firewall und FTP

HI, Nachdem ich nun mein SuSE-Firewallbuch zum xten mal durchgearbeitet hab', hab' ich mich heute mal wieder an'Äs firewall-script-schreiben gewagt und siehe da, es funktioniert fast alles, für's erste. Nur mit FTP komm' ich nicht weiter! :-( Ein einzelner Rechner geht über DSL raus in's internet (über dev=ppp0) im firewall script hab' ich stehen: # ---------------------------------------------------------- # ftp-Verbindungen pruefen und zulassen $IPTABLES -A OUTPUT -p TCP --sport $p_high --dport ftp \ -m state --state NEW -j ACCEPT Über "/usr/sbin/iptables -vL" kann ich für die OUTPUT chain folgendes in Erfahrung bringen: Chain OUTPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- any lo anywhere anywhere 4 242 ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED 0 0 ACCEPT icmp -- any any anywhere anywhere icmp echo-request 0 0 ACCEPT icmp -- any any anywhere anywhere icmp source-quench 0 0 ACCEPT icmp -- any any anywhere anywhere icmp time-exceeded 0 0 ACCEPT icmp -- any any anywhere anywhere icmp parameter-problem 0 0 ACCEPT icmp -- any any anywhere anywhere icmp fragmentation-needed 0 0 ACCEPT icmp -- any any anywhere anywhere icmp port-unreachable 0 0 ACCEPT udp -- any any anywhere www-proxy.M1.srv.t-online.deudp spts:1024:65535 dpt:domain state NEW 0 0 ACCEPT tcp -- any any anywhere www-proxy.M1.srv.t-online.detcp spts:1024:65535 dpt:domain state NEW 0 0 ACCEPT udp -- any any anywhere dns03.btx.dtag.de udp spts:1024:65535 dpt:domain state NEW 0 0 ACCEPT tcp -- any any anywhere dns03.btx.dtag.de tcp spts:1024:65535 dpt:domain state NEW 0 0 ACCEPT tcp -- any any anywhere mrvdom04.kundenserver.detcp spts:1024:65535 dpt:smtp state NEW 0 0 ACCEPT tcp -- any any anywhere mrvdom00.kundenserver.detcp spts:1024:65535 dpt:smtp state NEW 0 0 ACCEPT tcp -- any any anywhere mrvdom01.kundenserver.detcp spts:1024:65535 dpt:smtp state NEW 0 0 ACCEPT tcp -- any any anywhere mrvdom02.kundenserver.detcp spts:1024:65535 dpt:smtp state NEW 0 0 ACCEPT tcp -- any any anywhere mrvdom03.kundenserver.detcp spts:1024:65535 dpt:smtp state NEW 0 0 ACCEPT tcp -- any any anywhere pop.kundenserver.detcp spts:1024:65535 dpt:pop3 state NEW 0 0 ACCEPT tcp -- any any anywhere pop.kundenserver.detcp spts:1024:65535 dpt:pop3 state NEW 0 0 ACCEPT tcp -- any any anywhere pop.kundenserver.detcp spts:1024:65535 dpt:pop3 state NEW 0 0 ACCEPT tcp -- any any anywhere pop.kundenserver.detcp spts:1024:65535 dpt:pop3 state NEW 0 0 ACCEPT tcp -- any any anywhere anywhere tcp spts:1024:65535 dpt:http state NEW 0 0 ACCEPT tcp -- any any anywhere anywhere tcp spts:1024:65535 dpt:https state NEW 0 0 ACCEPT tcp -- any any anywhere anywhere tcp spts:1024:65535 dpt:ftp state NEW 0 0 REJECT all -- any any anywhere anywhere reject-with icmp-port-unreachable (ggf. cut und paste, der CR's wegen) Aber ich schaffe es nicht eine FTP-Verbindung zu meinem Provider aufzubauen! :-(( In meiner firewall-log Datei erschein wiederum folgendes: Aug 2 22:38:31 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=716 DF PROTO=TCP SPT=21 DPT=4829 WINDOW=32475 RES=0x00 ACK PSH URGP=0 Aug 2 22:38:31 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=40 TOS=0x00 PREC=0x00 TTL=55 ID=717 DF PROTO=TCP SPT=21 DPT=4829 WINDOW=32476 RES=0x00 ACK FIN URGP=0 Aug 2 22:38:31 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=939 DF PROTO=TCP SPT=21 DPT=4829 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Aug 2 22:38:32 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=1425 DF PROTO=TCP SPT=21 DPT=4829 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Aug 2 22:38:34 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=2305 DF PROTO=TCP SPT=21 DPT=4829 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Aug 2 22:38:37 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=3510 DF PROTO=TCP SPT=21 DPT=4829 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Aug 2 22:38:44 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=7946 DF PROTO=TCP SPT=21 DPT=4829 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Aug 2 22:38:57 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=14720 DF PROTO=TCP SPT=21 DPT=4829 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Aug 2 22:39:24 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=28664 DF PROTO=TCP SPT=21 DPT=4829 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Aug 2 22:39:29 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=44 TOS=0x00 PREC=0x00 TTL=55 ID=31251 DF PROTO=TCP SPT=20 DPT=4834 WINDOW=32120 RES=0x00 SYN URGP=0 Aug 2 22:39:29 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=31252 DF PROTO=TCP SPT=21 DPT=4831 WINDOW=32475 RES=0x00 ACK PSH URGP=0 Aug 2 22:39:29 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=40 TOS=0x00 PREC=0x00 TTL=55 ID=31253 DF PROTO=TCP SPT=21 DPT=4831 WINDOW=32476 RES=0x00 ACK FIN URGP=0 Aug 2 22:39:30 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=31482 DF PROTO=TCP SPT=21 DPT=4831 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Aug 2 22:39:31 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=31954 DF PROTO=TCP SPT=21 DPT=4831 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Aug 2 22:39:32 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=32789 DF PROTO=TCP SPT=21 DPT=4831 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Aug 2 22:39:36 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=34164 DF PROTO=TCP SPT=21 DPT=4831 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Aug 2 22:39:42 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=36765 DF PROTO=TCP SPT=21 DPT=4831 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Aug 2 22:39:56 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=41396 DF PROTO=TCP SPT=21 DPT=4831 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Aug 2 22:40:18 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=50415 DF PROTO=TCP SPT=21 DPT=4829 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Aug 2 22:40:23 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=53501 DF PROTO=TCP SPT=21 DPT=4831 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Eigentlch hab' ich doch alles richtig gemacht, doch warum krieg' ich keine Verbindung zustande? Ich hoffe mal die Angaben helfen ggf. etwas weiter ... Der Dinge harrend ... BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-971940 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org