On Wed, Jul 24, 2002 at 12:39:12PM +0200, Thomas Preissler wrote:
* Hermann Flacke wrote on 23 Jul 2002:
On Tue, Jul 23, 2002 at 12:45:11PM +0200, Thomas Preissler wrote:
* Hermann Flacke wrote on 22 Jul 2002: ----------------------------schnipp-------------------------------------------- echo "FTP" # FTP Outbound /usr/sbin/iptables -A FORWARD -i $EXTERNAL_IF -o $LAN_IF -p tcp \ --sport 21 \ -m state --state ESTABLISHED -j ACCEPT
/usr/sbin/iptables -A FORWARD -I $LAN_IF -o $EXTERNAL_IF -p tcp \ ^^^^^^ OK. Ist korrigiert. Ist das nicht ein kleines "i"? Ein großes "I" fügt eine Regel ein, bezeichnet kein Device.
--dport 21 \ -m state --state NEW,ESTABLISHED -j ACCEPT
# FTP Active
/usr/sbin/iptables -A FORWARD -i $EXTERNAL_IF -o $LAN_IF -p tcp \ --sport 20 \ -m state --state ESTABLISHED,RELATED -j ACCEPT
/usr/sbin/iptables -A FORWARD -i $LAN_IF -o $EXTERNAL_IF -p tcp \ --dport 20 \ -m state --state ESTABLISHED -j ACCEPT
# FTP Passive. Server und Client auf High Ports
/usr/sbin/iptables -A FORWARD -i $EXTERNAL_IF -o $LAN_IF -p tcp \ --sport $UNPRIVPORTS --dport $UNPRIVPORTS \ -m state --state ESTABLISHED -j ACCEPT
/usr/sbin/iptables -A FORWARD -i $LAN_IF -o $EXTERNAL_IF -p tcp \ --sport $UNPRIVPORTS --dport $UNPRIVPORTS \ -m state --state ESTABLISHED,RELATED -j ACCEPT
Stimmt eigentlich soweit.
Wie sieht es mit der Input-/Output-Chain aus? Wahrscheinlich auf ^^^^^^^^^^^^^^^^^^^ Ist nicht vorhanden, da nur Router (Forwarding) ACCEPT. Habe jetzt festgestellt: "wget --passive ftp://ftp.asuscom.de/pub/ASUSCOM/BIOS/Slot_I/INTEL_Chipset/ i440BX/P3B-F/1006f3.zip" (ohne "-r") tut. Die Datei wurde auch schon zuvor (mit Optioin -r) geladen, nur zeigt wget dann ein "0%" an: wget suchte vergeblich die "nächste" Datei und ich hatte nur _eine_ Datei angefordert.
Nur der Mozilla (1.0.1b) und der Konqueror bleiben hängen. Kann es daran liegen dass Squid dazwischenfunkt? Mozilla gab die Fehlermeldung: "426 Connection closed; transfer aborted". Habe alle HTTP-Anfragen auf der Firewall auf den Squid transparent umgeleitet: ".. -A PREROUTING ..." ---------------------- squid.conf----------------------------------------- # TAG: ftp_passive # If your firewall does not allow Squid to use passive # connections, then turn off this option. # #Default: # ftp_passive on ---------------------- squid.conf----------------------------------------- Interessanterweise weist meine squid.conf nach einem "harden_suse" nicht mehr die Option "ftp_sanitycheck" auf. Auf einer normalen SuSE 8.0 Maschine steht dieser Eintrag: ---------------------- squid.conf----------------------------------------- #Default: # ftp_sanitycheck on ---------------------- squid.conf----------------------------------------- Ist das die richtige Richtung, die ich einschlagen sollte? Gruß! Hermann Flacke hermann.flacke@t-online.de