Hi On Monday, 22. April 2002 16:43, Peter Blancke wrote:
On Mon, Apr 22, 2002 at 15:28:15 +0200, Wolfgang Grüneberg wrote:
Das Masquerading funktioniert soweit auch, bis auf FTP! Früher mußte man das Modul ip_masq_ftp laden, damit FTP geht. Aber dieses Modul scheint es nicht mehr zu geben. Was muß man bei 7.2 tun, damit auch FTP über Masquerading geht?
Hast Du einen eigenen Kernel kompiliert? Sind da auch die Teile fuer Iptables mit reinkompiliert worden?
Ich komme mit folgenden Regeln wunderbar ueber meinen Router hinweg, auch und vor allem mit FTP.
Das hängt davon ab, ob du es mit aktivem oder passivem FTP versuchst. Zudem gibt es FTP-server die den ident-deamon abfragen wollen. Für aktives FTP braucht man auch wieder Kernelmodule. Die heißen: ip_nat_ftp, ip_conntrack_ftp und ip_conntrack
Diese sehen so aus (mein eigener PC hat die IP 192.168.90.250):
,----------------------------------------------------------------
| echo 1 > /proc/sys/net/ipv4/ip_forward | | $IPTABLES -A INPUT -i $INTERFACE_INTERN \ | --source 192.168.90.250/32 -j ACCEPT | $IPTABLES -A OUTPUT -o $INTERFACE_INTERN \ | --destination 192.168.90.250/32 -j ACCEPT | $IPTABLES -A FORWARD -i $INTERFACE_INTERN -o $INTERFACE_EXTERN | \ --source 192.168.90.250/32 -j ACCEPT | $IPTABLES -A FORWARD -i $INTERFACE_EXTERN -o $INTERFACE_INTERN | \ --destination 192.168.90.250/32 -j ACCEPT | | $IPTABLES -t nat -A POSTROUTING --source 192.168.90.250/32 \ | -o $INTERFACE_EXTERN -j MASQUERADE
`----------------------------------------------------------------
Ich glaube, Dir fehlen die entsprechenden Forward-Eintraege, die IMHO erforderlich sind.
Das hängt von der default Policy der FORWARD und OOTPUT Chains ab. Wenn die auf ACCEPT stehen, dann braucht er die nicht. Aber dein Regelsatz bewirkt fast das selbe wie die Policy ACCEPT. IMHO stehen aber die Policies per default auch schon auf ACCEPT.
Probiere es einmal aus.
BTW: Ich wuerde gerne zur Diskussion stellen, ob meine aufgefuehrten Regeln als Sicherheitsloch einzustufen sind? Ganz wohl ist mir bei den Regeln naemlich nicht, doch brauchte ich diese Einstellungen fuer mein Windows, welches auf der gleichen Liste laeuft und mit welchem ich gelegnetlich Homebanking mache.
Naja, da müßte irgendwo ne Regel mit -j DROP, -j REJECT oder ne default Policy DROP/REJECT stehen. Sonst ist halt alles offen.
Gruss
Peter Blancke Gruß zurück Axel