[solved] aktives FTP geht nicht

feldmaus · Beitrag von **feldmaus** » 17.11.2005 15:12:17

Hallo,

habe einen Debian Sarge Router,
auf dem ich eine akive Firewall aufgesetzt habe.

Habe den FTP Teil auch eingerichtet nur funzt
es nicht.
Keine Ahnung warum?
Laut meiner Lektüre und den Postings,
müsste ich alles richtig gemacht haben.

Was mache ich also falsch?

Ausschnitt aus meiner Firewall,

#######################################################
# FTP - FTP - FTP
#
# - Kontrollverbinduung
iptables -A ext-in -p tcp --dport 1024:65535 --sport 21 ! --syn -j ACCEPT
iptables -A ext-out -p tcp --sport 1024:65535 --dport 21 -j ACCEPT
#echo "ebene 6a"
# - - Kontrollverbindung Forwarding durch die Firewall
iptables -A int-fw -p tcp --sport 1024:65535 --dport 21 ! --syn -j ACCEPT
iptables -A ext-fw -p tcp --dport 1024:65535 --sport 21 -j ACCEPT
# - aktives FTP
iptables -A ext-in -p tcp --dport 1024:65535 --sport 20 ! --syn -j ACCEPT
iptables -A ext-out -p tcp --sport 1024:65535 --dport 20 -j ACCEPT
#echo "ebene 6b"
# - - Forwarding durch die Firewall
iptables -A int-fw -p tcp --sport 1024:65535 --dport 20 ! --syn -j ACCEPT
iptables -A ext-fw -p tcp --dport 1024:65535 --sport 20 -j ACCEPT
# - passives FTP
iptables -A ext-in -p tcp --dport 1024:65535 --sport 1024:65535 ! --syn -j ACCEPT
iptables -A ext-out -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
# - - Forwarding durch die Firewall
iptables -A int-fw -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
iptables -A ext-fw -p tcp --dport 1024:65535 --sport 1024:65535 ! --syn -j ACCEPT
#echo "ebene 7"
#######################################################

komplette firewall regel von M.F.
http://nopaste.debianforum.de/get/1644

Ausschnitt der Ausgabe von iptables -L

Chain INPUT (policy DROP)
target prot opt source destination
int-in all -- anywhere anywhere
ext-in all -- anywhere anywhere
ACCEPT all -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN tcpmss match 1400:1536 TCPMSS clamp to PMTU
int-fw all -- anywhere anywhere
ext-fw all -- anywhere anywhere

Chain OUTPUT (policy DROP)
target prot opt source destination
int-out all -- anywhere anywhere
ext-out all -- anywhere anywhere
ACCEPT all -- anywhere anywhere

Chain ext-fw (1 references)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp spt:ftp dpts:1024:65535
ACCEPT tcp -- anywhere anywhere tcp spts:1024:65535 dpts:1024:65535 flags:!SYN,RST,ACK/SYN

Chain ext-in (1 references)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp spt:ftp dpts:1024:65535 flags:!SYN,RST,ACK/SYN
ACCEPT tcp -- anywhere anywhere tcp spts:1024:65535 dpts:1024:65535 flags:!SYN,RST,ACK/SYN

Chain ext-out (1 references)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp spts:1024:65535 dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp spts:1024:65535 dpt:ftp-data
ACCEPT tcp -- anywhere anywhere tcp spts:1024:65535 dpts:1024:65535

Chain int-fw (1 references)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp spts:1024:65535 dpt:ftp flags:!SYN,RST,ACK/SYN
ACCEPT tcp -- anywhere anywhere tcp spts:1024:65535 dpts:1024:65535

Chain int-in (1 references)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere

Chain int-out (1 references)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere

Hier die komplette Ausgabe von iptables -L
http://nopaste.debianforum.de/get/1642

Ich müsste alle wichtigen Module geladen habe?
ip_conntrack_ftp

Komplette Liste geladener Module,
http://nopaste.debianforum.de/get/1643

mfg Markus

feldmaus · Beitrag von **feldmaus** » 25.11.2005 14:29:14

Hallo, habe es nun hinbekommen,

der FTP-Teil war leicht verfälscht.

Hier nochmal der korrekte FTP Teil.

#######################################################
# FTP - FTP - FTP
#
# - Kontrollverbinduung
iptables -A ext-in -p tcp --dport 1024:65535 --sport 21 ! --syn -j ACCEPT
iptables -A ext-out -p tcp --sport 1024:65535 --dport 21 -j ACCEPT
#echo "ebene 6a"
# - - Kontrollverbindung Forwarding durch die Firewall
iptables -A int-fw -p tcp --sport 1024:65535 --dport 21 -j ACCEPT
iptables -A ext-fw -p tcp --dport 1024:65535 --sport 21 ! --syn -j ACCEPT
# - aktives FTP
iptables -A ext-in -p tcp --dport 1024:65535 --sport 20 -j ACCEPT
iptables -A ext-out -p tcp --sport 1024:65535 --dport 20 ! --syn -j ACCEPT
#echo "ebene 6b"
# - - Forwarding durch die Firewall
iptables -A int-fw -p tcp --sport 1024:65535 --dport 20 ! --syn -j ACCEPT
iptables -A ext-fw -p tcp --dport 1024:65535 --sport 20 -j ACCEPT
# - passives FTP
iptables -A ext-in -p tcp --dport 1024:65535 --sport 1024:65535 ! --syn -j ACCEPT
iptables -A ext-out -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
# - - Forwarding durch die Firewall
iptables -A int-fw -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
iptables -A ext-fw -p tcp --dport 1024:65535 --sport 1024:65535 ! --syn -j ACCEPT
#echo "ebene 7"
#######################################################

mfg Markus