4. nochmal iptables und ftp

nochmal iptables und ftp

  • M

    hi leute,

    kann mir jemand helfen? habe jetzt nen schoenes firewall script geschrieben, nur leider geht ftp von den clients nicht. was muss ich denn aendern damit es geht.
    zuerst mal ne kleine beschreibung vom netz:

    welt (192.168.0.x) - server - clients (192.168.2.x)
    der zugriff auf das web soll von den clients ueber den server erfolgen mittels routing (forwarding). vom server selbst geht ftp, von den clients nicht. ich benutze suse9.2 mit kernel 2.6.x und iptables und einen squid proxy server. es sollte eigentlich damit gehen wie ich gelesen habe.

    hier mein \1:

    #! /bin/sh
    SuSEfirewall2 stop
    echo "1" > /proc/sys/net/ipv4/ip_forward
    # Initialisierung des Forwardings

    iptables -F

    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP

    # loopback akzeptieren
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT

    # gesammten zugriff auf server erlauben
    iptables -A INPUT -i eth1 -s 192.168.100.0/24 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    iptables -A OUTPUT -o eth1 -d 192.168.100.0/24 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

    # masquerating anschalten bei allen die raus gehen
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    # port 80 blocken wegen umgehung proxy
    iptables -A FORWARD -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j DROP

    # alles weiterrouten
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    # alles was neu von NICHT ausserhalb kommt akzeptieren
    iptables -A FORWARD -i ! eth0 -m state --state NEW -j ACCEPT

    echo "Firewall started"

    danke.
    msp

    0
  • ?

    hi,
    habe jetzt soweit alles hinbekommen, hab nur das problem das der server nach einer unbestimmten zeit nicht mehr erreichbar ist, weder durch ping durch sonst irgend etwas. worann es liegt weiss ich nicht, aber bestehende verbindungen werden gehalten (ssh). hat jemand ne idee wie man was rausfinden kann???

    danke.
    msp

    0
  • N

    msp1 schrieb:

    hat jemand ne idee wie man was rausfinden kann???

    Mal tcpdum, netstat, iptables -L und die restlichen üblichen Verdächtigen anwerfen.

    0
Anmelden zum Antworten