On Thu, Feb 14, 2002 at 11:22:04AM +0100, Thorsten Strusch wrote:
Hiho,
Martin Neuditschko wrote:
On Wed, Feb 13, 2002 at 02:35:48PM +0100, Peter Kuechler wrote:
Du hast deine Firewall so konfiguriert, das sie keinen Verbindungsaufbau von außen zulässt (was meiner Meinung nach auch richtig ist). Bei aktivem FTP wird aber die endgültige Datenverbindung von außen hergestellt! Bei passivem FTP wird auch die Datenverbindung vom Client hergestellt.
Nur hat man da das Problem, daß man die Ports 1024-65535 freischalten muß. Dann hat IMHO das ganze überhaupt keinen Sinn mehr sich um irgendwelche Ports zu kömmern, sondern kann dann gleich 90% der Filterregeln vergessen. Die einzigen 2 die übrig bleiben sind: iptables -i $external_interfac -m state --state NEW -j DROP iptables -i $external_interfac -m state --state INVALID -j DROP
wesshalb ich bei mir generel kein FTP zulasse.
Mit iptables geht es doch eigentlich relativ einfach:
# die Module laden: modprobe ip_conntrack_ftp modprobe ipt_state
Das braucht man nicht, es wird alles was gebraucht wird automatisch geladen.
# ein und ausgehendes FTP erlauben: iptables -A INPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT
Du lässt also FTP auch von außerhalb zu?
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j LOG iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j LOG iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Du lässt also alle Porst generell zu (von innen)? Naja, bei mir sehen die Regeln standardmäßig so aus: int_if=eth0 ext_if=ppp0 c_ip=192.168.0.102 HiPorts=(1024:65535) # POP3 (TCP 110) iptables -A FORWARD -i $int_if -o $ext_if -s $c_ip -p tcp --sport $HiPorts --dport 110 -j ACCEPT iptables -A FORWARD -i $ext_if -o $int_if -d $c_ip -p tcp --sport 110 --dport $HiPorts -j ACCEPT Wenn ich alle Ports so freischalten würde wie du, dann wäre mein Script ca. 1/20 von jetzt. -- mfg Martin Neuditschko