Am Donnerstag, 14. Februar 2002 16:29 schrieb Thomas:
Am Donnerstag 14 Februar 2002 15:11 schrieb Martin Neuditschko:
On Thu, Feb 14, 2002 at 02:05:53PM +0100, Thomas wrote:
Am Donnerstag 14 Februar 2002 11:22 schrieb Thorsten Strusch:
# die Module laden: modprobe ip_conntrack_ftp modprobe ipt_state
# ein und ausgehendes FTP erlauben: iptables -A INPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j LOG iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j LOG iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
HTH Thorsten
Hi,
Hab die oben angefuehrten Regeln eingegeben aber der MAC Rechner kann trotzdem noch nicht mit seinem FTP Programm auf unsere Web Page zugreifen um sie zu erneuern. Genauer gesagt das Passwort kann uebertragen werden und es kommt auch die Bestaetigung retour aber die Daten koennen nicht angezeigt werden bzw erreicht werden ? Hat das was mit aktiven und passiven FTP zutun ?
Ja, genau. Du musst passives FTP aktivieren, oder den Port 20 auch noch freischalten.
Hi,
Vielen Dank schon mal. Wenn ich Port 20 aktivieren will muss die Regel so ausschauen?
iptables -A INPUT -p tcp --dport 20 --syn -m state --state NEW -j ACCEPT iptables -A OUTPUT -p tcp --dport 20 --syn -m state --state NEW -j ACCEPT
Nicht ganz, aber fast. Der Input Chain sollte überprüfen ob der Source Port, Port 20 (ftp Port) ist und der Destination Port sollte ein unpriviligierter Port also 1024 bis 65535 sein. Das --syn ist überflüssig, da du ja schon -m state --state NEW angibtst. Damit auch zu einer bereits aufgebauten Verbindung gehörende Packete hindurchgelassen werden solltest du noch ESTABLISHED und RELATED ergänzen, sonst funktioniert das Ganze sowieso nicht. Desweiteren lässt du aber mit deinem Input Chain eine Verbindung auf Port 20 zu, also auf _deinen_ ftp port zu. Da du aber keinen FTP Server bereitstellst ist dies nicht nötig. Ich würde das ganze so realisieren: iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p TCP --sport 1024:65535 --dport ftp \ -m state --state NEW Die Chains funktionieren auch :-)
Langt es die hinzuzufuegen ?
Und noch eine Frage, kannst du mir kurz erklaeren welche Regel fuer was zustaendig ist? Fuer mich ist das ganze noch sehr neu.
Da die Regeln jetzt wieder ein bisschen anders aussehen erkläre ich das Ganze jetzt nicht, aber wenn es noch fragen gibt, dann melde dich einfach (gerne auch per PM: marbre@linux.sungazer.de). Greets Marius -- http://sf.net/projects/sg-packetfilter http://sg-pachetfilter.sf.net