neuernick
Goto Top

Monowall Firewall, P2P und Filesharing unterbinden

Nachdem ich die Monowall zum Laufen gebracht habe &error=474551#474551 hier lesen fehlt nur noch die richtige Firewalleinstellung. Ich habe wegen der Übersichtlichkeit (und späterer Suchbarkeit) ein extra Thema aufgemacht.

Ich möchte in der Monowall so ziemlich alles sperren, außer HTTP(S), E-Mail, SKYPE, ICQ, MSN.
Dazu habe ich folgende Regeln erstmal als geblockt eingetragen (Lan Interface & TCP/UDP)
61bd0077513261c160272c1ea939295b-screen
412	DirectConnect
1044	Direct File Express
1045	Direct File Express
1214	Grokster, KaZaA
4329	iMesh
4661	EDonkey 2000 Server, eMule server
4662	EDonkey 2000, Overnet, eMule
4665	EDonkey 2000
4762	EMule Client
5500	Hotline Connect
5501	Hotline Connect
5502	Hotline Connect
5503	Hotline Connect
6346	Gnutella Protocol
6347	Gnutella Protocol
6969	BitTorrent tracker port
6881 to 6889	Gnutella Protocol and BitTorrent
7668	Aimster/Madster
8080	hotComm
8311	Scour
8888	AudioGnome, OpenNap, Swaptor
8889	AudioGnome, OpenNap
28864	hotComm
28865	hotComm
41170	Blubster

Mein Problem: jetzt geht garnichtsmehr raus (außer utorrent den die monowall nicht stört).
Erst wenn ich "allow all tcp/udp from * to *" erlaube komm ich wieder raus.
Wenn ich jetzt aber die Standardports nochmal explizit erlaube (80, 8080, 21, ...) komme ich trotzdem nicht raus.
Kann mir jemand weiterhelfen? Interface stimmt ja LAN?!
Was mach ich falsch?

EDIT:

Hier mal ne Config mit allen erlaubten Ports und den rest soll er blocken
b2520cfdc9db9793936c3229ca0ceb26-unbenannt
Geht leider auch nicht


EDIT 2 LÖSUNG

Also das ist die Lösung für das Problem face-smile
Source Port auf "any" stellen =)

6b5e0736e9d6a8951c3daf8a828b87a3-loesung

Content-ID: 124501

Url: https://administrator.de/forum/monowall-firewall-p2p-und-filesharing-unterbinden-124501.html

Ausgedruckt am: 25.12.2024 um 05:12 Uhr

knut4linux
knut4linux 08.09.2009 um 21:49:02 Uhr
Goto Top
Mahlzeit,

Ich löse mein Firewallgeschichten mit iptables & Co. Monowoll macht ja im prinzip nichts anderes. Es scheint mir fast so, (Ne lachen wenn ich falsch liege) dass du nirgends raus kommst, weil du den Dienst "DNS" nicht forwardest. Zumindest scheint es mir so. Denn das würde mir erklären warum es geht, wenn du alles aufmachst. Wie könnte man es beweisen? Geb mal in deinem Browser bei aktivierter Firewall die IP-Adressse von google (74.125.77.104) ein ( nur als bsp): Wenn es geht, ist der Fall fast klar, weil ich immernoch nicht verstehe warum es utorrent nicht juckt.


Hier mal die Freigabedetails
DNS
Port: 53
Protokoll: UDP

Etwas anderes würde mir dazu nicht einfallen. Wenn ich auf meinen Router UDP/53 cancel, geht da auch nichts mehr.
NeuerNick
NeuerNick 08.09.2009 um 22:28:30 Uhr
Goto Top
Hey,
53er Port habe ich auch zugelassen. Ping löst den Namen auch auf kann aber nicht anpingen.

Ich habe oben meinen Beitrag erweitert. Hab mal alles eingetragen was durch darf und alles andere soll er blocken. In der Monowall steht noch dabei:
Hint:
Rules are evaluated on a first-match basis (i.e. the action of the first rule to match a packet will be executed). This means that if you use block rules, you'll have to pay attention to the rule order. Everything that isn't explicitly passed is blocked by default. 


Also sollte das theoretisch funktionieren...
NeuerNick
NeuerNick 08.09.2009 um 22:50:15 Uhr
Goto Top
Es geht! Als Source Port DARF nicht der selbe Port eingetragen sein wie Destination. Source muss auf ANY stehn, dann klappts auch =)
knut4linux
knut4linux 08.09.2009 um 23:07:30 Uhr
Goto Top
So einfach kann die Lösung sein face-wink