hi nun ein echt schwieriges thema ... hab da 0 ahnung wie ich das jemals schaffen soll, is einfach jenseits von gut und böse


alsoooo ...ein freund
von mir hat nen linux ftp server aufgesetzt (auf port 40789) und erlaubt nur aktives ftp
(sprich ich muss bei mir im ftp client das pasv rausnehmen). ich selbst sitze hinter einem
linux router (suse 8.0 mit den iptables). bisher ist es mir leider nicht gelungen eine
brauchbare lösung dafür zu finden, ich erhalte nie ein verzeichnis listing und krieg
ständig timeouts.

ich verwende folgende iptables befehle in meinem skript...

$IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535
--dport ftp -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535
--dport 1024:65535 -m state --state NEW -j ACCEPT

was ich auch schon probiert habe mal, jedoch auch ohne erfolg, ist, meinen client so hinzutrimmen,
dass er die verbindung auf 10 ports (beispielsweise 1050-1060) "beschränkt" sag ich mal, diese
10 ports dann an meinen windows rechner weitergeleitet werden, hat aber auch nicht funktioniert.


wär super, vielleicht fällt dir eine lösung dazu ein, noch ein paar hinweise, der router hat
192.168.0.1 als interne ip mit eth0 mein windows rechner die 192.168.0.3


vielen dank und viele grüsse

Original geschrieben von nuggi

ich verwende folgende iptables befehle in meinem skript...

$IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535
--dport ftp -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535
--dport 1024:65535 -m state --state NEW -j ACCEPT


lade die module ip_conntrack_ftp und ip_nat_ftp.

die regeln sehen etwas merkwürding aus. gib outbound traffic zu port 21 frei und erlaube alle zu einer session gehörige pakete:

$IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535
--dport ftp -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

falls du nicht ESTABLISHED,RELATED verwenden willst, musst du alle highports für inbound traffic öffnen.

-j