[HELP] Firestarter & aMule

cecil1789 · 15 Maggio 2007, 13:53:18

Chiedo scusa, per l'immagine, mi era proprio passato di mente, ed è la prima volta che mi succede, ero sovrappensiero.
In ogni caso, il log mi pare molto generico, non dice nulla. ma forse ho capito, ho sia moblock che l'ipfilter del mulo attivati. Forse bloccano troppi client...
è possibile?

EDIT: negativo non è nemmeno questo. le porte sono aperte, tutte quelle necessarie, ora provo a disabilitare moblock, vediamo un po'...

RIEDIT: no, non dipende nemmeno da moblock... in ogni caso, la situazione postata accade sia con iptables che con firestarter...

Walter · 15 Maggio 2007, 14:14:04

Allora, se non l'hai già fatto, prova a fare

Codice Seleziona

iptables -P OUTPUT ACCEPT
come avevo detto sopra.

Magari, prova a fare

Codice Seleziona

netstat > stat
con iptables attivo.
Poi con un

Codice Seleziona

less stat
prova ad analizzare il traffico.

P.S.: lascia stare le immagini, ho fatto io tanti di quegli errori in questo topic...
Basta che ti ricordi di oscurarle prima

firestorm86 · 15 Maggio 2007, 14:27:10

Citazione di: MsZ
P.S.: lascia stare le immagini, ho fatto io tanti di quegli errori in questo topic...

sapessi quanti ne ho fatti io in generale...

cecil1789 · 15 Maggio 2007, 14:34:42

Questo mi incuriosisce:

Codice Seleziona

Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 host-84-220-46-16:42110 gv-in-f99.google.co:www ESTABLISHED
tcp        0      0 host-84-220-46-161:1755 ip-228-86.sn2.eut:11692 TIME_WAIT  
tcp        0      0 host-84-220-46-16:41093 62.241.53.3:4242        ESTABLISHED
tcp        0  17940 host-84-220-46-161:1755 d75-153-87-234.bch:1439 ESTABLISHED
tcp        0      0 host-84-220-46-161:1755 host15-165-dynamic:4353 TIME_WAIT  
tcp        0      0 host-84-220-46-161:1755 host15-165-dynamic:4353 TIME_WAIT

Perchè? non c'è connessione UDP?

Walter · 15 Maggio 2007, 15:14:03

Non credo che c'entri qualcosa... Il mio diagramma è simile al tuo, ma aMule non ha ostacoli... Anche da me non si vede la UDP. Ho solo la porta TCP attiva in netstat, eppure ho ID alto e Kad connesso.
Prova a cambiare porte, metti valori di TCP, TCP+3 e UDP compresi tra 10000 e 65535, e setta iptables di conseguenza.
Hai provato iptables -P OUTPUT ACCEPT?

O sennò, qui ci dovrebbe essere la configurazione complessiva per aMule. Ti crei anche la catena personalizzata, con il riferimento alla catena di default INPUT:

Codice Seleziona

iptables -F
iptables -P INPUT DROP
iptables -P INPUT LOG
iptables -P OUTPUT ACCEPT
iptables -P OUTPUT LOG
iptables -N amule
iptables -A amule -p tcp -dport <TCP> -j ACCEPT
iptables -A amule -p tcp -dport <TCP+3> -j ACCEPT
iptables -A amule -p udp -dport <UDP> -j ACCEPT
iptables -A INPUT -j amule

E questa è una riga che avevo tralasciato:

Codice Seleziona

iptables -A amule -m state --state ESTABLISHED,RELATED -j ACCEPT
(L'ho presa da http://slackware-italia.com/forum/viewtopic.php?p=14042 . Dovrebbe funzionare.)

Con le righe di LOG puoi vedere l'intero log di netfilter, in entrata e in uscita, attraverso dmesg o spulciando il file /var/log/messages. Per default droppi tutti i pacchetti in arrivo e accetti tutti i pacchetti in partenza. I pacchetti in arrivo vengono analizzati e vengono fatti entrare solo quelli che corrispondono alle porte.
Con l'ultima riga fa un'analisi dello stato di ogni pacchetto. Se ha un match, che riguarda le parole ESTABILISHED e/o RELATED, netfilter li lascia passare. Scommetto che era questo il bandolo della matassa. Così com'è il firewall lascia passare solo i pacchetti che hanno relazione con la catena amule.

Io incrocio le dita...

cecil1789 · 15 Maggio 2007, 16:47:02

No, mi dava errore per quelle policy, non so perchè...
In ogni caso, non c'è modo di permettere qualsiasi porta per un'applicazione? perchè mi conviene fare così per le applicazioni che conosco...

EDIT:però ho trovato questo, che mi pare curioso

Codice Seleziona

Connessioni esterne disabilitate nel file di configurazione
perchè dovrei aver disabilitato le connessioni esterne? cosa intende per connessioni esterne?

Walter · 15 Maggio 2007, 17:11:03

Dov'è che l'hai visto?

cecil1789 · 15 Maggio 2007, 17:40:15

nel log, non lo avevo notato mai prima d'ora...

Walter · 15 Maggio 2007, 18:03:58

Cos'hai messo in 'Preferenze -> Connessioni' e 'Preferenze -> Server'?

cecil1789 · 15 Maggio 2007, 18:09:39

Ecco:

Ma non c'è modo di aggiungere aMule ad una sorta di whitelist applicazioni di iptables?

Walter · 15 Maggio 2007, 18:33:26

Metti due porte tra i 10000 e 65535; metti 400 in 'Connessioni massime'. Metti 200 in download di 'Capacità linea' e lo stesso valore per il download di 'Limiti di banda'. Metti a 32 l'upload in 'Capacità linea' e abbassa a 25 il valore di up in 'Limiti di banda'.
Abbassa a 5 i tentativi prma della rimozione dei server inattivi e togli 'Connessione sicura'.

Guarda un po'...
http://www.emule.it/guida_emule/guide/amule_firewall.asp
che magari avevamo la soluzione a portata di mano... in particolare la pagina 'Policy' nell'opzione 'Allow Service' con Firestarter. Fai prima un iptables -F per flushare.
Prova...

cecil1789 · 15 Maggio 2007, 18:43:26

Proverò a cambiare porte, e dare i settaggi che mi hai postato...

EDIT: nessun risultato

RIEDIT: l'unica cosa che mi rimane è provare in qualche modo ad aggiungere aMule come applicazione whitelist, ma non ho idea di come si faccia... e non so nemmeno se si possa fare.

Walter · 15 Maggio 2007, 19:03:48

Mi dispiace, ma questo è tutto l'aiuto che riesco a darti

Più di dirti i settaggi di iptables dalla prima all'ultima riga... puoi provare a smanettare in Firestarter, ma io non ho possibilità di riprodurre il tuo problema, quindi posso aiutarti fino ad un certo punto...

Personalmente io con un router non ho mai avuto problemi di sorta. Non ho mai avuto firewall attivi... (a parte quello del router, ovviamente.)
Se provi a disattivare del tutto tutti i firewall e lasciar andare solo aMule, fa ancora problemi?

Potresti anche provare con Shorewall
http://www.shorewall.net/
e vedere se c'è qualche evoluzione... Shorewall è un frontend ad iptables, e credo che sia un po' più semplice da impostare.

cecil1789 · 15 Maggio 2007, 19:37:47

Citazione di: MsZ
Mi dispiace, ma questo è tutto l'aiuto che riesco a darti

Più di dirti i settaggi di iptables dalla prima all'ultima riga... puoi provare a smanettare in Firestarter, ma io non ho possibilità di riprodurre il tuo problema, quindi posso aiutarti fino ad un certo punto...

Personalmente io con un router non ho mai avuto problemi di sorta. Non ho mai avuto firewall attivi... (a parte quello del router, ovviamente.)
Se provi a disattivare del tutto tutti i firewall e lasciar andare solo aMule, fa ancora problemi?

Potresti anche provare con Shorewall
http://www.shorewall.net/
e vedere se c'è qualche evoluzione... Shorewall è un frontend ad iptables, e credo che sia un po' più semplice da impostare.

Io ti ringrazio, per la tua pazienza ed assistenza. so che è un problema particolare... ho anche cercato di installare tuxguardian, ma non è stato pacchettizzato, e pare mi manchi qualche componente per farlo funzionare e compilarlo... proverò shorewall...

cecil1789 · 16 Maggio 2007, 10:26:58

Volevo solo comunicare che infine ho risolto, semplicemente flushando tutte le regole dell'iptables, e reinstallando aMule...

News:

[HELP] Firestarter & aMule