HI, Nachdem ich nun mein SuSE-Firewallbuch zum xten mal durchgearbeitet hab', hab' ich mich heute mal wieder an'Äs firewall-script-schreiben gewagt und siehe da, es funktioniert fast alles, für's erste. Nur mit FTP komm' ich nicht weiter! :-( Ein einzelner Rechner geht über DSL raus in's internet (über dev=ppp0) im firewall script hab' ich stehen: # ---------------------------------------------------------- # ftp-Verbindungen pruefen und zulassen $IPTABLES -A OUTPUT -p TCP --sport $p_high --dport ftp \ -m state --state NEW -j ACCEPT Über "/usr/sbin/iptables -vL" kann ich für die OUTPUT chain folgendes in Erfahrung bringen: Chain OUTPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- any lo anywhere anywhere 4 242 ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED 0 0 ACCEPT icmp -- any any anywhere anywhere icmp echo-request 0 0 ACCEPT icmp -- any any anywhere anywhere icmp source-quench 0 0 ACCEPT icmp -- any any anywhere anywhere icmp time-exceeded 0 0 ACCEPT icmp -- any any anywhere anywhere icmp parameter-problem 0 0 ACCEPT icmp -- any any anywhere anywhere icmp fragmentation-needed 0 0 ACCEPT icmp -- any any anywhere anywhere icmp port-unreachable 0 0 ACCEPT udp -- any any anywhere www-proxy.M1.srv.t-online.deudp spts:1024:65535 dpt:domain state NEW 0 0 ACCEPT tcp -- any any anywhere www-proxy.M1.srv.t-online.detcp spts:1024:65535 dpt:domain state NEW 0 0 ACCEPT udp -- any any anywhere dns03.btx.dtag.de udp spts:1024:65535 dpt:domain state NEW 0 0 ACCEPT tcp -- any any anywhere dns03.btx.dtag.de tcp spts:1024:65535 dpt:domain state NEW 0 0 ACCEPT tcp -- any any anywhere mrvdom04.kundenserver.detcp spts:1024:65535 dpt:smtp state NEW 0 0 ACCEPT tcp -- any any anywhere mrvdom00.kundenserver.detcp spts:1024:65535 dpt:smtp state NEW 0 0 ACCEPT tcp -- any any anywhere mrvdom01.kundenserver.detcp spts:1024:65535 dpt:smtp state NEW 0 0 ACCEPT tcp -- any any anywhere mrvdom02.kundenserver.detcp spts:1024:65535 dpt:smtp state NEW 0 0 ACCEPT tcp -- any any anywhere mrvdom03.kundenserver.detcp spts:1024:65535 dpt:smtp state NEW 0 0 ACCEPT tcp -- any any anywhere pop.kundenserver.detcp spts:1024:65535 dpt:pop3 state NEW 0 0 ACCEPT tcp -- any any anywhere pop.kundenserver.detcp spts:1024:65535 dpt:pop3 state NEW 0 0 ACCEPT tcp -- any any anywhere pop.kundenserver.detcp spts:1024:65535 dpt:pop3 state NEW 0 0 ACCEPT tcp -- any any anywhere pop.kundenserver.detcp spts:1024:65535 dpt:pop3 state NEW 0 0 ACCEPT tcp -- any any anywhere anywhere tcp spts:1024:65535 dpt:http state NEW 0 0 ACCEPT tcp -- any any anywhere anywhere tcp spts:1024:65535 dpt:https state NEW 0 0 ACCEPT tcp -- any any anywhere anywhere tcp spts:1024:65535 dpt:ftp state NEW 0 0 REJECT all -- any any anywhere anywhere reject-with icmp-port-unreachable (ggf. cut und paste, der CR's wegen) Aber ich schaffe es nicht eine FTP-Verbindung zu meinem Provider aufzubauen! :-(( In meiner firewall-log Datei erschein wiederum folgendes: Aug 2 22:38:31 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=716 DF PROTO=TCP SPT=21 DPT=4829 WINDOW=32475 RES=0x00 ACK PSH URGP=0 Aug 2 22:38:31 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=40 TOS=0x00 PREC=0x00 TTL=55 ID=717 DF PROTO=TCP SPT=21 DPT=4829 WINDOW=32476 RES=0x00 ACK FIN URGP=0 Aug 2 22:38:31 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=939 DF PROTO=TCP SPT=21 DPT=4829 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Aug 2 22:38:32 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=1425 DF PROTO=TCP SPT=21 DPT=4829 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Aug 2 22:38:34 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=2305 DF PROTO=TCP SPT=21 DPT=4829 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Aug 2 22:38:37 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=3510 DF PROTO=TCP SPT=21 DPT=4829 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Aug 2 22:38:44 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=7946 DF PROTO=TCP SPT=21 DPT=4829 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Aug 2 22:38:57 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=14720 DF PROTO=TCP SPT=21 DPT=4829 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Aug 2 22:39:24 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=28664 DF PROTO=TCP SPT=21 DPT=4829 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Aug 2 22:39:29 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=44 TOS=0x00 PREC=0x00 TTL=55 ID=31251 DF PROTO=TCP SPT=20 DPT=4834 WINDOW=32120 RES=0x00 SYN URGP=0 Aug 2 22:39:29 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=31252 DF PROTO=TCP SPT=21 DPT=4831 WINDOW=32475 RES=0x00 ACK PSH URGP=0 Aug 2 22:39:29 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=40 TOS=0x00 PREC=0x00 TTL=55 ID=31253 DF PROTO=TCP SPT=21 DPT=4831 WINDOW=32476 RES=0x00 ACK FIN URGP=0 Aug 2 22:39:30 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=31482 DF PROTO=TCP SPT=21 DPT=4831 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Aug 2 22:39:31 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=31954 DF PROTO=TCP SPT=21 DPT=4831 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Aug 2 22:39:32 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=32789 DF PROTO=TCP SPT=21 DPT=4831 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Aug 2 22:39:36 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=34164 DF PROTO=TCP SPT=21 DPT=4831 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Aug 2 22:39:42 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=36765 DF PROTO=TCP SPT=21 DPT=4831 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Aug 2 22:39:56 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=41396 DF PROTO=TCP SPT=21 DPT=4831 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Aug 2 22:40:18 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=50415 DF PROTO=TCP SPT=21 DPT=4829 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Aug 2 22:40:23 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=53501 DF PROTO=TCP SPT=21 DPT=4831 WINDOW=32476 RES=0x00 ACK PSH URGP=0 Eigentlch hab' ich doch alles richtig gemacht, doch warum krieg' ich keine Verbindung zustande? Ich hoffe mal die Angaben helfen ggf. etwas weiter ... Der Dinge harrend ... BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-971940 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
* Donnerstag, 02. August 2001 um 22:42 (+0200) schrieb Michael Nausch:
Aber ich schaffe es nicht eine FTP-Verbindung zu meinem Provider aufzubauen! :-((
In meiner firewall-log Datei erschein wiederum folgendes:
Aug 2 22:38:31 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=212.227.109.42 DST=217.0.81.70 LEN=108 TOS=0x00 PREC=0x00 TTL=55 ID=716 DF PROTO=TCP SPT=21 DPT=4829 WINDOW=32475 RES=0x00 ACK PSH URGP=0
Das sind IMO die Antworten des ftp-Servers, die nicht durch deine Input-Chain gehen. Gruß Andreas -- Andreas Könecke "Andreas Koenecke <akoenecke@akoenecke.de>" PGP-ID/Fingerprint: BD7C2E59/3E 11 E5 29 0C A8 2F 49 40 6C 2D 5F 12 9D E1 E3 PGP-Key on request or on public keyservers --
Griasded Andreas! Am Freitag, 3. August 2001 00:33 schrieb Andreas Koenecke:
Das sind IMO die Antworten des ftp-Servers, die nicht durch deine Input-Chain gehen.
Das hab' ich mir auch schon gedacht, da beim Versuch deine FTP-Verbindung aufzubauen, plötzlich die ganzen Einträge in meiner firewall.log auftauchen. Wie ist denn das eigentlich mit dem activ und passiv data connection bei FTP? Muss ich da meinen ftp-Programmen etwas sagen, dass sie die passive Variante hernehmen sollen (Der FTP-Server teilt dem client den port mit der verwendet werden soll und der client baut die data-Verbindung dnn selbst zum server auf. Es werden also folglich von meiner firewall "unaufgeforderte" connect-Versuche auf die unpreviligierten ports abgewiesen.)? Oder hab' ich da irgendwo 'nen Hund in meinem firewall-script. Aber ich finde einfach keinen! :-( cu, BC P.S.: Gibt's denn ausser Andreas keinen firewall crack mehr hier. Der thread ist hald auch nicht so interessant wie OT und Kindergarten .... ;-)) -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-971940 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
Hallo Michael * Freitag, 03. August 2001 um 17:54 (+0200) schrieb Michael Nausch:
Am Freitag, 3. August 2001 00:33 schrieb Andreas Koenecke:
Das sind IMO die Antworten des ftp-Servers, die nicht durch deine Input-Chain gehen.
Das hab' ich mir auch schon gedacht, da beim Versuch deine FTP-Verbindung aufzubauen, plötzlich die ganzen Einträge in meiner firewall.log auftauchen.
Wie ist denn das eigentlich mit dem activ und passiv data connection bei FTP? Muss ich da meinen ftp-Programmen etwas sagen, dass sie die passive Variante hernehmen sollen (Der FTP-Server teilt dem client den port mit der verwendet werden soll und der client baut die data-Verbindung dnn selbst zum server auf. Es werden also folglich von meiner firewall "unaufgeforderte" connect-Versuche auf die unpreviligierten ports abgewiesen.)?
Dazu "haben" wir doch bei 'iptables' das "Connection-Tracking". Wenn du in der Input-Chain ein "iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT" einfügst, werden alle Antworten von Verbindungen, die dein Rechner aufgebaut hat, angenommen. FTP war früher kompliziert, ist es jetzt aber nicht mehr: Lade das Modul 'ip_conntrack_ftp.o' und 'iptables/netfilter' kümmert sich um die FTP-Verbindungen, egal ob aktiv oder passiv :-) (Wenn du auch FTP-Verbindungen von Clients über deinen Router erlauben willst, musst du noch zusätzlich das Modul 'ip_nat_ftp.o' laden.)
P.S.: Gibt's denn ausser Andreas keinen firewall crack mehr hier.
Reiche ich dir nicht... ;-) Gruß Andreas -- Andreas Könecke "Andreas Koenecke <akoenecke@akoenecke.de>" PGP-ID/Fingerprint: BD7C2E59/3E 11 E5 29 0C A8 2F 49 40 6C 2D 5F 12 9D E1 E3 PGP-Key on request or on public keyservers --
Griasde Bua! Am Freitag, 3. August 2001 20:23 schrieb Andreas Koenecke:
Dazu "haben" wir doch bei 'iptables' das "Connection-Tracking".
Hab' ich beim Kernel-Backen als Modul markiert.; Aber ich nehme mal an, dass ich es genauso, wie z.B. TCP SYN-Cookies mit echo "1" > /proc/sys/net/ipv4/tcp_syncookies erst mal einschalten muss, oder? Wenn ja, was müsste ich genau einschalten?
Wenn du in der Input-Chain ein "iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT" einfügst, werden alle Antworten von Verbindungen, die dein Rechner aufgebaut hat, angenommen.
Hab ich bereits drinnen, bei mir ist nur RELATED,ESTABLISHED vertauscht, dürfte abner doch wohl Wurscht sein, oder "iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT"
FTP war früher kompliziert, ist es jetzt aber nicht mehr: Lade das Modul 'ip_conntrack_ftp.o' und 'iptables/netfilter' kümmert sich um die FTP-Verbindungen, egal ob aktiv oder passiv :-)
Sorry, könntest Du mir das etwas genauer erklären? Klappt das ähnlich wie z.B. bei TCP SYN-Cookies mit ''echo "1" > /proc/sys/net/ipv4/tcp_syncookies''?
(Wenn du auch FTP-Verbindungen von Clients über deinen Router erlauben willst, musst du noch zusätzlich das Modul 'ip_nat_ftp.o' laden.)
Das ist Stufe "! ;-) Erst will ich mal einen Rechner so hinkriegen, und zwar so, dass ich es auch verstehe warum etwas geht und nicht, und anschließend wird der Rechner dann als Router umfunktioniert, so das mein SOHO-Netzwerk funktioniert ...
Reiche ich dir nicht... ;-)
Doch doch, besser so gute und hilfreiche Messages als "RTFM" und dergleichen! Danke an dieser Stelle schon mal! Pfiade! Michael -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-971940 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
Griasde Andreas, ich bin's nochmal! ;-) Hab' mal etwas 'rumgespielt! ;-) Du meintest:
FTP war früher kompliziert, ist es jetzt aber nicht mehr: Lade das Modul 'ip_conntrack_ftp.o' und 'iptables/netfilter' kümmert sich um die FTP-Verbindungen, egal ob aktiv oder passiv :-)
Geht das Laden so richtig? oder ist das fast richtig/falsch?: /lib/modules/2.4.4/kernel/net/ipv4/netfilter/insmod ip_conntrack_ftp.o Auf alle Fälle geht der FTP up/Download nun zu meinem Provicer! :-)) Aber wenn Du mich noch zu den Ladeanweisungen zu den Kernelmodulen etwas aufklären könntest, das wäre super! Pfiade, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-971940 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
At 21:34 05.08.2001 +0200, Michael Nausch wrote:
/lib/modules/2.4.4/kernel/net/ipv4/netfilter/insmod ip_conntrack_ftp.o
das funktioniert so ??
Aber wenn Du mich noch zu den Ladeanweisungen zu den Kernelmodulen etwas aufklären könntest, das wäre super!
ich benutze eigentlich immer # modprobe ip_conntrack_ftp alternativ kann man auch # insmod ip_conntrack_ftp falls dich das ftp conntracking dann wieder stört kannst du # rmmod ip_conntrack_ftp das ding wieder löschen mit # lsmod zeigst du dir alle im moment geladenen module an -- --/-/------ Lukas Beeler ---- lukas.beeler@projectdream.org -----------\-\-- \ \ My HomePage: <URL:http://www.projectdream.org> / /
Habedieehreoidewuaschhaud! Am Sonntag, 5. August 2001 21:42 schrieb Lukas Beeler:
/lib/modules/2.4.4/kernel/net/ipv4/netfilter/insmod ip_conntrack_ftp.o
das funktioniert so ??
nö, natürlich nicht! So gings: insmod /lib/modules/2.4.4/kernel/net/ipv4/netfilter/ip_conntrack_ftp.o
ich benutze eigentlich immer # modprobe ip_conntrack_ftp alternativ kann man auch
O.K. Verstanden. Und nun noch 'ne böde Frage. Wann läd' man denn eigentlich so ein Module am besten? Beim Bootvorgang oder zu Beginn des Firewall-scripts?
# lsmod zeigst du dir alle im moment geladenen module an
Danke für die Info! Hat mir sehr geholfen! Pfiade! BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-971940 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
At 21:53 05.08.2001 +0200, Michael Nausch wrote:
So gings:
insmod /lib/modules/2.4.4/kernel/net/ipv4/netfilter/ip_conntrack_ftp.o
die zeile is mir zu lang :)
O.K. Verstanden. Und nun noch 'ne böde Frage. Wann läd' man denn eigentlich so ein Module am besten? Beim Bootvorgang oder zu Beginn des Firewall-scripts?
ich hab sie in der /etc/rc.d/rc.iptables die von /etc/rc.d/rc.inet1 am ende aufgerufen wird ich benutze jedoch auch ein *BSD boot konzept, und nich das "normale" SysV booting konzept -- --/-/------ Lukas Beeler ---- lukas.beeler@projectdream.org -----------\-\-- \ \ My HomePage: <URL:http://www.projectdream.org> / /
Hallo Michael * Sonntag, 05. August 2001 um 21:34 (+0200) schrieb Michael Nausch:
Geht das Laden so richtig? oder ist das fast richtig/falsch?:
/lib/modules/2.4.4/kernel/net/ipv4/netfilter/insmod ip_conntrack_ftp.o
Das sieht ein bischen "verwürfelt" aus. ;-)
Aber wenn Du mich noch zu den Ladeanweisungen zu den Kernelmodulen etwas aufklären könntest, das wäre super!
Einfach 'modprobe <modul_ohne_.o>' oder 'insmod <modul_ohne_.o>' zum Laden eines Kernel-Moduls eingeben. Die Netfilter-Module IMHO am besten am Anfang des Firewall-Skripts. (Evtl. vorher 'depmod -a') 'lsmod' zeigt dir die geladenen Kernelmodule und 'rmmod <modul_ohne_.o>' entlädt sie wieder. 'modinfo <modul_ohne_.o>' zeigt (manchmal) Informationen und Modul-Parameter an. Gruß Andreas -- Andreas Könecke "Andreas Koenecke <akoenecke@akoenecke.de>" PGP-ID/Fingerprint: BD7C2E59/3E 11 E5 29 0C A8 2F 49 40 6C 2D 5F 12 9D E1 E3 PGP-Key on request or on public keyservers --
Mahlzeit! Am Sonntag, 5. August 2001 22:13 schrieb Andreas Koenecke:
Einfach 'modprobe <modul_ohne_.o>' oder 'insmod <modul_ohne_.o>' zum Laden eines Kernel-Moduls eingeben. Die Netfilter-Module IMHO am besten am Anfang des Firewall-Skripts. (Evtl. vorher 'depmod -a')
Mucho's gracias, hab's am Anfang in meinem FW-script eingebaut, nun klappt's vorerst mal. Vorerst, da ich demnächst mal den einzel-PC als Routere für mein Baby-Netzwerk einsetzen möchte. Pfiade Bua! BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-971940 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
On Fri, Aug 03, 2001 at 08:23:08PM +0200, Andreas Koenecke wrote:
Hallo Michael
* Freitag, 03. August 2001 um 17:54 (+0200) schrieb Michael Nausch:
Am Freitag, 3. August 2001 00:33 schrieb Andreas Koenecke:
Das sind IMO die Antworten des ftp-Servers, die nicht durch deine Input-Chain gehen.
Das hab' ich mir auch schon gedacht, da beim Versuch deine FTP-Verbindung aufzubauen, plötzlich die ganzen Einträge in meiner firewall.log auftauchen.
Wie ist denn das eigentlich mit dem activ und passiv data connection bei FTP?
Dazu "haben" wir doch bei 'iptables' das "Connection-Tracking". Wenn du in der Input-Chain ein "iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT" einfügst, werden alle Antworten von Verbindungen, die dein Rechner aufgebaut hat, angenommen.
FTP war früher kompliziert, ist es jetzt aber nicht mehr: Lade das Modul 'ip_conntrack_ftp.o' und 'iptables/netfilter' kümmert sich um die FTP-Verbindungen, egal ob aktiv oder passiv :-)
(Wenn du auch FTP-Verbindungen von Clients über deinen Router erlauben willst, musst du noch zusätzlich das Modul 'ip_nat_ftp.o' laden.)
Habe da eine interessante Geschichte, habe eine Forwarding Firewall eingerichtet: .......... modprobe ip_nat_ftp modprobe ip_conntrack_ftp ....... iptables -A FORWARD -i $LAN_IF -o $EXTERNAL_IF -p tcp \ -s $LAN_ADDRESSES --sport $UNPRIVPORTS --dport 21 \ -m state --state NEW -j ACCEPT ................ Passives ftp wie "wget -cr --passive ftp://ftp.suse.com/pub/suse/i386/supplementary/KDE/update_for_8.0" klappt wunderbar aber "wget -cr --passive ftp://ftp.suscom.de/pub/ASUSCOM/BIOS/Slot_I/INTEL_Chipset/i440BX/P3B-F/" klappt nicht. Unter Windows kommt die Fehlermeldung "200 Type set to A, 500 Invalid port command". Was könnte die Erklärung dafür sein? Gruss! Hermann Flacke hermann.flacke@t-online.de
* Hermann Flacke wrote on 22 Jul 2002: [...]
modprobe ip_nat_ftp modprobe ip_conntrack_ftp .......
iptables -A FORWARD -i $LAN_IF -o $EXTERNAL_IF -p tcp \ -s $LAN_ADDRESSES --sport $UNPRIVPORTS --dport 21 \ -m state --state NEW -j ACCEPT
................
Passives ftp wie "wget -cr --passive ftp://ftp.suse.com/pub/suse/i386/supplementary/KDE/update_for_8.0" klappt wunderbar aber "wget -cr --passive ftp://ftp.suscom.de/pub/ASUSCOM/BIOS/Slot_I/INTEL_Chipset/i440BX/P3B-F/" klappt nicht. Unter Windows kommt die Fehlermeldung "200 Type set to A, 500 Invalid port command".
http://www.cs.princeton.edu/~jns/security/iptables/iptables_conntrack.html Mit dem habe ich es dann verstanden. Bzw. konnte damit auch mein Ruleset richtig aufsetzen. Oder "Das Firewall Buch, Wolfgang Barth, ISBN 3-934678-40-8", ist ganz gut. Empfehlenswerter finde ich da die Neuauflage von "linux firewalls" - ist echt der Hut, hab nur gestaunt, als ich es angeguckt habe. Greetz, Tom -- Preissler Thomas Registered Linux User #265745 GPG-Key: 1024D/C21DAB7F http://counter.li.org/
* Hermann Flacke wrote on 22 Jul 2002:
[...]
modprobe ip_nat_ftp modprobe ip_conntrack_ftp .......
iptables -A FORWARD -i $LAN_IF -o $EXTERNAL_IF -p tcp \ -s $LAN_ADDRESSES --sport $UNPRIVPORTS --dport 21 \ -m state --state NEW -j ACCEPT
................
Passives ftp wie "wget -cr --passive ftp://ftp.suse.com/pub/suse/i386/supplementary/KDE/update_for_8.0" klappt wunderbar aber "wget -cr --passive ftp://ftp.suscom.de/pub/ASUSCOM/BIOS/Slot_I/INTEL_Chipset/i440BX/P3B-F/" klappt nicht. Unter Windows kommt die Fehlermeldung "200 Type set to A, 500 Invalid port command".
http://www.cs.princeton.edu/~jns/security/iptables/iptables_conntrack.html Daraus mein umgesetztes Beispiel für die Forward-Kette. Die Datei "ftp://ftp.asuscom.de/pub/ASUSCOM/BIOS/Slot_I/INTEL_Chipset/i440BX/ P3B-F/1006f3.zip" kann nach wie vor nicht geholt werden. Nach dem "Klick" auf das Icon der Datei fragt der Mozilla brav nach dem Ablageort der Datei, holt sie jedoch nicht ab. SuSE- und andere Passive-FTP-Seiten funktionieren. Kann es sein, dass es evtl. Probleme gibt, wenn der FTP-Server von Asus unter einer
On Tue, Jul 23, 2002 at 12:45:11PM +0200, Thomas Preissler wrote: privaten, nicht routbaren Adresse läuft? Ich meine, so etwas mal irgendwo aufgeschnappt zu haben. Gruß! Hermann Flacke hermann.flacke@t-online.de Auszug aus Firewall-Skript: ----------------------------schnipp-------------------------------------------- echo "FTP" # FTP Outbound /usr/sbin/iptables -A FORWARD -i $EXTERNAL_IF -o $LAN_IF -p tcp \ --sport 21 \ -m state --state ESTABLISHED -j ACCEPT /usr/sbin/iptables -A FORWARD -I $LAN_IF -o $EXTERNAL_IF -p tcp \ --dport 21 \ -m state --state NEW,ESTABLISHED -j ACCEPT # FTP Active /usr/sbin/iptables -A FORWARD -i $EXTERNAL_IF -o $LAN_IF -p tcp \ --sport 20 \ -m state --state ESTABLISHED,RELATED -j ACCEPT /usr/sbin/iptables -A FORWARD -i $LAN_IF -o $EXTERNAL_IF -p tcp \ --dport 20 \ -m state --state ESTABLISHED -j ACCEPT # FTP Passive. Server und Client auf High Ports /usr/sbin/iptables -A FORWARD -i $EXTERNAL_IF -o $LAN_IF -p tcp \ --sport $UNPRIVPORTS --dport $UNPRIVPORTS \ -m state --state ESTABLISHED -j ACCEPT /usr/sbin/iptables -A FORWARD -i $LAN_IF -o $EXTERNAL_IF -p tcp \ --sport $UNPRIVPORTS --dport $UNPRIVPORTS \ -m state --state ESTABLISHED,RELATED -j ACCEPT ----------------------------schnapp--------------------------------------------
* Hermann Flacke wrote on 23 Jul 2002:
On Tue, Jul 23, 2002 at 12:45:11PM +0200, Thomas Preissler wrote:
* Hermann Flacke wrote on 22 Jul 2002:
[...]
modprobe ip_nat_ftp modprobe ip_conntrack_ftp .......
iptables -A FORWARD -i $LAN_IF -o $EXTERNAL_IF -p tcp \ -s $LAN_ADDRESSES --sport $UNPRIVPORTS --dport 21 \ -m state --state NEW -j ACCEPT
................
Passives ftp wie "wget -cr --passive ftp://ftp.suse.com/pub/suse/i386/supplementary/KDE/update_for_8.0" klappt wunderbar aber "wget -cr --passive ftp://ftp.suscom.de/pub/ASUSCOM/BIOS/Slot_I/INTEL_Chipset/i440BX/P3B-F/" klappt nicht. Unter Windows kommt die Fehlermeldung "200 Type set to A, 500 Invalid port command".
http://www.cs.princeton.edu/~jns/security/iptables/iptables_conntrack.html Daraus mein umgesetztes Beispiel für die Forward-Kette. Die Datei "ftp://ftp.asuscom.de/pub/ASUSCOM/BIOS/Slot_I/INTEL_Chipset/i440BX/ P3B-F/1006f3.zip" kann nach wie vor nicht geholt werden. Nach dem "Klick" auf das Icon der Datei fragt der Mozilla brav nach dem Ablageort der Datei, holt sie jedoch nicht ab. SuSE- und andere Passive-FTP-Seiten funktionieren. Kann
Hm, komisch. Entweder es geht oder nicht. Schalte mal Logging ein, logge alles, versuch die Datei downzuloaden, Logging wieder aus und dann mal gucken. Alternativ hilft vielleicht sogar ein Sniffer, der Dir die Trafficdaten anzeigt, was das FTP-Protokoll so aussupckt. tcpdump -w /tmp/sniff_data -i <extdev> 'port ftp' Müsste hinhauen, ungetestet. Dann ein strings /tmp/sniff_data
es sein, dass es evtl. Probleme gibt, wenn der FTP-Server von Asus unter einer privaten, nicht routbaren Adresse läuft? Ich meine, so etwas mal irgendwo
Entweder - oder. Eine private Routbare gibt es nicht. Es ist alles nur eine Frage der Konfiguration. Mein Arbeitsrechner hat intern eine private IP. Ich habe allerdings per Port-Forwarding auf meinem Server gewisse Dienste nach draussen freigeschaltet. D.h., wenn sich einer auf den Port y auf meinem Server connectet, bearbeitet mein Rechner mit der internen IP das Paket. Das Paket selbst wird vom Server so modifiziert, dass mein Arbeitsrechner meint, es ist für ihn (d.h. es wird die Target-IP umgeschrieben. Dies heisst auch NAT - - Network Address Translation. Am Server kann man ja ins interne Netz, bzw. ist schon drinnen.) Von draussen direkt kommst Du nicht auf den Arbeitsrechner, da er eine private IP hat, und die wird von Routern nicht geroutet. Klaro? Poste Deine Logeinträge. Wenn es zuviel ist, PM
aufgeschnappt zu haben. Auszug aus Firewall-Skript:
----------------------------schnipp-------------------------------------------- echo "FTP" # FTP Outbound /usr/sbin/iptables -A FORWARD -i $EXTERNAL_IF -o $LAN_IF -p tcp \ --sport 21 \ -m state --state ESTABLISHED -j ACCEPT
/usr/sbin/iptables -A FORWARD -I $LAN_IF -o $EXTERNAL_IF -p tcp \
Ist das nicht ein kleines "i"? Ein großes "I" fügt eine Regel ein, bezeichnet kein Device.
--dport 21 \ -m state --state NEW,ESTABLISHED -j ACCEPT
# FTP Active
/usr/sbin/iptables -A FORWARD -i $EXTERNAL_IF -o $LAN_IF -p tcp \ --sport 20 \ -m state --state ESTABLISHED,RELATED -j ACCEPT
/usr/sbin/iptables -A FORWARD -i $LAN_IF -o $EXTERNAL_IF -p tcp \ --dport 20 \ -m state --state ESTABLISHED -j ACCEPT
# FTP Passive. Server und Client auf High Ports
/usr/sbin/iptables -A FORWARD -i $EXTERNAL_IF -o $LAN_IF -p tcp \ --sport $UNPRIVPORTS --dport $UNPRIVPORTS \ -m state --state ESTABLISHED -j ACCEPT
/usr/sbin/iptables -A FORWARD -i $LAN_IF -o $EXTERNAL_IF -p tcp \ --sport $UNPRIVPORTS --dport $UNPRIVPORTS \ -m state --state ESTABLISHED,RELATED -j ACCEPT
Stimmt eigentlich soweit. Wie sieht es mit der Input-/Output-Chain aus? Wahrscheinlich auf ACCEPT. Greetz, Tom -- Preissler Thomas Registered Linux User #265745 GPG-Key: 1024D/C21DAB7F http://counter.li.org/
On Wed, Jul 24, 2002 at 12:39:12PM +0200, Thomas Preissler wrote:
* Hermann Flacke wrote on 23 Jul 2002:
On Tue, Jul 23, 2002 at 12:45:11PM +0200, Thomas Preissler wrote:
* Hermann Flacke wrote on 22 Jul 2002: ----------------------------schnipp-------------------------------------------- echo "FTP" # FTP Outbound /usr/sbin/iptables -A FORWARD -i $EXTERNAL_IF -o $LAN_IF -p tcp \ --sport 21 \ -m state --state ESTABLISHED -j ACCEPT
/usr/sbin/iptables -A FORWARD -I $LAN_IF -o $EXTERNAL_IF -p tcp \ ^^^^^^ OK. Ist korrigiert. Ist das nicht ein kleines "i"? Ein großes "I" fügt eine Regel ein, bezeichnet kein Device.
--dport 21 \ -m state --state NEW,ESTABLISHED -j ACCEPT
# FTP Active
/usr/sbin/iptables -A FORWARD -i $EXTERNAL_IF -o $LAN_IF -p tcp \ --sport 20 \ -m state --state ESTABLISHED,RELATED -j ACCEPT
/usr/sbin/iptables -A FORWARD -i $LAN_IF -o $EXTERNAL_IF -p tcp \ --dport 20 \ -m state --state ESTABLISHED -j ACCEPT
# FTP Passive. Server und Client auf High Ports
/usr/sbin/iptables -A FORWARD -i $EXTERNAL_IF -o $LAN_IF -p tcp \ --sport $UNPRIVPORTS --dport $UNPRIVPORTS \ -m state --state ESTABLISHED -j ACCEPT
/usr/sbin/iptables -A FORWARD -i $LAN_IF -o $EXTERNAL_IF -p tcp \ --sport $UNPRIVPORTS --dport $UNPRIVPORTS \ -m state --state ESTABLISHED,RELATED -j ACCEPT
Stimmt eigentlich soweit.
Wie sieht es mit der Input-/Output-Chain aus? Wahrscheinlich auf ^^^^^^^^^^^^^^^^^^^ Ist nicht vorhanden, da nur Router (Forwarding) ACCEPT. Habe jetzt festgestellt: "wget --passive ftp://ftp.asuscom.de/pub/ASUSCOM/BIOS/Slot_I/INTEL_Chipset/ i440BX/P3B-F/1006f3.zip" (ohne "-r") tut. Die Datei wurde auch schon zuvor (mit Optioin -r) geladen, nur zeigt wget dann ein "0%" an: wget suchte vergeblich die "nächste" Datei und ich hatte nur _eine_ Datei angefordert.
Nur der Mozilla (1.0.1b) und der Konqueror bleiben hängen. Kann es daran liegen dass Squid dazwischenfunkt? Mozilla gab die Fehlermeldung: "426 Connection closed; transfer aborted". Habe alle HTTP-Anfragen auf der Firewall auf den Squid transparent umgeleitet: ".. -A PREROUTING ..." ---------------------- squid.conf----------------------------------------- # TAG: ftp_passive # If your firewall does not allow Squid to use passive # connections, then turn off this option. # #Default: # ftp_passive on ---------------------- squid.conf----------------------------------------- Interessanterweise weist meine squid.conf nach einem "harden_suse" nicht mehr die Option "ftp_sanitycheck" auf. Auf einer normalen SuSE 8.0 Maschine steht dieser Eintrag: ---------------------- squid.conf----------------------------------------- #Default: # ftp_sanitycheck on ---------------------- squid.conf----------------------------------------- Ist das die richtige Richtung, die ich einschlagen sollte? Gruß! Hermann Flacke hermann.flacke@t-online.de
Hallo, nach dem Filtern meines Mail-Eingangs mittels kmail-Filter, hatten sich die Mails stark vervielfacht. Das hat den Mail-Engang sehr schnell auf 5-stellige Mengen ansteigen lassen. Gibt es ein Script mit dem man mehrfach vorkommende gleichlautende mails gleich in den Papierkorb schicken kann? Vielen Dank für die Unterstützung. Heribert Hock
Am Mittwoch, 5. September 2001 00:37 schrieb Heribert Hock:
Hallo, nach dem Filtern meines Mail-Eingangs mittels kmail-Filter, hatten sich die Mails stark vervielfacht. Das hat den Mail-Engang sehr schnell auf 5-stellige Mengen ansteigen lassen. Gibt es ein Script mit dem man mehrfach vorkommende gleichlautende mails gleich in den Papierkorb schicken kann?
überprüf doch mal die Filter-Einstellungen vielleicht hast du ja blos irgendwo ein "verschieben" mit einem "kopieren" verwechselt -- tschau fisch
Moin, * Heribert Hock <Heribert.Hock@t-online.de> [01-09-05 00:37]:
nach dem Filtern meines Mail-Eingangs mittels kmail-Filter, hatten sich die Mails stark vervielfacht. Das hat den Mail-Engang sehr schnell auf 5-stellige Mengen ansteigen lassen. Das ist eine Menge.
Gibt es ein Script mit dem man mehrfach vorkommende gleichlautende mails gleich in den Papierkorb schicken kann? formail(1)
Thorsten -- Resistance is useless Vogon Proverb
participants (8)
-
Andre Fischer -
Andreas Koenecke -
Heribert.Hock@t-online.de -
Hermann Flacke -
Lukas Beeler -
Michael Nausch -
Thomas Preissler -
Thorsten Haude