 TOS=00 PREC=0x00 TTL=55 ID=0 DF PROTO=UDP SPT=20248 DPT=20248 LEN=108
-
Meine iptables sieht so aus:
[root@smeserver iptables]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
state_chk all -- anywhere anywhere
local_chk all -- anywhere anywhere
PPPconn all -- anywhere anywhere
denylog all -- BASE-ADDRESS.MCAST.NET/4 anywhere
denylog all -- anywhere BASE-ADDRESS.MCAST.NET/4
InboundICMP icmp -- anywhere anywhere
denylog icmp -- anywhere anywhere
InboundTCP tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN
denylog tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN
InboundUDP udp -- anywhere anywhere
denylog udp -- anywhere anywhere
gre-in gre -- anywhere anywhere
denylog gre -- anywhere anywhere
denylog all -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp dpt:20248
Chain FORWARD (policy DROP)
target prot opt source destination
state_chk all -- anywhere anywhere
local_chk all -- anywhere anywhere
ForwardedTCP tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN
ForwardedUDP udp -- anywhere anywhere
denylog all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
PPPconn all -- anywhere anywhere
denylog all -- BASE-ADDRESS.MCAST.NET/4 anywhere
denylog all -- anywhere BASE-ADDRESS.MCAST.NET/4
ACCEPT all -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp dpt:20248
Chain ForwardedTCP (1 references)
target prot opt source destination
ForwardedTCP_7212 all -- anywhere anywhere
denylog tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN
Chain ForwardedTCP_7212 (1 references)
target prot opt source destination
Chain ForwardedUDP (1 references)
target prot opt source destination
ForwardedUDP_7212 all -- anywhere anywhere
denylog udp -- anywhere anywhere
Chain ForwardedUDP_7212 (1 references)
target prot opt source destination
Chain InboundICMP (1 references)
target prot opt source destination
InboundICMP_7212 all -- anywhere anywhere
denylog icmp -- anywhere anywhere
Chain InboundICMP_7212 (1 references)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere icmp echo-reply
ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere icmp source-quench
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp parameter-problem
denylog all -- anywhere anywhere
Chain InboundTCP (1 references)
target prot opt source destination
InboundTCP_7212 all -- anywhere anywhere
denylog tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN
Chain InboundTCP_7212 (1 references)
target prot opt source destination
denylog all -- anywhere !smeserver.pc2.local
REJECT tcp -- anywhere smeserver.pc2.local tcp dpt:auth reject-with tcp-reset
ACCEPT tcp -- anywhere smeserver.pc2.local tcp dpt:ftp
ACCEPT tcp -- anywhere smeserver.pc2.local tcp dpt:http
ACCEPT tcp -- anywhere smeserver.pc2.local tcp dpt:https
ACCEPT tcp -- anywhere smeserver.pc2.local tcp dpt:1723
ACCEPT tcp -- anywhere smeserver.pc2.local tcp dpt:smtp
ACCEPT tcp -- anywhere smeserver.pc2.local tcp dpt:ssh
ACCEPT tcp -- anywhere smeserver.pc2.local tcp dpt:smtps
Chain InboundUDP (1 references)
target prot opt source destination
InboundUDP_7212 all -- anywhere anywhere
denylog udp -- anywhere anywhere
Chain InboundUDP_7212 (1 references)
target prot opt source destination
denylog all -- anywhere !smeserver.pc2.local
ACCEPT udp -- anywhere smeserver.pc2.local udp dpt:20248
ACCEPT udp -- anywhere anywhere udp dpt:20248
Chain PPPconn (2 references)
target prot opt source destination
PPPconn_1 all -- anywhere anywhere
Chain PPPconn_1 (1 references)
target prot opt source destination
Chain denylog (19 references)
target prot opt source destination
DROP udp -- anywhere anywhere udp dpt:router
DROP udp -- anywhere anywhere udp dpts:netbios-ns:netbios-ssn
DROP tcp -- anywhere anywhere tcp dpts:netbios-ns:netbios-ssn
ULOG all -- anywhere anywhere ULOG copy_range 0 nlgroup 1 prefix `denylog:' queue_threshold 1
DROP all -- anywhere anywhere
Chain gre-in (1 references)
target prot opt source destination
denylog all -- anywhere !smeserver.pc2.local
ACCEPT all -- anywhere anywhere
Chain local_chk (2 references)
target prot opt source destination
local_chk_7212 all -- anywhere anywhere
Chain local_chk_7212 (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- 192.168.0.0/24 anywhere
Chain state_chk (2 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
[root@smeserver iptables]#
-
Vielleicht hilft die Folgendes?
Im Verzeichnis
/etc/e-smith/templates-custom/etc/rc.d/init.d/masq
Eine Datei z.B.
46AllowPort20248
anlegen mit Inhalt
{
$OUT = allow_udp_in(20248, 1);
}
Dann noch die Datei chmod 0644 machen, signal-event post-upgrade; signal-event reboot und es könnte gehen.
-
HI,
das Verzeichniss:
/etc/e-smith/templates-custom/etc/rc.d/init.d/masq
habe ich gar nicht.
Ich habe nur das Verzeichniss:
/etc/e-smith/templates-custom/etc/httpd/conf/http.conf
und in dem Verzeichniss eine Datei
85DefaultAccess
mfg
ed_2
-
Das Verzeichnis sollte vorher angelegt werden, es dient dazu das die dort gemachten Einstellungen auch nach einem Systemupdate erhalten bleiben, andernfalls wären alle selbstgemachten Einstellungen nach einen signal-event post-upgrade verlohren.
Hatte als ich das erstemal das Template System von SME7 Server sah auch gedacht "Was soll den das?" aber es hat wirklich Vorteile.
SME7 Server arbeitet mit Config Dateien, die er selbst aus Templates erstellt, darum macht es auch keinen Sinn die Config Dateien in /etc zu ändern, sie würden beim Neustart überschrieben werden.
Für jede Config Datei gibt es eine Gerüst aus meißt mehreren Dateien das die Config Datei zusammenbauen, diese Templates liegen im /etc/e-smith/templates/ Verzeichnis.
Ändern die Programmierer diese Dateien wird das Update gemacht wärend das System mit den alten Einstellungen weiterläuft, erst beim Neustart werden die neuen Werte übernommne und genutzt, ist schon irgendwie Toll erdacht von den SME Machern.
Jetzt wird Mancher fragen "Aber was ist mit Änderungen die ich selbst gemacht habe, die werden ja nach einem solchen Update überschrieben?"
Aber das ist das eigentlich Geniale an der Sache in den Ordner /etc/e-smith/templates/ vorhandene Unterverzeichnisse und Dateien, kann man bei Bedarf nach /etc/e-smith/templates-custom/ kopieren und bearbeiten, oder besser selber Dateien und Verzeichnisse nach Vorlage von /etc/e-smith/templates/ anlegen die nur die Werte enthalten die man zusätzlich oder Anders haben will, beim signal-event post-upgrade Prozess werden dann diese Werte mit in die Config Dateien kopiert und man hat seine eigenen Änderungen dauerhaft auch wenn es ein System Update gibt.
Es hört sich zwar etwas Kompliziert an, aber durch dieses Verfahren ist der SME 7 Server ähnlichen Lösungen vorraus und erlaubt es Einsteigern wie Fortgeschrittenen ihre speziellen Bedürfnisse zu verwirklichen.