Firewalleinstellungen für TS3 Server, Minecraft und co. mit DNS Problemen

SW1 · 3. Mai 2012

Hallo zusammen,

frei nach dem Motto geschlossene Ports sind besser als offene wollte ich nachdem ich alles funktionierend konfiguriert hatte (Minecraft, TS3, Sourceserver), alle unnötigen Ports per Drop Regel verschliessen.

Nun scheint allerdings ein DNS Problem vorzuliegen, ich habe bereits die Well Known Ports 1:1024 im VCP testweise freigegeben (in out tcp udp). Zusätzlich habe ich für den DNS Regeln erstellt, port 53 auf 1024:65535 (incoming udp tcp) und von 1024:65535 auf 53 (outgoing udp tcp).

Wenn ich jetzt z.b. accounting.teamspeak.com pingen will (TS3 bringt den Fehler could not connect to Authentication Server) bekomme ich nur "sendmsg: Permission denied". Wenn ich die allgemeine Drop Regel für die Outgoing Ports entferne, lässt sich jede Seite einwandfrei pingen.
Was mache ich falsch bzw. was muss ich noch definieren?

martin\ · 3. Mai 2012

Wenn du deinen Server gut konfigurierst, dann brauchst du keine Ports zu schließen. Weil wo kein Dienst, da kein offener Port.

Zum Thema: Sehe ich das richtig, du hast outgoing Port 1 bis 1024 geschlossen?

SW1 · 3. Mai 2012

Ich hatte sie geschlossen mit ein paar Ausnahmen, das Problem ist allerdings auch mit outgoing 0:1024 freigegeben vorhanden

Die FW Einstellungen sind mehr eine Vorsichtsmaßnahme sollte es mal dicke kommen.
Nur sollte es ja eigentlich mit den freigegebenen Ports gehen, mit netstat bekomme ich auch nicht weitere Ports heraus die noch fehlen!

perryflynn · 3. Mai 2012

Outgoin komplett offen lassen
INPUT Default Rule auf DROP
Ports für Deine Dienste auf ACCEPT setzen
ACCEPT für STATE = ESTABLISHED,RELATED

Ansonsten kann der Server selbst keine Verbindungen mehr aufbauen.

Elradon · 3. Mai 2012

Bezüglich den Teamspeak-Ports und der Fehlermeldung von Teamspeak

SW1 · 3. Mai 2012

@ Elradon

Die Ports habe ich alle eingetragen. Daher ist es umso verwunderlicher das er trotzdem nicht mit dem account Server reden kann. Das kann dann wie gesagt an der DNS Geschichte liegen.

@ Sim

So hatte ich das gehandhabt allerdings ohne das STATE Attribut, ich werde das am Wochenende nochmal versuchen. Danke

perryflynn · 4. Mai 2012

Moin,

wenn Du das STATE Accept nicht einträgst, kann der Server selbst zwar Verbindungen nach außen Aufbauen, aber die Gegenseite kann nicht antworten. Dementsprechend passiert bei DNS Abfragen, APT Updates usw natürlich mehr oder weniger gar nichts.

SW1 · 4. Mai 2012

@ Sim

Danke! Es funktioniert jetzt einwandfrei!

Thumper · 9. Mai 2012

Zitat von sim

Outgoin komplett offen lassen
INPUT Default Rule auf DROP
Ports für Deine Dienste auf ACCEPT setzen
ACCEPT für STATE = ESTABLISHED,RELATED

Nachdem ich vor der Firewall auch erstmal verzweifelt stand, habe ich dies wie von sim beschreiben eingestellt doch es ging immernoch nicht.

Erst alls ich STATE=NEW,ESTABLISHED,RELATED gesetzt hatte ging es. Nur mal so als Anmerkung, falls hier jemand auf dieses Problem stößt.

perryflynn · 9. Mai 2012

Ein NEW darf hier aber nur bei expliziten Portfreigaben verwendet werden. Meine Ausführungen bezogen sich auf eine separate Regel, welche ankommenden Traffic den der Server selbst ausgelöst hat (Email verschicken, DNS abfragen) rein lässt.

Siehe Anhang:
download.png

Bei Portfreigaben für SSH, TS3 usw stimmt das natürlich.
Aber dann kann man den STATE auch gleich weg lassen.