Dois-je ouvrir des ports dans mon pare-feu pour voir les jeux en réseau sur Minecraft ? Si oui, lesquels ?

Question

Dernièrement, j'ai eu quelques problèmes avec les jeux Minecraft en réseau. Pas pour les héberger ou même pour les rejoindre, mais pour les voir. Voici la situation :

• Je ne suis pas en mesure de voir les jeux Minecraft en réseau local sur mon écran multijoueur automatiquement
• Je peux les voir si je les ajoute comme je le ferais pour un serveur sur Internet.
• Je peux les rejoindre si je les ajoute, ou si je me connecte directement à eux.

En gros, je peux rejoindre des jeux mais pas les trouver automatiquement. Le message "Scanning for games on your local network..." s'affiche indéfiniment. Ma théorie actuelle est que, même si rejoindre des parties ne nécessite pas l'ouverture de ports, il n'y a pas de problème. les découvrir pourrait - est-ce le cas ?

Pour autant que je sache, je ne peux pas autoriser des applications spécifiques à travers mon pare-feu (je suis sous Linux, et je n'ai pas envie de donner une autorisation générale à Java dans tous les cas), donc je ne peux pas tester cela sans avoir une idée des ports nécessaires. Il est également possible qu'il s'agisse d'un autre problème propre à Linux ou de quelque chose d'autre, cependant.

Ce n'est pas très grave, car je peux simplement demander sur quel port le serveur est hébergé, mais cela m'ennuie. Oh, et au cas où quelqu'un tomberait sur cette question avec un problème similaire, je vais juste réitérer :

Vous pouvez rejoindre le jeu en vous y connectant directement, il suffit de demander le port. La personne qui héberge recevra un message avec celui-ci lorsqu'elle ouvrira le jeu. Vous pouvez ensuite vous connecter directement à l'adresse (probablement) 192.168.#.###:####.

MISE À JOUR : L'hébergement en réseau local fonctionne bien, mais je ne peux pas voir les jeux que les autres hébergent. De plus, je dois préciser qu'en fait je veux dire ouvrir des ports sur mon pare-feu local, j'ai dit transfert de port mais ce n'est pas vraiment ce que je voulais dire.

J'ai essayé avec mes deux frères, qui n'utilisent pas de logiciel de sécurité particulier à ma connaissance. Et ils peuvent voir ceux des autres.

Answer 1

Les versions plus récentes de Fedora (Fedora 18 et suivantes) utilisent Firewalld pour gérer les règles iptables. Le service iptables qui charge les règles à partir de /etc/sysconfig/iptables n'est pas présent par défaut. Une grande partie de ma réponse implique de se plonger manuellement dans les règles d'iptables. C'est un terrain un peu nouveau pour moi, car ma principale expérience avec firewalld jusqu'à présent a été de revenir à la lecture traditionnelle des règles iptables à partir du fichier de sauvegarde. La plupart des informations de firewalld ont été collectées à la volée en se basant sur la fonction iptables les règles qu'elle a mises en œuvre.

J'ai revérifié cela sur une machine virtuelle Fedora 20 avec laquelle j'ai bricolé. Lorsqu'une règle est définie dans firewall-config le paquet pour une nouvelle connexion doit passer par les étapes suivantes pour être accepté.

1. Un nouveau paquet arrive sur la chaîne INPUT. Les paquets dans les connexions existantes sont automatiquement acceptés.
2. Toutes les connexions potentielles provenant de l'extérieur sont envoyées soit à la chaîne INPUT_ZONES_SOURCE, soit à la chaîne INPUT_ZONES, selon qu'elles ont été sélectionnées sur la base de l'IP source ou de l'interface par laquelle le paquet est arrivé. La logique au sein de chaque chaîne est à peu près la même, à l'exception de la note IP/interface. Je me concentrerai sur INPUT_ZONES_SOURCE pour mon exemple.
3. J'ai ajouté ma règle Minecraft à la zone "maison", donc j'ai ajouté une entrée dans la zone "maison". domicile -> sources indiquant que les paquets provenant de l'adresse réseau 10.20.30.0/24 provenaient de la maison. Dans INPUT_ZONES_SOURCE, il y avait une règle qui envoyait tous les paquets provenant de cette plage IP vers la chaîne IN_home.
4. Dans la chaîne IN_home, j'avais trois chaînes dédiées à des tâches spécifiques : IN_home_log, IN_home_deny (vide, car je n'avais rien défini) et IN_home_allow.
5. IN_home_allow contenait tous les services autorisés pour la zone "maison", y compris la règle 25565 que je venais de mettre en place. Bien que je n'aie pas démarré un serveur Minecraft ou lié quoi que ce soit d'autre à TCP/25565, j'ai pu voir que certaines autres règles par défaut ont enregistré que des paquets étaient acceptés, donc le trafic était évalué par rapport à cette règle.
6. Toute règle qui n'est pas acceptée finira par éclabousser la dernière règle de la chaîne INPUT. La règle finale rejettera tout paquet qui se trouve encore sur la chaîne.

Pour en venir au point de mon explication, puis-je confirmer que vous avez défini une interface d'entrée ou une adresse/plage IP pour la zone dans laquelle vous autorisez le port ? Vous avez placé une règle pour autoriser le port dans une zone donnée, mais il semble que le paquet n'ait aucun moyen d'atteindre cette règle et d'être accepté.

Vous pouvez lister une table en utilisant iptables -nvL . Firewalld met en place un grand nombre de chaînes, donc si vous voulez jeter un coup d'oeil à une chaîne en particulier, ajoutez le nom de la chaîne comme argument : iptables -nvL <chain-name> . Si vous voyez des nombres supérieurs à zéro dans les colonnes de gauche, cela signifie que des paquets ont atteint et déclenché la règle. (L'action de la règle se trouve dans la troisième colonne).

Pour forcer votre pare-feu à tout accepter, et pour voir si quelque chose sur la ligne vous cause des ennuis, vous pouvez arrêter temporairement le service firewalld.

systemctl stop firewalld

Vous pouvez alternativement vider les tables avec iptables -F Je ne sais pas si firewalld va repeupler les chaînes par lui-même sans qu'un changement de règle ne l'y incite.

J'espère que cela résoudra votre problème. Mais si vous voulez/devez passer à un système de iptables en faisant en sorte que le pare-feu charge ses règles à partir de /etc/sysconfig/iptables, vous devrez installer et activer le service, ainsi que désactiver firewalld.

1. Installez le service iptables : yum install iptables-services
2. Arrêtez Firewalld : systemctl stop firewalld
3. Désactiver Firewalld : systemctl disable firewalld
4. Démarrez le service iptables (Si vous n'avez pas de /etc/sysconfig/iptables à ce stade, cela ne fera rien) : systemctl start iptables
5. Activez le service iptables : systemctl enable iptables

Answer 2

Non, vous n'avez pas besoin de rediriger les ports pour jouer sur le réseau local. La redirection de port ne concerne que les connexions qui partent/arrivent par votre routeur, c'est-à-dire l'hébergement de jeux sur Internet. Cela fait partie de ce que l'on appelle la traduction d'adresses réseau (NAT). Sans entrer dans les détails techniques, il s'agit d'un moyen astucieux pour les routeurs de cacher/protéger votre ordinateur pour qu'il ne soit pas exposé sur l'Internet public. Ainsi, pour permettre aux ordinateurs de l'Internet public de parler à votre ordinateur, vous devez "exposer" certains ports que le routeur autorisera à parler à votre ordinateur. Tout ce qui se passe à l'intérieur de votre réseau local (LAN) n'a pas besoin de sortir sur l'internet public, donc la NAT n'est pas impliquée et donc aucune redirection de port n'est nécessaire.

Il peut y avoir d'autres facteurs en jeu, par exemple si vous ou votre ami avez installé un logiciel pare-feu tiers sur votre ordinateur, celui-ci peut bloquer le jeu. Si c'est le cas, désactivez-le temporairement ou dites-lui d'autoriser votre jeu à établir des connexions. Pour le pare-feu Windows normal intégré à Vista et aux versions ultérieures, il vous demandera si vous voulez autoriser le programme à communiquer avec le réseau (LAN), généralement la première fois que vous le lancez.

Answer 3

Il est nécessaire d'ouvrir le port UDP 4445, communément utilisé pour le service upnotifyp. J'ai testé cela à travers quelques jeux et, puisque c'est en fait un port enregistré plutôt que les ports aléatoires que Minecraft choisit habituellement, je pensez à on peut supposer sans risque qu'il est cohérent entre les jeux. J'espère que quelqu'un d'autre trouvera une utilité à cela, cela m'a demandé pas mal d'efforts pour comprendre ce qui n'allait pas.