On Fri, Aug 03, 2001 at 08:23:08PM +0200, Andreas Koenecke wrote:
Hallo Michael
- Freitag, 03. August 2001 um 17:54 (+0200) schrieb Michael Nausch:
Am Freitag, 3. August 2001 00:33 schrieb Andreas Koenecke:
Das sind IMO die Antworten des ftp-Servers, die nicht durch deine Input-Chain gehen.
Das hab' ich mir auch schon gedacht, da beim Versuch deine FTP-Verbindung aufzubauen, plötzlich die ganzen Einträge in meiner firewall.log auftauchen.
Wie ist denn das eigentlich mit dem activ und passiv data connection bei FTP?
Dazu "haben" wir doch bei 'iptables' das "Connection-Tracking". Wenn du in der Input-Chain ein "iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT" einfügst, werden alle Antworten von Verbindungen, die dein Rechner aufgebaut hat, angenommen.
FTP war früher kompliziert, ist es jetzt aber nicht mehr: Lade das Modul 'ip_conntrack_ftp.o' und 'iptables/netfilter' kümmert sich um die FTP-Verbindungen, egal ob aktiv oder passiv :-)
(Wenn du auch FTP-Verbindungen von Clients über deinen Router erlauben willst, musst du noch zusätzlich das Modul 'ip_nat_ftp.o' laden.)
Habe da eine interessante Geschichte, habe eine Forwarding Firewall eingerichtet: .......... modprobe ip_nat_ftp modprobe ip_conntrack_ftp ....... iptables -A FORWARD -i $LAN_IF -o $EXTERNAL_IF -p tcp \ -s $LAN_ADDRESSES --sport $UNPRIVPORTS --dport 21 \ -m state --state NEW -j ACCEPT ................ Passives ftp wie "wget -cr --passive ftp://ftp.suse.com/pub/suse/i386/supplementary/KDE/update_for_8.0" klappt wunderbar aber "wget -cr --passive ftp://ftp.suscom.de/pub/ASUSCOM/BIOS/Slot_I/INTEL_Chipset/i440BX/P3B-F/" klappt nicht. Unter Windows kommt die Fehlermeldung "200 Type set to A, 500 Invalid port command". Was könnte die Erklärung dafür sein? Gruss! Hermann Flacke hermann.flacke@t-online.de