iptables für cs Server

lima-city → Forum → Die eigene Homepage → Sicherheit im Internet

Autor dieses Themas

22:00, 2.2.2013

Hallo zusammen =)

Ich hab auf meinem Root ein CS server aufgesetzt. Funktioniert soweit alles gut (leider nur wenn iptables alles offen lassen).
Hier mein iptables Rules:

#! /bin/sh
# Bestehende Tables löschen
iptables -F

# Alle eingehenden Verbindungen verbieten
iptables -P INPUT DROP
iptables -P FORWARD DROP

# Alle ausgehenden erlauben
iptables -P OUTPUT ACCEPT

# Weiteren Dienst (UDP) erlauben, zum Beispiel Gameserver
# CS Server 1.6 und STEAM
# UDP
iptables -A INPUT -j ACCEPT -p udp --dport 1200
iptables -A INPUT -j ACCEPT -p udp --dport 4380
iptables -A INPUT -j ACCEPT -p udp --dport 3478
iptables -A INPUT -j ACCEPT -p udp --dport 4379
iptables -A INPUT -j ACCEPT -p udp --dport 27000
iptables -A INPUT -j ACCEPT -p udp --dport 27001
iptables -A INPUT -j ACCEPT -p udp --dport 27002
iptables -A INPUT -j ACCEPT -p udp --dport 27003
iptables -A INPUT -j ACCEPT -p udp --dport 27004
iptables -A INPUT -j ACCEPT -p udp --dport 27005
iptables -A INPUT -j ACCEPT -p udp --dport 27006
iptables -A INPUT -j ACCEPT -p udp --dport 27007
iptables -A INPUT -j ACCEPT -p udp --dport 27008
iptables -A INPUT -j ACCEPT -p udp --dport 27009
iptables -A INPUT -j ACCEPT -p udp --dport 27010
iptables -A INPUT -j ACCEPT -p udp --dport 27011
iptables -A INPUT -j ACCEPT -p udp --dport 27012
iptables -A INPUT -j ACCEPT -p udp --dport 27013
iptables -A INPUT -j ACCEPT -p udp --dport 27014
iptables -A INPUT -j ACCEPT -p udp --dport 27015
iptables -A INPUT -j ACCEPT -p udp --dport 27016
iptables -A INPUT -j ACCEPT -p udp --dport 27017
iptables -A INPUT -j ACCEPT -p udp --dport 27018
iptables -A INPUT -j ACCEPT -p udp --dport 27019
iptables -A INPUT -j ACCEPT -p udp --dport 27020
iptables -A INPUT -j ACCEPT -p udp --dport 27021
iptables -A INPUT -j ACCEPT -p udp --dport 27022
iptables -A INPUT -j ACCEPT -p udp --dport 27023
iptables -A INPUT -j ACCEPT -p udp --dport 27024
iptables -A INPUT -j ACCEPT -p udp --dport 27025
iptables -A INPUT -j ACCEPT -p udp --dport 27026
iptables -A INPUT -j ACCEPT -p udp --dport 27027
iptables -A INPUT -j ACCEPT -p udp --dport 27028
iptables -A INPUT -j ACCEPT -p udp --dport 27029
iptables -A INPUT -j ACCEPT -p udp --dport 27030
iptables -A INPUT -j ACCEPT -p udp --dport 27031
iptables -A INPUT -j ACCEPT -p udp --dport 27032
iptables -A INPUT -j ACCEPT -p udp --dport 27033
iptables -A INPUT -j ACCEPT -p udp --dport 27034
iptables -A INPUT -j ACCEPT -p udp --dport 27035
iptables -A INPUT -j ACCEPT -p udp --dport 27036
iptables -A INPUT -j ACCEPT -p udp --dport 27037
iptables -A INPUT -j ACCEPT -p udp --dport 27038
iptables -A INPUT -j ACCEPT -p udp --dport 27039
iptables -A INPUT -j ACCEPT -p udp --dport 27040


# TCP
iptables -A INPUT -j ACCEPT -p tcp --dport 1200
iptables -A INPUT -j ACCEPT -p tcp --dport 27000
iptables -A INPUT -j ACCEPT -p tcp --dport 27001
iptables -A INPUT -j ACCEPT -p tcp --dport 27002
iptables -A INPUT -j ACCEPT -p tcp --dport 27003
iptables -A INPUT -j ACCEPT -p tcp --dport 27004
iptables -A INPUT -j ACCEPT -p tcp --dport 27005
iptables -A INPUT -j ACCEPT -p tcp --dport 27006
iptables -A INPUT -j ACCEPT -p tcp --dport 27007
iptables -A INPUT -j ACCEPT -p tcp --dport 27008
iptables -A INPUT -j ACCEPT -p tcp --dport 27009
iptables -A INPUT -j ACCEPT -p tcp --dport 27010
iptables -A INPUT -j ACCEPT -p tcp --dport 27011
iptables -A INPUT -j ACCEPT -p tcp --dport 27012
iptables -A INPUT -j ACCEPT -p tcp --dport 27013
iptables -A INPUT -j ACCEPT -p tcp --dport 27014
iptables -A INPUT -j ACCEPT -p tcp --dport 27015
iptables -A INPUT -j ACCEPT -p tcp --dport 27016
iptables -A INPUT -j ACCEPT -p tcp --dport 27017
iptables -A INPUT -j ACCEPT -p tcp --dport 27018
iptables -A INPUT -j ACCEPT -p tcp --dport 27019
iptables -A INPUT -j ACCEPT -p tcp --dport 27020
iptables -A INPUT -j ACCEPT -p tcp --dport 27021
iptables -A INPUT -j ACCEPT -p tcp --dport 27022
iptables -A INPUT -j ACCEPT -p tcp --dport 27023
iptables -A INPUT -j ACCEPT -p tcp --dport 27024
iptables -A INPUT -j ACCEPT -p tcp --dport 27025
iptables -A INPUT -j ACCEPT -p tcp --dport 27026
iptables -A INPUT -j ACCEPT -p tcp --dport 27027
iptables -A INPUT -j ACCEPT -p tcp --dport 27028
iptables -A INPUT -j ACCEPT -p tcp --dport 27029
iptables -A INPUT -j ACCEPT -p tcp --dport 27030
iptables -A INPUT -j ACCEPT -p tcp --dport 27031
iptables -A INPUT -j ACCEPT -p tcp --dport 27032
iptables -A INPUT -j ACCEPT -p tcp --dport 27033
iptables -A INPUT -j ACCEPT -p tcp --dport 27034
iptables -A INPUT -j ACCEPT -p tcp --dport 27035
iptables -A INPUT -j ACCEPT -p tcp --dport 27036
iptables -A INPUT -j ACCEPT -p tcp --dport 27037
iptables -A INPUT -j ACCEPT -p tcp --dport 27038
iptables -A INPUT -j ACCEPT -p tcp --dport 27039
iptables -A INPUT -j ACCEPT -p tcp --dport 27040
iptables -A INPUT -j ACCEPT -p tcp --dport 27041
iptables -A INPUT -j ACCEPT -p tcp --dport 27042
iptables -A INPUT -j ACCEPT -p tcp --dport 27043
iptables -A INPUT -j ACCEPT -p tcp --dport 27044
iptables -A INPUT -j ACCEPT -p tcp --dport 27045
iptables -A INPUT -j ACCEPT -p tcp --dport 27046
iptables -A INPUT -j ACCEPT -p tcp --dport 27047
iptables -A INPUT -j ACCEPT -p tcp --dport 27048
iptables -A INPUT -j ACCEPT -p tcp --dport 27049
iptables -A INPUT -j ACCEPT -p tcp --dport 27050


# Alles von Localhost erlauben. (Damit der Server selbst ungehindert auf seine Dienste zugreifen kann,
# zum Beispiel PHP auf die lokale Datenbank
iptables -A INPUT -j ACCEPT -s 127.0.0.1

# Bereits aufgebaute Verbindungen werden an jedem Port akzeptiert
# (Damit Antworten auf Anfragen, die vom Server kommen immer zurückkommen können)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Ich habe nun schon alles was mit Steam zutun hat aufgemacht und dennoch bekomm ich wenn ich einen Server starte:

Could not establish connection to Steam servers.

Der Server läuft dann zwar, aber VAC ist nicht an...
Wenn iptables alles erlaubt dann läuft alles glatt :/
Könnte mir bitte einer verraten was ich übersehen habe?

LG DeX

Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

lima-city: Gratis werbefreier Webspace für deine eigene Homepage
michaelsattel

michaelsattel hat kostenlosen Webspace.

17:52, 5.2.2013
Warum sperrst du überhaupt mit iptables alles weg?

Im professionellen sowohl auch privaten Bereich macht das niemand, das es in 90% der Fälle keinen Sinn hat.
Autor dieses Themas
lordcodex

lordcodex hat kostenlosen Webspace.

21:44, 5.2.2013
Es macht schon Sinn! Allein ein kompletter Scan der Box dauert somit für fremde sehr sehr lange,
da wir alles Droppen und keine ICMP nachricht zurück ballern!
Ausserdem kann man so viel besser kontrollieren was überhaupt auf der Machine läuft ;)

BTW der Thread kann geclosed werden.

Nach tagelanger Suche hab ich endlich die Ports der VAC Security gefunden!

26900 muss offen sein, für jeden weiteren Server muss man die Ports inkrementieren.
Also Server 1 port 27015, dann 26900...
Server 2 port 27016, dann 26901 ... etc

LG DeX

Beitrag zuletzt geändert: 5.2.2013 22:34:29 von lordcodex
michaelsattel

michaelsattel hat kostenlosen Webspace.

0:00, 7.2.2013
Das ist ja ganz nett, bringt aber keine sonderlichen Vorteile und bleibt unnötig.

Ich sehe bei deinen Regeln im übrigen nirgendwo eine Angabe des ICMP Protokolls, bist du dir sicher, dass du wirklich ICMP meinst?

Beitrag zuletzt geändert: 7.2.2013 0:05:09 von michaelsattel
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

lima-city bietet dir kostenlosen und werbefreien Speicherplatz für Deine Homepage. Sofort anmelden und direkt loslegen mit Webspace, PHP, Datenbanken, günstigen Domains und einer tollen Community!

kostenloser Webspace werbefrei: lima-city