![](https://seccdn.libravatar.org/avatar/c03932156b5dea5b7a78d3c15f49b52b.jpg?s=120&d=mm&r=g)
* Hermann Flacke wrote on 22 Jul 2002:
[...]
modprobe ip_nat_ftp modprobe ip_conntrack_ftp .......
iptables -A FORWARD -i $LAN_IF -o $EXTERNAL_IF -p tcp \ -s $LAN_ADDRESSES --sport $UNPRIVPORTS --dport 21 \ -m state --state NEW -j ACCEPT
................
Passives ftp wie "wget -cr --passive ftp://ftp.suse.com/pub/suse/i386/supplementary/KDE/update_for_8.0" klappt wunderbar aber "wget -cr --passive ftp://ftp.suscom.de/pub/ASUSCOM/BIOS/Slot_I/INTEL_Chipset/i440BX/P3B-F/" klappt nicht. Unter Windows kommt die Fehlermeldung "200 Type set to A, 500 Invalid port command".
http://www.cs.princeton.edu/~jns/security/iptables/iptables_conntrack.html Daraus mein umgesetztes Beispiel für die Forward-Kette. Die Datei "ftp://ftp.asuscom.de/pub/ASUSCOM/BIOS/Slot_I/INTEL_Chipset/i440BX/ P3B-F/1006f3.zip" kann nach wie vor nicht geholt werden. Nach dem "Klick" auf das Icon der Datei fragt der Mozilla brav nach dem Ablageort der Datei, holt sie jedoch nicht ab. SuSE- und andere Passive-FTP-Seiten funktionieren. Kann es sein, dass es evtl. Probleme gibt, wenn der FTP-Server von Asus unter einer
On Tue, Jul 23, 2002 at 12:45:11PM +0200, Thomas Preissler wrote: privaten, nicht routbaren Adresse läuft? Ich meine, so etwas mal irgendwo aufgeschnappt zu haben. Gruß! Hermann Flacke hermann.flacke@t-online.de Auszug aus Firewall-Skript: ----------------------------schnipp-------------------------------------------- echo "FTP" # FTP Outbound /usr/sbin/iptables -A FORWARD -i $EXTERNAL_IF -o $LAN_IF -p tcp \ --sport 21 \ -m state --state ESTABLISHED -j ACCEPT /usr/sbin/iptables -A FORWARD -I $LAN_IF -o $EXTERNAL_IF -p tcp \ --dport 21 \ -m state --state NEW,ESTABLISHED -j ACCEPT # FTP Active /usr/sbin/iptables -A FORWARD -i $EXTERNAL_IF -o $LAN_IF -p tcp \ --sport 20 \ -m state --state ESTABLISHED,RELATED -j ACCEPT /usr/sbin/iptables -A FORWARD -i $LAN_IF -o $EXTERNAL_IF -p tcp \ --dport 20 \ -m state --state ESTABLISHED -j ACCEPT # FTP Passive. Server und Client auf High Ports /usr/sbin/iptables -A FORWARD -i $EXTERNAL_IF -o $LAN_IF -p tcp \ --sport $UNPRIVPORTS --dport $UNPRIVPORTS \ -m state --state ESTABLISHED -j ACCEPT /usr/sbin/iptables -A FORWARD -i $LAN_IF -o $EXTERNAL_IF -p tcp \ --sport $UNPRIVPORTS --dport $UNPRIVPORTS \ -m state --state ESTABLISHED,RELATED -j ACCEPT ----------------------------schnapp--------------------------------------------