Hallo Michael * Freitag, 03. August 2001 um 17:54 (+0200) schrieb Michael Nausch:
Am Freitag, 3. August 2001 00:33 schrieb Andreas Koenecke:
Das sind IMO die Antworten des ftp-Servers, die nicht durch deine Input-Chain gehen.
Das hab' ich mir auch schon gedacht, da beim Versuch deine FTP-Verbindung aufzubauen, plötzlich die ganzen Einträge in meiner firewall.log auftauchen.
Wie ist denn das eigentlich mit dem activ und passiv data connection bei FTP? Muss ich da meinen ftp-Programmen etwas sagen, dass sie die passive Variante hernehmen sollen (Der FTP-Server teilt dem client den port mit der verwendet werden soll und der client baut die data-Verbindung dnn selbst zum server auf. Es werden also folglich von meiner firewall "unaufgeforderte" connect-Versuche auf die unpreviligierten ports abgewiesen.)?
Dazu "haben" wir doch bei 'iptables' das "Connection-Tracking". Wenn du in der Input-Chain ein "iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT" einfügst, werden alle Antworten von Verbindungen, die dein Rechner aufgebaut hat, angenommen. FTP war früher kompliziert, ist es jetzt aber nicht mehr: Lade das Modul 'ip_conntrack_ftp.o' und 'iptables/netfilter' kümmert sich um die FTP-Verbindungen, egal ob aktiv oder passiv :-) (Wenn du auch FTP-Verbindungen von Clients über deinen Router erlauben willst, musst du noch zusätzlich das Modul 'ip_nat_ftp.o' laden.)
P.S.: Gibt's denn ausser Andreas keinen firewall crack mehr hier.
Reiche ich dir nicht... ;-) Gruß Andreas -- Andreas Könecke "Andreas Koenecke <akoenecke@akoenecke.de>" PGP-ID/Fingerprint: BD7C2E59/3E 11 E5 29 0C A8 2F 49 40 6C 2D 5F 12 9D E1 E3 PGP-Key on request or on public keyservers --