Hallo Liste, Eigentlich laufen mein iptables, aber wenn ich mit meinem FTP Client Von der Windoof Kiste eine Verbindung herrstellen will und in in der Konfiguration des Clients nicht sage passives FTP bekomme ich folgende Meldung: "Ich werde keine Verbindung mit 192.168.3.5 herstellen (nur zu "IP meines Linux Gateway")" Kann mir da jemand einen Tip geben. Mit freundlichen Grüßen Sven Kröger
Am Mit, 2002-02-13 um 12.43 schrieb Sven Kröger:
Hallo Liste,
Eigentlich laufen mein iptables, aber wenn ich mit meinem FTP Client Von der Windoof Kiste eine Verbindung herrstellen will und in in der Konfiguration des Clients nicht sage passives FTP bekomme ich folgende Meldung:
"Ich werde keine Verbindung mit 192.168.3.5 herstellen (nur zu "IP meines Linux Gateway")"
Kann mir da jemand einen Tip geben.
Ist klar. Du hast deine Firewall so konfiguriert, das sie keinen Verbindungsaufbau von außen zulässt (was meiner Meinung nach auch richtig ist). Bei aktivem FTP wird aber die endgültige Datenverbindung von außen hergestellt! Bei passivem FTP wird auch die Datenverbindung vom Client hergestellt. Aus diesem Grund setze ich nur passives FTP ein, was heute auch praktisch überall unterstützt wird (die ganzen Browser benutzen das z.B.) Es gibt aber glaube ich ein Kernelmodul, das auch aktives FTP unterstützt, hab ich aber nicht im Einsatz. -- mfg Peter Küchler, Planungsverband Frankfurt Region Rhein Main
"Ich werde keine Verbindung mit 192.168.3.5 herstellen (nur zu "IP meines Linux Gateway")"
Kann mir da jemand einen Tip geben.
Ist klar. Du hast deine Firewall so konfiguriert, das sie keinen Verbindungsaufbau von außen zulässt (was meiner Meinung nach auch richtig ist). Bei aktivem FTP
Alles klar besten Dank Gruß Sven
On Wed, Feb 13, 2002 at 02:35:48PM +0100, Peter Kuechler wrote:
Am Mit, 2002-02-13 um 12.43 schrieb Sven Kröger:
Hallo Liste,
Eigentlich laufen mein iptables, aber wenn ich mit meinem FTP Client Von der Windoof Kiste eine Verbindung herrstellen will und in in der Konfiguration des Clients nicht sage passives FTP bekomme ich folgende Meldung:
"Ich werde keine Verbindung mit 192.168.3.5 herstellen (nur zu "IP meines Linux Gateway")"
Kann mir da jemand einen Tip geben.
Ist klar. Du hast deine Firewall so konfiguriert, das sie keinen Verbindungsaufbau von außen zulässt (was meiner Meinung nach auch richtig ist). Bei aktivem FTP wird aber die endgültige Datenverbindung von außen hergestellt! Bei passivem FTP wird auch die Datenverbindung vom Client hergestellt.
Nur hat man da das Problem, daß man die Ports 1024-65535 freischalten muß. Dann hat IMHO das ganze überhaupt keinen Sinn mehr sich um irgendwelche Ports zu kömmern, sondern kann dann gleich 90% der Filterregeln vergessen. Die einzigen 2 die übrig bleiben sind: iptables -i $external_interfac -m state --state NEW -j DROP iptables -i $external_interfac -m state --state INVALID -j DROP wesshalb ich bei mir generel kein FTP zulasse. -- mfg Martin Neuditschko
At Mittwoch, 13. Februar 2002 18:51 Martin Neuditschko wrote:
Die einzigen 2 die übrig bleiben sind: iptables -i $external_interfac -m state --state NEW -j DROP iptables -i $external_interfac -m state --state INVALID -j DROP
Oder auch nur noch eine:
iptables -i $external_interfac -m state --state NEW,INVALID -j DROP
;)
--
Andreas Feile
On Wed, Feb 13, 2002 at 11:27:54PM +0100, Andreas Feile wrote:
At Mittwoch, 13. Februar 2002 18:51 Martin Neuditschko wrote:
Die einzigen 2 die übrig bleiben sind: iptables -i $external_interfac -m state --state NEW -j DROP iptables -i $external_interfac -m state --state INVALID -j DROP
Oder auch nur noch eine:
iptables -i $external_interfac -m state --state NEW,INVALID -j DROP
;)
Funktioniert ja auch nicht! Da fehlt noch die Chain. -- mfg Martin Neuditschko
Am Mit, 2002-02-13 um 18.51 schrieb Martin Neuditschko:
On Wed, Feb 13, 2002 at 02:35:48PM +0100, Peter Kuechler wrote:
Am Mit, 2002-02-13 um 12.43 schrieb Sven Kröger:
Hallo Liste,
Eigentlich laufen mein iptables, aber wenn ich mit meinem FTP Client Von der Windoof Kiste eine Verbindung herrstellen will und in in der Konfiguration des Clients nicht sage passives FTP bekomme ich folgende Meldung:
"Ich werde keine Verbindung mit 192.168.3.5 herstellen (nur zu "IP meines Linux Gateway")"
Kann mir da jemand einen Tip geben.
Ist klar. Du hast deine Firewall so konfiguriert, das sie keinen Verbindungsaufbau von außen zulässt (was meiner Meinung nach auch richtig ist). Bei aktivem FTP wird aber die endgültige Datenverbindung von außen hergestellt! Bei passivem FTP wird auch die Datenverbindung vom Client hergestellt.
Nur hat man da das Problem, daß man die Ports 1024-65535 freischalten muß. Dann hat IMHO das ganze überhaupt keinen Sinn mehr sich um irgendwelche Ports zu kömmern, sondern kann dann gleich 90% der Filterregeln vergessen. Die einzigen 2 die übrig bleiben sind: iptables -i $external_interfac -m state --state NEW -j DROP iptables -i $external_interfac -m state --state INVALID -j DROP
wesshalb ich bei mir generel kein FTP zulasse.
Versteh ich nicht ganz. Ich lasse _keine_ _neuen_ Verbindungen von aussen zu. Passive ftp-Verbindungen werden vomn innen aufgebaut. Bei dem dynamischen Paketfilter von Linux sollte das Connection Tracking dafür sorgen, das Pakete zu existierenden Verbindungen zugeordnet werden können. Das soll sogar bei UDP Paketen funktionieren:-) -- mfg Peter Küchler, Planungsverband Frankfurt Region Rhein Main
On Thu, Feb 14, 2002 at 11:07:35AM +0100, Peter Kuechler wrote:
Am Mit, 2002-02-13 um 18.51 schrieb Martin Neuditschko:
On Wed, Feb 13, 2002 at 02:35:48PM +0100, Peter Kuechler wrote:
Am Mit, 2002-02-13 um 12.43 schrieb Sven Kröger:
Hallo Liste,
Eigentlich laufen mein iptables, aber wenn ich mit meinem FTP Client Von der Windoof Kiste eine Verbindung herrstellen will und in in der Konfiguration des Clients nicht sage passives FTP bekomme ich folgende Meldung:
"Ich werde keine Verbindung mit 192.168.3.5 herstellen (nur zu "IP meines Linux Gateway")"
Kann mir da jemand einen Tip geben.
Ist klar. Du hast deine Firewall so konfiguriert, das sie keinen Verbindungsaufbau von außen zulässt (was meiner Meinung nach auch richtig ist). Bei aktivem FTP wird aber die endgültige Datenverbindung von außen hergestellt! Bei passivem FTP wird auch die Datenverbindung vom Client hergestellt.
Nur hat man da das Problem, daß man die Ports 1024-65535 freischalten muß. Dann hat IMHO das ganze überhaupt keinen Sinn mehr sich um irgendwelche Ports zu kömmern, sondern kann dann gleich 90% der Filterregeln vergessen. Die einzigen 2 die übrig bleiben sind: iptables -i $external_interfac -m state --state NEW -j DROP iptables -i $external_interfac -m state --state INVALID -j DROP
wesshalb ich bei mir generel kein FTP zulasse.
Versteh ich nicht ganz. Ich lasse _keine_ _neuen_ Verbindungen von aussen zu. Passive ftp-Verbindungen werden vomn innen aufgebaut.
Vielleicht bin ich ja paranoid, aber ich überprüfe auch die Ports. Und nicht nur die eingehenden, sondern auch die ausgehenden und auch fürs interne Netzwerk sind nur ganz spezielle Ports freigeschalten.
Bei dem dynamischen Paketfilter von Linux sollte das Connection Tracking dafür sorgen, das Pakete zu existierenden Verbindungen zugeordnet werden können. Das soll sogar bei UDP Paketen funktionieren:-)
Ja eh, aber dann brauche ich die Ports nicht mehr zu überprüfen, bzw kann sie gar nicht mehr überprüfen. -- mfg Martin Neuditschko
Hiho, Martin Neuditschko wrote:
On Wed, Feb 13, 2002 at 02:35:48PM +0100, Peter Kuechler wrote:
Am Mit, 2002-02-13 um 12.43 schrieb Sven Kröger:
Hallo Liste,
Eigentlich laufen mein iptables, aber wenn ich mit meinem FTP Client Von der Windoof Kiste eine Verbindung herrstellen will und in in der Konfiguration des Clients nicht sage passives FTP bekomme ich folgende Meldung:
"Ich werde keine Verbindung mit 192.168.3.5 herstellen (nur zu "IP meines Linux Gateway")"
Kann mir da jemand einen Tip geben.
Ist klar. Du hast deine Firewall so konfiguriert, das sie keinen Verbindungsaufbau von außen zulässt (was meiner Meinung nach auch richtig ist). Bei aktivem FTP wird aber die endgültige Datenverbindung von außen hergestellt! Bei passivem FTP wird auch die Datenverbindung vom Client hergestellt.
Nur hat man da das Problem, daß man die Ports 1024-65535 freischalten muß. Dann hat IMHO das ganze überhaupt keinen Sinn mehr sich um irgendwelche Ports zu kömmern, sondern kann dann gleich 90% der Filterregeln vergessen. Die einzigen 2 die übrig bleiben sind: iptables -i $external_interfac -m state --state NEW -j DROP iptables -i $external_interfac -m state --state INVALID -j DROP
wesshalb ich bei mir generel kein FTP zulasse.
Mit iptables geht es doch eigentlich relativ einfach: # die Module laden: modprobe ip_conntrack_ftp modprobe ipt_state # ein und ausgehendes FTP erlauben: iptables -A INPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j LOG iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j LOG iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT HTH Thorsten
Am Don, 2002-02-14 um 11.22 schrieb Thorsten Strusch:
Hiho,
Martin Neuditschko wrote:
On Wed, Feb 13, 2002 at 02:35:48PM +0100, Peter Kuechler wrote:
Am Mit, 2002-02-13 um 12.43 schrieb Sven Kröger:
Hallo Liste,
Eigentlich laufen mein iptables, aber wenn ich mit meinem FTP Client Von der Windoof Kiste eine Verbindung herrstellen will und in in der Konfiguration des Clients nicht sage passives FTP bekomme ich folgende Meldung:
"Ich werde keine Verbindung mit 192.168.3.5 herstellen (nur zu "IP meines Linux Gateway")"
Kann mir da jemand einen Tip geben.
Ist klar. Du hast deine Firewall so konfiguriert, das sie keinen Verbindungsaufbau von außen zulässt (was meiner Meinung nach auch richtig ist). Bei aktivem FTP wird aber die endgültige Datenverbindung von außen hergestellt! Bei passivem FTP wird auch die Datenverbindung vom Client hergestellt.
Nur hat man da das Problem, daß man die Ports 1024-65535 freischalten muß. Dann hat IMHO das ganze überhaupt keinen Sinn mehr sich um irgendwelche Ports zu kömmern, sondern kann dann gleich 90% der Filterregeln vergessen. Die einzigen 2 die übrig bleiben sind: iptables -i $external_interfac -m state --state NEW -j DROP iptables -i $external_interfac -m state --state INVALID -j DROP
wesshalb ich bei mir generel kein FTP zulasse.
Mit iptables geht es doch eigentlich relativ einfach:
# die Module laden: modprobe ip_conntrack_ftp modprobe ipt_state
# ein und ausgehendes FTP erlauben: iptables -A INPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j LOG iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j LOG iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Dabei sind mir zwei Sachen nicht ganz klar: 1. Die erste INPUT-regel. Warum soll ich die bei ausgehendem FTP brauchen? 2. Der Parameter --syn. Ist der noch nötig, wenn ich schon mit NEW arbeite? -- mfg Peter Küchler, Planungsverband Frankfurt Region Rhein Main
Am Donnerstag, 14. Februar 2002 12:05 schrieb Peter Kuechler:
Am Don, 2002-02-14 um 11.22 schrieb Thorsten Strusch:
Hiho,
Martin Neuditschko wrote:
On Wed, Feb 13, 2002 at 02:35:48PM +0100, Peter Kuechler wrote:
Am Mit, 2002-02-13 um 12.43 schrieb Sven Kröger:
Hallo Liste,
Eigentlich laufen mein iptables, aber wenn ich mit meinem FTP Client Von der Windoof Kiste eine Verbindung herrstellen will und in in der Konfiguration des Clients nicht sage passives FTP bekomme ich folgende Meldung:
"Ich werde keine Verbindung mit 192.168.3.5 herstellen (nur zu "IP meines Linux Gateway")"
Kann mir da jemand einen Tip geben.
Ist klar. Du hast deine Firewall so konfiguriert, das sie keinen Verbindungsaufbau von außen zulässt (was meiner Meinung nach auch richtig ist). Bei aktivem FTP wird aber die endgültige Datenverbindung von außen hergestellt! Bei passivem FTP wird auch die Datenverbindung vom Client hergestellt.
Nur hat man da das Problem, daß man die Ports 1024-65535 freischalten muß. Dann hat IMHO das ganze überhaupt keinen Sinn mehr sich um irgendwelche Ports zu kömmern, sondern kann dann gleich 90% der Filterregeln vergessen. Die einzigen 2 die übrig bleiben sind: iptables -i $external_interfac -m state --state NEW -j DROP iptables -i $external_interfac -m state --state INVALID -j DROP
wesshalb ich bei mir generel kein FTP zulasse.
Mit iptables geht es doch eigentlich relativ einfach:
# die Module laden: modprobe ip_conntrack_ftp modprobe ipt_state
# ein und ausgehendes FTP erlauben: iptables -A INPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j LOG iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j LOG iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Dabei sind mir zwei Sachen nicht ganz klar:
1. Die erste INPUT-regel. Warum soll ich die bei ausgehendem FTP brauchen?
Brauch man nicht. Die wäre dann für eingehendes FTP.
2. Der Parameter --syn. Ist der noch nötig, wenn ich schon mit NEW arbeite?
Eigentlich nicht. Greets Marius -- http://sf.net/projects/sg-packetfilter http://sg-packetfilter.sf.net
On Thu, Feb 14, 2002 at 11:22:04AM +0100, Thorsten Strusch wrote:
Hiho,
Martin Neuditschko wrote:
On Wed, Feb 13, 2002 at 02:35:48PM +0100, Peter Kuechler wrote:
Du hast deine Firewall so konfiguriert, das sie keinen Verbindungsaufbau von außen zulässt (was meiner Meinung nach auch richtig ist). Bei aktivem FTP wird aber die endgültige Datenverbindung von außen hergestellt! Bei passivem FTP wird auch die Datenverbindung vom Client hergestellt.
Nur hat man da das Problem, daß man die Ports 1024-65535 freischalten muß. Dann hat IMHO das ganze überhaupt keinen Sinn mehr sich um irgendwelche Ports zu kömmern, sondern kann dann gleich 90% der Filterregeln vergessen. Die einzigen 2 die übrig bleiben sind: iptables -i $external_interfac -m state --state NEW -j DROP iptables -i $external_interfac -m state --state INVALID -j DROP
wesshalb ich bei mir generel kein FTP zulasse.
Mit iptables geht es doch eigentlich relativ einfach:
# die Module laden: modprobe ip_conntrack_ftp modprobe ipt_state
Das braucht man nicht, es wird alles was gebraucht wird automatisch geladen.
# ein und ausgehendes FTP erlauben: iptables -A INPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT
Du lässt also FTP auch von außerhalb zu?
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j LOG iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j LOG iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Du lässt also alle Porst generell zu (von innen)? Naja, bei mir sehen die Regeln standardmäßig so aus: int_if=eth0 ext_if=ppp0 c_ip=192.168.0.102 HiPorts=(1024:65535) # POP3 (TCP 110) iptables -A FORWARD -i $int_if -o $ext_if -s $c_ip -p tcp --sport $HiPorts --dport 110 -j ACCEPT iptables -A FORWARD -i $ext_if -o $int_if -d $c_ip -p tcp --sport 110 --dport $HiPorts -j ACCEPT Wenn ich alle Ports so freischalten würde wie du, dann wäre mein Script ca. 1/20 von jetzt. -- mfg Martin Neuditschko
Am Donnerstag 14 Februar 2002 11:22 schrieb Thorsten Strusch:
Hiho,
Martin Neuditschko wrote:
On Wed, Feb 13, 2002 at 02:35:48PM +0100, Peter Kuechler wrote:
Am Mit, 2002-02-13 um 12.43 schrieb Sven Kröger:
Hallo Liste,
Eigentlich laufen mein iptables, aber wenn ich mit meinem FTP Client Von der Windoof Kiste eine Verbindung herrstellen will und in in der Konfiguration des Clients nicht sage passives FTP bekomme ich folgende Meldung:
"Ich werde keine Verbindung mit 192.168.3.5 herstellen (nur zu "IP meines Linux Gateway")"
Kann mir da jemand einen Tip geben.
Ist klar. Du hast deine Firewall so konfiguriert, das sie keinen Verbindungsaufbau von außen zulässt (was meiner Meinung nach auch richtig ist). Bei aktivem FTP wird aber die endgültige Datenverbindung von außen hergestellt! Bei passivem FTP wird auch die Datenverbindung vom Client hergestellt.
Nur hat man da das Problem, daß man die Ports 1024-65535 freischalten muß. Dann hat IMHO das ganze überhaupt keinen Sinn mehr sich um irgendwelche Ports zu kömmern, sondern kann dann gleich 90% der Filterregeln vergessen. Die einzigen 2 die übrig bleiben sind: iptables -i $external_interfac -m state --state NEW -j DROP iptables -i $external_interfac -m state --state INVALID -j DROP
wesshalb ich bei mir generel kein FTP zulasse.
Mit iptables geht es doch eigentlich relativ einfach:
# die Module laden: modprobe ip_conntrack_ftp modprobe ipt_state
# ein und ausgehendes FTP erlauben: iptables -A INPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j LOG iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j LOG iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
HTH Thorsten
Hi, Hab die oben angefuehrten Regeln eingegeben aber der MAC Rechner kann trotzdem noch nicht mit seinem FTP Programm auf unsere Web Page zugreifen um sie zu erneuern. Genauer gesagt das Passwort kann uebertragen werden und es kommt auch die Bestaetigung retour aber die Daten koennen nicht angezeigt werden bzw erreicht werden ? Hat das was mit aktiven und passiven FTP zutun ? mfg Thomas Mayr
On Thu, Feb 14, 2002 at 02:05:53PM +0100, Thomas wrote:
Am Donnerstag 14 Februar 2002 11:22 schrieb Thorsten Strusch:
# die Module laden: modprobe ip_conntrack_ftp modprobe ipt_state
# ein und ausgehendes FTP erlauben: iptables -A INPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j LOG iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j LOG iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
HTH Thorsten
Hi,
Hab die oben angefuehrten Regeln eingegeben aber der MAC Rechner kann trotzdem noch nicht mit seinem FTP Programm auf unsere Web Page zugreifen um sie zu erneuern. Genauer gesagt das Passwort kann uebertragen werden und es kommt auch die Bestaetigung retour aber die Daten koennen nicht angezeigt werden bzw erreicht werden ? Hat das was mit aktiven und passiven FTP zutun ?
Ja, genau. Du musst passives FTP aktivieren, oder den Port 20 auch noch freischalten. -- mfg Martin Neuditschko
Am Donnerstag 14 Februar 2002 15:11 schrieb Martin Neuditschko:
On Thu, Feb 14, 2002 at 02:05:53PM +0100, Thomas wrote:
Am Donnerstag 14 Februar 2002 11:22 schrieb Thorsten Strusch:
# die Module laden: modprobe ip_conntrack_ftp modprobe ipt_state
# ein und ausgehendes FTP erlauben: iptables -A INPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j LOG iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j LOG iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
HTH Thorsten
Hi,
Hab die oben angefuehrten Regeln eingegeben aber der MAC Rechner kann trotzdem noch nicht mit seinem FTP Programm auf unsere Web Page zugreifen um sie zu erneuern. Genauer gesagt das Passwort kann uebertragen werden und es kommt auch die Bestaetigung retour aber die Daten koennen nicht angezeigt werden bzw erreicht werden ? Hat das was mit aktiven und passiven FTP zutun ?
Ja, genau. Du musst passives FTP aktivieren, oder den Port 20 auch noch freischalten.
Hi, Vielen Dank schon mal. Wenn ich Port 20 aktivieren will muss die Regel so ausschauen? iptables -A INPUT -p tcp --dport 20 --syn -m state --state NEW -j ACCEPT iptables -A OUTPUT -p tcp --dport 20 --syn -m state --state NEW -j ACCEPT Langt es die hinzuzufuegen ? Und noch eine Frage, kannst du mir kurz erklaeren welche Regel fuer was zustaendig ist? Fuer mich ist das ganze noch sehr neu. mfg Thomas Mayr
Am Donnerstag, 14. Februar 2002 16:29 schrieb Thomas:
Am Donnerstag 14 Februar 2002 15:11 schrieb Martin Neuditschko:
On Thu, Feb 14, 2002 at 02:05:53PM +0100, Thomas wrote:
Am Donnerstag 14 Februar 2002 11:22 schrieb Thorsten Strusch:
# die Module laden: modprobe ip_conntrack_ftp modprobe ipt_state
# ein und ausgehendes FTP erlauben: iptables -A INPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j LOG iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j LOG iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
HTH Thorsten
Hi,
Hab die oben angefuehrten Regeln eingegeben aber der MAC Rechner kann trotzdem noch nicht mit seinem FTP Programm auf unsere Web Page zugreifen um sie zu erneuern. Genauer gesagt das Passwort kann uebertragen werden und es kommt auch die Bestaetigung retour aber die Daten koennen nicht angezeigt werden bzw erreicht werden ? Hat das was mit aktiven und passiven FTP zutun ?
Ja, genau. Du musst passives FTP aktivieren, oder den Port 20 auch noch freischalten.
Hi,
Vielen Dank schon mal. Wenn ich Port 20 aktivieren will muss die Regel so ausschauen?
iptables -A INPUT -p tcp --dport 20 --syn -m state --state NEW -j ACCEPT iptables -A OUTPUT -p tcp --dport 20 --syn -m state --state NEW -j ACCEPT
Nicht ganz, aber fast. Der Input Chain sollte überprüfen ob der Source Port, Port 20 (ftp Port) ist und der Destination Port sollte ein unpriviligierter Port also 1024 bis 65535 sein. Das --syn ist überflüssig, da du ja schon -m state --state NEW angibtst. Damit auch zu einer bereits aufgebauten Verbindung gehörende Packete hindurchgelassen werden solltest du noch ESTABLISHED und RELATED ergänzen, sonst funktioniert das Ganze sowieso nicht. Desweiteren lässt du aber mit deinem Input Chain eine Verbindung auf Port 20 zu, also auf _deinen_ ftp port zu. Da du aber keinen FTP Server bereitstellst ist dies nicht nötig. Ich würde das ganze so realisieren: iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p TCP --sport 1024:65535 --dport ftp \ -m state --state NEW Die Chains funktionieren auch :-)
Langt es die hinzuzufuegen ?
Und noch eine Frage, kannst du mir kurz erklaeren welche Regel fuer was zustaendig ist? Fuer mich ist das ganze noch sehr neu.
Da die Regeln jetzt wieder ein bisschen anders aussehen erkläre ich das Ganze jetzt nicht, aber wenn es noch fragen gibt, dann melde dich einfach (gerne auch per PM: marbre@linux.sungazer.de). Greets Marius -- http://sf.net/projects/sg-packetfilter http://sg-pachetfilter.sf.net
On 13 Feb 2002, Peter Kuechler wrote:
Am Mit, 2002-02-13 um 12.43 schrieb Sven Kröger:
Eigentlich laufen mein iptables, aber wenn ich mit meinem FTP Client Von der Windoof Kiste eine Verbindung herrstellen will und in in der Konfiguration des Clients nicht sage passives FTP bekomme ich folgende Meldung:
"Ich werde keine Verbindung mit 192.168.3.5 herstellen (nur zu "IP meines Linux Gateway")"
Du hast deine Firewall so konfiguriert, das sie keinen Verbindungsaufbau von außen zulässt (was meiner Meinung nach auch richtig ist). Bei aktivem FTP wird aber die endgültige Datenverbindung von außen hergestellt! Bei passivem FTP wird auch die Datenverbindung vom Client hergestellt.
Da waere mir unwohl. Bei meinen Servern wird - ausser das klitzekleine Durchschlupfloch ssh - nichts von aussen her ermoeglicht, was dem Verbindungswunsch in sich birgt. Alternativ waere hier an einen FTP-Proxy zu denken. Es gibt deren mehrere, ich kann leider mangels Erfahrung keinen bestimmten empfehlen. Vielleicht kann jemand eine Empfehlung und dazu ein paar passende URLs nennen, die dem Fragesteller weiterhelfen. Gruss Peter Blancke -- Nachtwaechter ist der Wahnsinn, weil er wacht...
Hi, On Wednesday, February 13, 2002 at 19:30:09, Peter Blancke wrote:
On 13 Feb 2002, Peter Kuechler wrote:
Am Mit, 2002-02-13 um 12.43 schrieb Sven Kröger:
Eigentlich laufen mein iptables, aber wenn ich mit meinem FTP Client Von der Windoof Kiste eine Verbindung herrstellen will und in in der Konfiguration des Clients nicht sage passives FTP bekomme ich folgende Meldung:
Du hast deine Firewall so konfiguriert, das sie keinen Verbindungsaufbau von außen zulässt (was meiner Meinung nach auch richtig ist). Bei aktivem FTP wird aber die endgültige Datenverbindung von außen hergestellt! Bei passivem FTP wird auch die Datenverbindung vom Client hergestellt.
Alternativ waere hier an einen FTP-Proxy zu denken. Es gibt deren mehrere, ich kann leider mangels Erfahrung keinen bestimmten empfehlen.
SuSE Proxy Suite
Vielleicht kann jemand eine Empfehlung und dazu ein paar passende URLs nennen, die dem Fragesteller weiterhelfen.
http://www.suse.de/en/support/whitepapers/proxy_suite/index.html Henne -- Hendrik Vogelsang aka Henne mailto: hvogel@hennevogel.de If you could be either God's worst enemy or nothing, which would you choose? # fightclub sigs made with fortune
participants (9)
-
Andreas Feile -
Henne Vogelsang -
Marius Brehler -
Martin Neuditschko -
Peter Blancke -
Peter Kuechler -
Sven Kröger -
Thomas -
Thorsten Strusch