dilindam
02.01.07, 21:55
Hallo allerseits,
ich habe lange nichts mit iptables zu tun gehabt deswegen die Frage:
Ich habe: Debian etch, proftpd und iptables im Einsatz.
Ich kann kein FTP Upload machen solange meine Firewall an ist.
Nicht am aktiven Modus und auch nicht im passiven Modus.
'Aktiv' ist klar, weil da müßte ich ja noch Port 20 öffnen. Will ich aber nicht.
Also schalte ich auf Passiv-Mode im gftp.
Dort kann ich mich zwar anmelden bekomme aber kein Directory Listing.
Nur wenn ich die Firewallregeln abschalte.
Nun zu den Fragen:
Wer öffnet nach dem anmelden die nächste Verbindung von Port >1024
an Port >1024 ? Der Server oder der Client?
Ist meine Firewall Regel falsch?
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: -j ACCEPT
iptables -A INPUT -p tcp --dport 1024: ! --syn -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Oder ist da nur die Reihenfolge falsch? Also erst das mit dem 'state'?
Das letzte habe ich noch nicht ausprobiert. Kann ich mir auch nicht vorstellen.
Ab hier sind Änderungen:
Habe gerade mal die Firewall daraufhin erweitert das alles andere geloggt wird und siehe da:
Jan02 23:11:15 server kernel: IN= OUT=eth0 SRC=xx.yy.20.88 DST=xx.yyy.231.95 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=28765 DF PROTO=TCP SPT=20 DPT=5002 WINDOW=5840 RES=0x00 SYN URGP=0
'SPT=20' Obwohl ich meinem FTP Client passiv eingestellt habe.
Habe nun die Firewall um einen Rule ergänzt:
iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
Nun kann ich aber auch immer Aktiv-FTP machen. Im Passiv-Mode muss ich das Directoy-Listing abbrechen
dann wird mir aber trotzdem der Inhalt angezeigt.
Versteh die Welt noch einer. Sind da Einstellungen im proftpd?
Kann ich mir nicht vorstellen, hab die Website schon danach durchforstet.
MfG Torsten
ich habe lange nichts mit iptables zu tun gehabt deswegen die Frage:
Ich habe: Debian etch, proftpd und iptables im Einsatz.
Ich kann kein FTP Upload machen solange meine Firewall an ist.
Nicht am aktiven Modus und auch nicht im passiven Modus.
'Aktiv' ist klar, weil da müßte ich ja noch Port 20 öffnen. Will ich aber nicht.
Also schalte ich auf Passiv-Mode im gftp.
Dort kann ich mich zwar anmelden bekomme aber kein Directory Listing.
Nur wenn ich die Firewallregeln abschalte.
Nun zu den Fragen:
Wer öffnet nach dem anmelden die nächste Verbindung von Port >1024
an Port >1024 ? Der Server oder der Client?
Ist meine Firewall Regel falsch?
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: -j ACCEPT
iptables -A INPUT -p tcp --dport 1024: ! --syn -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Oder ist da nur die Reihenfolge falsch? Also erst das mit dem 'state'?
Das letzte habe ich noch nicht ausprobiert. Kann ich mir auch nicht vorstellen.
Ab hier sind Änderungen:
Habe gerade mal die Firewall daraufhin erweitert das alles andere geloggt wird und siehe da:
Jan02 23:11:15 server kernel: IN= OUT=eth0 SRC=xx.yy.20.88 DST=xx.yyy.231.95 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=28765 DF PROTO=TCP SPT=20 DPT=5002 WINDOW=5840 RES=0x00 SYN URGP=0
'SPT=20' Obwohl ich meinem FTP Client passiv eingestellt habe.
Habe nun die Firewall um einen Rule ergänzt:
iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
Nun kann ich aber auch immer Aktiv-FTP machen. Im Passiv-Mode muss ich das Directoy-Listing abbrechen
dann wird mir aber trotzdem der Inhalt angezeigt.
Versteh die Welt noch einer. Sind da Einstellungen im proftpd?
Kann ich mir nicht vorstellen, hab die Website schon danach durchforstet.
MfG Torsten