Archiv verlassen und diese Seite im Standarddesign anzeigen : iptables mit ftp und proxy
Hallo
ich bin schon seit einiger zeit am suchen und basteln
mit iptables und FTP.
meine firewall läuft soweit schon recht ordentlich.
Surfen läuft über Squid (momentan noch mit der browser einstellung auf 3128)
auf der Firewall und der BIND8 läuft auch ordentlich auf der FW.
aber ich komme irgendwie nicht in die richtung das ich innerhalb des
netzwerkes mit einem FTP clienten auf externe (im Internet) FTP server
zugreifen kann.
es ist mir eigentlich egal mit welcher methode man das löst ich will nur das
es endlich mal läuft.
und ich komme auch nicht so richtig mit dem transparent proxy klar.
hab schon einige regeln versucht aber das hat meist nicht funktioniert.
ich hoffe mit kann jemand in die richtige richtung schieben.
cu
moin moin
aber ich komme irgendwie nicht in die richtung das ich innerhalb des netzwerkes mit einem FTP clienten auf externe (im Internet) FTP server zugreifen kann.
#---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
# FTP, OUT, CONTROL CONNECTION
#---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -i $int -o $ext -m state --state NEW -p TCP --sport $p_high --dport ftp -j ACCEPT
#--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
# FTP, OUT, passive DATA CONNECTION
#--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -i $int -o $ext -m state --state ESTABLISHED -p TCP --sport $p_high --dport $p_high -j ACCEPT
$int = internes interface
$ext = externes interface
$p_high = highports
die regeln für die pakete die zu bestehenden verbindungen gehören, hast du sicher schon definiert in deinem script, oder?
Gruß HL
hallo
super das hat mich in die richtige richtung geschoben.
alles andere hab ich jetzt mit iptables und dem firewall log selber hinbekommen.
noch ne kurze frage zum connection tracking.
wie und wo sollte das aufgebaut werden und an welcher stelle sollten da die regeln hin??
cu
moin
super das hat mich in die richtige richtung geschoben.
mehr sollte es auch nicht sein ;)
wie und wo sollte das aufgebaut werden und an welcher stelle sollten da die regeln hin??
ich hab's bei mir ziemlich weit *oben* direkt hinter der logging chain. die regeln sehen folgendermaßen bei mir aus
#--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
# ausgehende Pakete bei bereits aufgebauter Verbindung erlauben
#-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
$ipt -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A FORWARD -i $int -o $ext -m state --state ESTABLISHED,RELATED -j ACCEPT
#--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
# Rückkanal: eingehende Paket zu einer bestehenden Verbindung
#--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
$ipt -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A INPUT -m state --state NEW,INVALID -j MY_LOGREJECT
$ipt -A FORWARD -i $ext -o $int -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A FORWARD -i $ext -o $int -m state --state NEW,INVALID -j MY_LOGREJECT
Gruß HL
hi
also meine FW läuft jetzt so wie ich es auch wollte, muss nur noch einige
kleine details lösen.
aber noch´ ne frage.
gibt es eine möglichkeit zu sehen welche regeln auf welche verbindung trifft.
also ich meine wenn packete durch die FW gehen dann möchte ich
sehen wie und welche regel der FW auf die packete wirken ?
cu
moin moin
da bin ich jetzt etwas überfragt, sowas wie iptables -L oder iptables-save meinst du sicher nicht, oder?
ansonsten schau dir mal das target -j Mark an, ob man damit sowas eventuell lösen kann.
Gruß HL
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.