On Thu, Feb 14, 2002 at 11:07:35AM +0100, Peter Kuechler wrote:
Am Mit, 2002-02-13 um 18.51 schrieb Martin Neuditschko:
On Wed, Feb 13, 2002 at 02:35:48PM +0100, Peter Kuechler wrote:
Am Mit, 2002-02-13 um 12.43 schrieb Sven Kröger:
Hallo Liste,
Eigentlich laufen mein iptables, aber wenn ich mit meinem FTP Client Von der Windoof Kiste eine Verbindung herrstellen will und in in der Konfiguration des Clients nicht sage passives FTP bekomme ich folgende Meldung:
"Ich werde keine Verbindung mit 192.168.3.5 herstellen (nur zu "IP meines Linux Gateway")"
Kann mir da jemand einen Tip geben.
Ist klar. Du hast deine Firewall so konfiguriert, das sie keinen Verbindungsaufbau von außen zulässt (was meiner Meinung nach auch richtig ist). Bei aktivem FTP wird aber die endgültige Datenverbindung von außen hergestellt! Bei passivem FTP wird auch die Datenverbindung vom Client hergestellt.
Nur hat man da das Problem, daß man die Ports 1024-65535 freischalten muß. Dann hat IMHO das ganze überhaupt keinen Sinn mehr sich um irgendwelche Ports zu kömmern, sondern kann dann gleich 90% der Filterregeln vergessen. Die einzigen 2 die übrig bleiben sind: iptables -i $external_interfac -m state --state NEW -j DROP iptables -i $external_interfac -m state --state INVALID -j DROP
wesshalb ich bei mir generel kein FTP zulasse.
Versteh ich nicht ganz. Ich lasse _keine_ _neuen_ Verbindungen von aussen zu. Passive ftp-Verbindungen werden vomn innen aufgebaut.
Vielleicht bin ich ja paranoid, aber ich überprüfe auch die Ports. Und nicht nur die eingehenden, sondern auch die ausgehenden und auch fürs interne Netzwerk sind nur ganz spezielle Ports freigeschalten.
Bei dem dynamischen Paketfilter von Linux sollte das Connection Tracking dafür sorgen, das Pakete zu existierenden Verbindungen zugeordnet werden können. Das soll sogar bei UDP Paketen funktionieren:-)
Ja eh, aber dann brauche ich die Ports nicht mehr zu überprüfen, bzw kann sie gar nicht mehr überprüfen. -- mfg Martin Neuditschko