02.04.2016, 14:23
(Dieser Beitrag wurde zuletzt bearbeitet: 02.04.2016, 14:53 von Mareta Dagostino.)
Liebe Kenner der Materie,
seit zwei Wochen versuche ich eine Virtuelle Maschine mit OpenSim ans Laufen zu kriegen, verzweifele aber an den Portregeln. Jede Fundstelle im Internet treibt eine andere Sau durchs Dorf, aber nix geht davon bisher. Fehlermeldung: "No route to host".
Das Problem sind die UDP Ports. Mit TCP funktioniert es problemlos. Wer kennt sich mit den benötigten Regeln aus und hat vielleicht Tipps? Die Syntax zum Einzufügen "beliebiger" Regeln denke ich inzwischen drauf zu haben ... deshalb zeige ich hier nur die Regeln und nicht die Kommandos zur Erstellung derselben.
Hier die aus meiner Sicht plausibelsten Regeln. "virbr0" ist die virtuelle Ethernetkarte, "192.168.122.42" die zugehörige IP. Ich habe hier jeweils Zeilen "----- automatisch gefüllt ------" eingefügt. Darüber sind von mir selbst gemachte Regeln, die Regeln darunter kann ich nicht beeinflussen. (Meine gewöhnliche Firewall ist hier aus.)
(INPUT und OUTPUT sollten nicht relevant sein, weil (hier zum Üben) die Default Policy ACCEPT gilt und automatisch nur weitere ACCEPT Regeln eingefügt wurden.)
Hinweg (reinwärts), wie ich ihn verstehe...
PREROUTING: Wenn das Paket von irgendwoher kommt und an meine externe IP (hier 1.2.3.4) geschickt wird, dann werden die vier Ports 22, 9010, 9011 und 9012 auf die interne IP (192.168.122.42) umgeleitet.
FORWARD: Kommt irgendeine neue Verbindung an, die zur internen IP-Adresse auf virbr0 geschickt werden soll, wird sie im Falle der vier expliziten Ports weitergeleitet. Für bereits bestehende Verbindungen wurden bereits automatisch Umleitungen gesetzt.
POSTROUTING: Keine Regel zieht für die vier Ports.
Rückweg (rauswärts), wie ich ihn verstehe...
PREROUTING: Keine Regel zieht für die vier Ports.
FORWARD: bereits automatisch wird alles, was von virbr0 aus dem Adressband 192.168.122.0/24 kommt, nach überall hin weitergeleitet.
POSTROUTING: Für alles, was aus dem IP-Band 192.168.122.0/24 kommt und nicht (deshalb "!" ) ins selbe IP-Band weiter soll bekommt bereits automatisch per MASQUERADING als Absender die externe IP-Adresse verpasst.
Auffälligkeiten:
- Die FORWARD Regeln haben kein einziges Byte Daten erfasst, das gehört aber wohl so: Entfernen der Forward-Regeln gibt "Connection refused".
- Die PREROUTING und POSTROUTING Regeln haben Datenverkehr auf TCP erfasst, aber keinen auf UDP.
Viele Grüße,
Mareta
seit zwei Wochen versuche ich eine Virtuelle Maschine mit OpenSim ans Laufen zu kriegen, verzweifele aber an den Portregeln. Jede Fundstelle im Internet treibt eine andere Sau durchs Dorf, aber nix geht davon bisher. Fehlermeldung: "No route to host".
Das Problem sind die UDP Ports. Mit TCP funktioniert es problemlos. Wer kennt sich mit den benötigten Regeln aus und hat vielleicht Tipps? Die Syntax zum Einzufügen "beliebiger" Regeln denke ich inzwischen drauf zu haben ... deshalb zeige ich hier nur die Regeln und nicht die Kommandos zur Erstellung derselben.
Hier die aus meiner Sicht plausibelsten Regeln. "virbr0" ist die virtuelle Ethernetkarte, "192.168.122.42" die zugehörige IP. Ich habe hier jeweils Zeilen "----- automatisch gefüllt ------" eingefügt. Darüber sind von mir selbst gemachte Regeln, die Regeln darunter kann ich nicht beeinflussen. (Meine gewöhnliche Firewall ist hier aus.)
Code:
Chain PREROUTING (policy ACCEPT 69 packets, 4298 bytes)
pkts bytes target prot opt in out source destination
0 0 DNAT udp -- * * 0.0.0.0/0 1.2.3.4 udp dpt:9012 to:192.168.122.42:9012
0 0 DNAT udp -- * * 0.0.0.0/0 1.2.3.4 udp dpt:9011 to:192.168.122.42:9011
8 480 DNAT tcp -- * * 0.0.0.0/0 1.2.3.4 tcp dpt:9010 to:192.168.122.42:9010
0 0 DNAT tcp -- * * 0.0.0.0/0 1.2.3.4 tcp dpt:22 to:192.168.122.42:22
---- automatisch gefüllt ------
Code:
Chain POSTROUTING (policy ACCEPT 36 packets, 2568 bytes)
pkts bytes target prot opt in out source destination
---- automatisch gefüllt ------
0 0 RETURN all -- * * 192.168.122.0/24 224.0.0.0/24
0 0 RETURN all -- * * 192.168.122.0/24 255.255.255.255
15 900 MASQUERADE tcp -- * * 192.168.122.0/24 !192.168.122.0/24 masq ports: 1024-65535
0 0 MASQUERADE udp -- * * 192.168.122.0/24 !192.168.122.0/24 masq ports: 1024-65535
0 0 MASQUERADE all -- * * 192.168.122.0/24 !192.168.122.0/24
Code:
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- * virbr0 0.0.0.0/0 192.168.122.42 udp dpt:9012 ctstate NEW
0 0 ACCEPT udp -- * virbr0 0.0.0.0/0 192.168.122.42 udp dpt:9011 ctstate NEW
0 0 ACCEPT tcp -- * virbr0 0.0.0.0/0 192.168.122.42 tcp dpt:9010 ctstate NEW
0 0 ACCEPT tcp -- * virbr0 0.0.0.0/0 192.168.122.42 tcp dpt:22 ctstate NEW
---- automatisch gefüllt ------
0 0 ACCEPT all -- * virbr0 0.0.0.0/0 192.168.122.0/24 ctstate RELATED,ESTABLISHED
0 0 ACCEPT all -- virbr0 * 192.168.122.0/24 0.0.0.0/0
0 0 ACCEPT all -- virbr0 virbr0 0.0.0.0/0 0.0.0.0/0
0 0 REJECT all -- * virbr0 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- virbr0 * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Code:
Chain INPUT (policy ACCEPT 83 packets, 9815 bytes)
pkts bytes target prot opt in out source destination
---- automatisch gefüllt ------
0 0 ACCEPT udp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
1 328 ACCEPT udp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:67
0 0 ACCEPT tcp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
Code:
Chain OUTPUT (policy ACCEPT 81 packets, 5899 bytes)
pkts bytes target prot opt in out source destination
---- automatisch gefüllt ------
1 328 ACCEPT udp -- * virbr0 0.0.0.0/0 0.0.0.0/0 udp dpt:68
(INPUT und OUTPUT sollten nicht relevant sein, weil (hier zum Üben) die Default Policy ACCEPT gilt und automatisch nur weitere ACCEPT Regeln eingefügt wurden.)
Hinweg (reinwärts), wie ich ihn verstehe...
PREROUTING: Wenn das Paket von irgendwoher kommt und an meine externe IP (hier 1.2.3.4) geschickt wird, dann werden die vier Ports 22, 9010, 9011 und 9012 auf die interne IP (192.168.122.42) umgeleitet.
FORWARD: Kommt irgendeine neue Verbindung an, die zur internen IP-Adresse auf virbr0 geschickt werden soll, wird sie im Falle der vier expliziten Ports weitergeleitet. Für bereits bestehende Verbindungen wurden bereits automatisch Umleitungen gesetzt.
POSTROUTING: Keine Regel zieht für die vier Ports.
Rückweg (rauswärts), wie ich ihn verstehe...
PREROUTING: Keine Regel zieht für die vier Ports.
FORWARD: bereits automatisch wird alles, was von virbr0 aus dem Adressband 192.168.122.0/24 kommt, nach überall hin weitergeleitet.
POSTROUTING: Für alles, was aus dem IP-Band 192.168.122.0/24 kommt und nicht (deshalb "!" ) ins selbe IP-Band weiter soll bekommt bereits automatisch per MASQUERADING als Absender die externe IP-Adresse verpasst.
Auffälligkeiten:
- Die FORWARD Regeln haben kein einziges Byte Daten erfasst, das gehört aber wohl so: Entfernen der Forward-Regeln gibt "Connection refused".
- Die PREROUTING und POSTROUTING Regeln haben Datenverkehr auf TCP erfasst, aber keinen auf UDP.
Viele Grüße,
Mareta