ftp und iptables

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
lochkarte
Beiträge: 190
Registriert: 08.12.2004 11:43:44

ftp und iptables

Beitrag von lochkarte » 07.04.2005 13:05:31

Ich grüble gerade über einer Regel bezüglich ftp. Ich möchte von mir initiierte ftp-Verbindungen erlauben. Dabei wird ja der Datenkanal von der Gegenseite geöffnet. Wie kann ich dies denn als Regel formulieren, ohne mich gleich gänzlich auf den ftp-Ports zu öffnen?

Danke schon mal für Tipps.
Nach oben
toberkel
Beiträge: 155
Registriert: 19.05.2003 08:44:53
Wohnort: Lummerland

Beitrag von toberkel » 07.04.2005 13:25:06

iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

das sollte glaub ich helfen...

mfg toberkel
--
Rechtschreibfehler dienen der allgemeinen Belustigung,
und sind daher beabsichtigt.
Nach oben
Benutzeravatar
meandtheshell
Beiträge: 4054
Registriert: 14.01.2005 17:51:30

Beitrag von meandtheshell » 07.04.2005 13:36:41

@ niemand
wenn es dir um einen dienst also OSI layer 7 geht (ftp) dann musst du das mit einem proxy server machen

da ftp aber "meist" auf den TCP/IP stack aufsetz kannst du ganz normal mit iptables stateless (IP) bzw. statefull (tcp) filtering machen ....

was möchtest du genau ?
Nach oben
lochkarte
Beiträge: 190
Registriert: 08.12.2004 11:43:44

Beitrag von lochkarte » 07.04.2005 13:43:17

toberkel hat geschrieben:iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

das sollte glaub ich helfen...
Leider nicht für ftp.
Nach oben
lochkarte
Beiträge: 190
Registriert: 08.12.2004 11:43:44

Beitrag von lochkarte » 07.04.2005 13:54:40

meandtheshell hat geschrieben:was möchtest du genau ?
Per ftp Daten von einem Unix-Server holen, für den ich einen ftp-Gast-Zugang bekommen habe. Hier kann ich mich problemlos per ftp anmelden, die Datenverbindung wird aber anscheinend von iptables geblockt, weil sie vom FTP-Server aufgebaut wird.

Ich werde mich wohl etwas genauer in passives und aktives FTP einlesen müssen (wann benutzt man das schon mal?), um das Problem selbst genau zu verstehen.
Nach oben
Benutzeravatar
meandtheshell
Beiträge: 4054
Registriert: 14.01.2005 17:51:30

Beitrag von meandtheshell » 07.04.2005 14:03:17

aha - also wenn du von dem server von dem du files per ftp holst daten hast (IP, macadresse der NIC) kannst du ja ohne probleme iptables mit einer rule sagen das eben aufgrund dieser erkennungsmöglichkeit die tcp connection aufgebaut werden darf ... somit funkt. dann auch dein ftp file transfer

den server mit dig bearbeiten und dir so das holen was du brauchst und dann eben rules für iptables schreiben

Code: Alles auswählen

man dig
dann
http://iptables-tutorial.frozentux.net/ ... TCPMATCHES
oder
siehe MAC match
oder
überlege was sonst geht ...
möglichkeiten gibt es viele ...
Nach oben
lochkarte
Beiträge: 190
Registriert: 08.12.2004 11:43:44

Beitrag von lochkarte » 07.04.2005 14:20:55

meandtheshell hat geschrieben:aha - also wenn du von dem server von dem du files per ftp holst daten hast (IP, macadresse der NIC) kannst du ja ohne probleme iptables mit einer rule sagen das eben aufgrund dieser erkennungsmöglichkeit die tcp connection aufgebaut werden darf ... somit funkt. dann auch dein ftp file transfer
Das ist schon klar und würde in diesem speziellen Fall helfen.
Es geht mir aber um eine allgemeingültige Regel, die mir für aktives FTP (habe mich gerade schlau gemacht :wink: ) den Source-Port 20 für den Server öffnet, zu dem ich eben eine FTP-Verbindung aufgebaut habe.

Rein logisch scheint es mir eine simple Anforderung zu sein, aber bisher war auch googlen erfolglos. :cry:
Nach oben
lochkarte
Beiträge: 190
Registriert: 08.12.2004 11:43:44

Beitrag von lochkarte » 07.04.2005 14:24:54

Nun war googlen doch erfolgreich. :)

Und hier die Lösung:

Code: Alles auswählen

# modprobe ip_conntrack_ftp
Nach oben
Antworten

Zurück zu „Netzwerk“