Moin Moin, auch auf die Gefahr hin, das ich geköpft, auf irgendwelche Seiten und/oder manuals hingewiesen werde: nachdem mein _SuSE 7.3_ IP-Masquerading nun läuft, stellt sich bei mir das Problem, das die Firewall aktives FTP vehemment verweigert. Die Mails zu iptables verfolge ich schon eine ganze Zeit mit, jedoch wirft alles noch mehr Fragen auf, weil es nicht läuft. Jetzt _die_ Frage (auch an die Experten) Wo muss ich Wie Änderungen eintragen? Krisengeschüttelt - nicht gerührt frihu Friedrich Hunold
* On Sat, 16 Feb 2002 at 19:32 +0100, frihu wrote:
auch auf die Gefahr hin, das ich geköpft, auf irgendwelche Seiten und/oder manuals hingewiesen werde:
nachdem mein _SuSE 7.3_ IP-Masquerading nun läuft, stellt sich bei mir das Problem, das die Firewall aktives FTP vehemment verweigert.
Die Mails zu iptables verfolge ich schon eine ganze Zeit mit, jedoch wirft alles noch mehr Fragen auf, weil es nicht läuft.
Jetzt _die_ Frage (auch an die Experten) Wo muss ich Wie Änderungen eintragen?
Lass aktives FTP doch bleiben, nimm passives FTP. -- Adalbert PGP welcome, request public key: mailto:adalbert+key@lopez.at
Hi Ich bin zwar leider auch keine Experte. Ich habe die gleichen Probleme. Leider habe ich neben linux-setup auch noch ein Privatleben und ein Studium. Ich glaube deswegen nur, dass FTP bei mir jetzt rictig funktioniert. Konnte das noch nicht 100%ig testen. Du brauchst auf alle Fälle ein connection-tracking (http://netfilter.samba.org/documentation/HOWTO//packet-filtering-HOWTO-7.htm...). Das sind module, die in die Verbindung reinhören und sich merken was für Verbindungen aufgebaut werden. So können dann auch die zu der FTP-Verbindung gehörenden Pakete, die in der firewall hängenbleiben würden, durchkommen. Ich leite auf meinem TDSL-router alle Pakete durch die Regeln "iptables -I portfilter -o $ExternalNetworkDevice -p TCP --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j RETURN iptables -I portfilter -i $ExternalNetworkDevice -p TCP --dport 113 --sport $HighPorts -m state NEW -j RETURN" Das mit dem RETURN kann bei dir auch ein ACCEPT sein, wenn die Regeln direkt in den FORWARD oder INPUT chains stehen. Sonst muß die default-policy der Regelkette, aus der man in die portfilter chain springt, natürlich ACCEPT sein. Das sollte erstmal helfen. In den Dokus steht auch oft irgendwas von module laden. Bei mir (SuSE 2.4.10 Standartkernel) geht das automatisch, sobald eine Regel mit den matchmodelen angehängt wird. Gruß Axel p.s. sag mir bescheid, ob du weitergekommen bist.
participants (3)
-
Adalbert Michelic
-
Axel Heinrici
-
frihu