Iptables & ftp [Archiv] - linuxforen.de -- User helfen Usern

Archiv verlassen und diese Seite im Standarddesign anzeigen : Iptables & ftp

tost

14.12.04, 17:05

Hallo,

ich kriege Iptables mit ftp einfach nicht zum laufen, ich will nur Sachen auf meinen Webspace laden können, und mit aktivierter Firewall mit urpmi Sachen installieren !

$IPT -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED --dport 21 -j ACCEPT

und

$IPT -A INPUT -m state --state ESTABLISHED -j ACCEPT (RELATED) sollten doch eigentlich ausreichen, um passives ftp nutzen zu können, oder ?

die Module

modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp

sind geladen....

Natürlich sind INPUT , FORWARD und OUTPUT per -P gedroppt ;-)

Ich hoffe mir kann jemand helfen, die Suche brachte zwar viele Ergebnisse, aber keine für mich richtig gute Lösung des Problems ...

mfg
tost

magjo

14.12.04, 18:46

Hi Tost

ich glaube Du hast vergessen Port 20 freizugeben (ftp-data)

Joachim

cane

15.12.04, 07:14

Hallo!

# passives FTP zulassen
# Port 21 - Control
iptables -A INPUT -i $IF -p TCP -d $LOCIP --source-port 21 -j ACCEPT
iptables -A OUTPUT -o $IF -p TCP -s $LOCIP --destination-port 21 -j ACCEPT
# Ports 1024:65535 - Data
iptables -A INPUT -i $IF -p TCP -d $LOCIP --source-port 1024:65535 \
-m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $IF -p TCP -s $LOCIP --destination-port 1024:65535 \
-m state --state RELATED,ESTABLISHED -j ACCEPT

$IF mußt Du durch das richtige Interface ersetzen...

Quelle:
http://www.belug.de/~k-gerhardt/firewall/firewall_mit_iptables.html#Aktives

Andre gute Quellen sind in der Linkliste dieses Forums genennt:
http://www.linuxforen.de/forums/showthread.php?t=136651

mfg
cane

tost

15.12.04, 14:13

iptables -A INPUT -i $IF -p TCP -d $LOCIP --source-port 1024:65535 \
-m state --state ESTABLISHED -j ACCEPT

kann ich damit nicht gleich ganz INPUT öffnen ?

tost

cane

16.12.04, 08:26

Das funktioniert nicht weil Du keine NEW Pakete zulässt.

Du kannst zwar das ganze Netz öffnen aber das hat den selben Effekt wie die Firewall ganz auszuschalten.

Also: Nicht machen!

mfg
cane

tost

17.12.04, 16:00

ah ok, vielen Dank ! Es funktioniert prima ...

tost

tost

24.12.04, 19:46

$IPT -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED --sport 21 -j ACCEPT
$IPT -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED --dport 21 -j ACCEPT
$IPT -A INPUT -p tcp -m state --state ESTABLISHED --source-port 1024:65535 -j ACCEPT
$IPT -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED --destination-port 1024:65535 -j ACCEPT

nachdem es auf dem Pc funktioniert, will es auf einem anderen nicht, da oben sind die betreffenden Regeln, die Policy ist auf DROP gestellt, sowohl IN als auch OUTPUT

tost

tost

24.12.04, 23:23

hat sich erledigt, es fehlten lediglich die modprobe Sachen im Skript

tost