Xothous
22.01.03, 18:17
Hallo,
ich habe hier einen Linux Router und zwei WinXP Workstations.
Ich bin jetzt angefangen mich mit iptables zu beschäftigen, und habe bisher folgendes Script erstellt:
#!/bin/sh
IPTABLES="/usr/sbin/iptables"
EXT_DEV="ppp0"
INT_DEV="eth1"
INT_IP="192.168.0.1"
LAN="192.168.0.0/24"
# Alte Regeln löschen
$IPTABLES -t filter -F
$IPTABLES -t mangle -F
$IPTABLES -t nat -F
$IPTABLES -X
# Alles verbieten
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP
# loopback Device
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
# SSH von innen zulassen
$IPTABLES -A INPUT -p tcp -s $LAN -d $INT_IP --sport 1024: --dport 22 -i $INT_DEV -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -s $INT_IP -d $LAN --sport 22 --dport 1024: -o $INT_DEV -m state --state ESTABLISHED -j ACCEPT
# HTTP
$IPTABLES -A FORWARD -p tcp -s $LAN --sport 1024: --dport 80 -o $EXT_DEV -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d $LAN --sport 80 --dport 1024: -o $INT_DEV -m state --state ESTABLISHED -j ACCEPT
# HTTPS
$IPTABLES -A FORWARD -p tcp -s $LAN --sport 1024: --dport 443 -o $EXT_DEV -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d $LAN --sport 443 --dport 1024: -o $INT_DEV -m state --state ESTABLISHED -j ACCEPT
# SMTP
$IPTABLES -A FORWARD -p tcp -s $LAN --sport 1024: --dport 25 -o $EXT_DEV -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d $LAN --sport 25 --dport 1024: -o $INT_DEV -m state --state ESTABLISHED -j ACCEPT
# POP3
$IPTABLES -A FORWARD -p tcp -s $LAN --sport 1024: --dport 110 -o $EXT_DEV -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d $LAN --sport 110 --dport 1024: -o $INT_DEV -m state --state ESTABLISHED -j ACCEPT
# IMAP
$IPTABLES -A FORWARD -p tcp -s $LAN --sport 1024: --dport 143 -o $EXT_DEV -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d $LAN --sport 143 --dport 1024: -o $INT_DEV -m state --state ESTABLISHED -j ACCEPT
# ICQ
$IPTABLES -A FORWARD -p tcp -s $LAN --sport 1024: --dport 443 -o $EXT_DEV -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d $LAN --dport 1024: --sport 443 -i $EXT_DEV -m state --state ESTABLISHED,RELATED -j ACCEPT
# IRC
$IPTABLES -A FORWARD -p tcp -s $LAN --sport 1024: --dport 6668 -o $EXT_DEV -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d $LAN --dport 1024: --sport 6668 -i $EXT_DEV -m state --state ESTABLISHED,RELATED -j ACCEPT
#FTP-Kontrollkanal
$IPTABLES -A FORWARD -p tcp -s $LAN --sport 1024: --dport 21 -o $EXT_DEV -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d $LAN --sport 21 --dport 1024: -o $INT_DEV -m state --state ESTABLISHED -j ACCEPT
#FTP-Datenkanal
$IPTABLES -A FORWARD -p tcp -d $LAN --sport 20 --dport 1024: -o $INT_DEV -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s $LAN --sport 1024: --dport 20 -o $EXT_DEV -m state --state ESTABLISHED -j ACCEPT
# DNS tcp und udp
$IPTABLES -A FORWARD -p tcp -s $LAN --sport 1024: --dport 53 -o $EXT_DEV -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d $LAN --sport 53 --dport 1024: -o $INT_DEV -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p udp -s $LAN --sport 1024: --dport 53 -o $EXT_DEV -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p udp -d $LAN --sport 53 --dport 1024: -o $INT_DEV -m state --state ESTABLISHED -j ACCEPT
#Masquerading
$IPTABLES -A POSTROUTING -j MASQUERADE -o $EXT_DEV -t nat
Soweit so gut, und alles was ich in dem Script zugelassen habe funzt auch super, nur das mit dem FTP bekomme ich nicht hin.
Wenn ich vom WinXP Client aus eine FTP Verbindung nach außen öffnen will wird der Kontrollkanal auch geöffnet so dass ich mich einloggen kann, aber dann beim einlesen des Verzeichnises bekomme ich folgende Fehlermeldung:
"425 Can´t build data connection: No route to host"
Was ist falsch an den Regeln für FTP?
Bitte um Hilfe
mfG Xothous
P.S. Habe mithilfe der Suchfunktion nichts gefunden
ich habe hier einen Linux Router und zwei WinXP Workstations.
Ich bin jetzt angefangen mich mit iptables zu beschäftigen, und habe bisher folgendes Script erstellt:
#!/bin/sh
IPTABLES="/usr/sbin/iptables"
EXT_DEV="ppp0"
INT_DEV="eth1"
INT_IP="192.168.0.1"
LAN="192.168.0.0/24"
# Alte Regeln löschen
$IPTABLES -t filter -F
$IPTABLES -t mangle -F
$IPTABLES -t nat -F
$IPTABLES -X
# Alles verbieten
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP
# loopback Device
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
# SSH von innen zulassen
$IPTABLES -A INPUT -p tcp -s $LAN -d $INT_IP --sport 1024: --dport 22 -i $INT_DEV -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -s $INT_IP -d $LAN --sport 22 --dport 1024: -o $INT_DEV -m state --state ESTABLISHED -j ACCEPT
# HTTP
$IPTABLES -A FORWARD -p tcp -s $LAN --sport 1024: --dport 80 -o $EXT_DEV -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d $LAN --sport 80 --dport 1024: -o $INT_DEV -m state --state ESTABLISHED -j ACCEPT
# HTTPS
$IPTABLES -A FORWARD -p tcp -s $LAN --sport 1024: --dport 443 -o $EXT_DEV -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d $LAN --sport 443 --dport 1024: -o $INT_DEV -m state --state ESTABLISHED -j ACCEPT
# SMTP
$IPTABLES -A FORWARD -p tcp -s $LAN --sport 1024: --dport 25 -o $EXT_DEV -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d $LAN --sport 25 --dport 1024: -o $INT_DEV -m state --state ESTABLISHED -j ACCEPT
# POP3
$IPTABLES -A FORWARD -p tcp -s $LAN --sport 1024: --dport 110 -o $EXT_DEV -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d $LAN --sport 110 --dport 1024: -o $INT_DEV -m state --state ESTABLISHED -j ACCEPT
# IMAP
$IPTABLES -A FORWARD -p tcp -s $LAN --sport 1024: --dport 143 -o $EXT_DEV -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d $LAN --sport 143 --dport 1024: -o $INT_DEV -m state --state ESTABLISHED -j ACCEPT
# ICQ
$IPTABLES -A FORWARD -p tcp -s $LAN --sport 1024: --dport 443 -o $EXT_DEV -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d $LAN --dport 1024: --sport 443 -i $EXT_DEV -m state --state ESTABLISHED,RELATED -j ACCEPT
# IRC
$IPTABLES -A FORWARD -p tcp -s $LAN --sport 1024: --dport 6668 -o $EXT_DEV -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d $LAN --dport 1024: --sport 6668 -i $EXT_DEV -m state --state ESTABLISHED,RELATED -j ACCEPT
#FTP-Kontrollkanal
$IPTABLES -A FORWARD -p tcp -s $LAN --sport 1024: --dport 21 -o $EXT_DEV -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d $LAN --sport 21 --dport 1024: -o $INT_DEV -m state --state ESTABLISHED -j ACCEPT
#FTP-Datenkanal
$IPTABLES -A FORWARD -p tcp -d $LAN --sport 20 --dport 1024: -o $INT_DEV -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s $LAN --sport 1024: --dport 20 -o $EXT_DEV -m state --state ESTABLISHED -j ACCEPT
# DNS tcp und udp
$IPTABLES -A FORWARD -p tcp -s $LAN --sport 1024: --dport 53 -o $EXT_DEV -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d $LAN --sport 53 --dport 1024: -o $INT_DEV -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p udp -s $LAN --sport 1024: --dport 53 -o $EXT_DEV -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p udp -d $LAN --sport 53 --dport 1024: -o $INT_DEV -m state --state ESTABLISHED -j ACCEPT
#Masquerading
$IPTABLES -A POSTROUTING -j MASQUERADE -o $EXT_DEV -t nat
Soweit so gut, und alles was ich in dem Script zugelassen habe funzt auch super, nur das mit dem FTP bekomme ich nicht hin.
Wenn ich vom WinXP Client aus eine FTP Verbindung nach außen öffnen will wird der Kontrollkanal auch geöffnet so dass ich mich einloggen kann, aber dann beim einlesen des Verzeichnises bekomme ich folgende Fehlermeldung:
"425 Can´t build data connection: No route to host"
Was ist falsch an den Regeln für FTP?
Bitte um Hilfe
mfG Xothous
P.S. Habe mithilfe der Suchfunktion nichts gefunden