warum kann ich mit dem folgendem script nicht mehr mit krusader auf meine Webseiten (ftp) zugreifen die bei meinem webhoster liegen?
http://paste.debian.net/2964
Gruß Nixdorf
firewall
Hm, 2 Dinge: zum einen, hast du mal passive Mode versucht?
Zum anderen: du scheinst ja recht fleissig zu loggen, welche Pakete nicht durchkommen, auch hier solltest du eventuell einen Hinweis finden.
FTP ist leider etwas heikel bei Firewalls, wenn man active mode machen will. Ich hatte hier im Board mal nen Link gepostet, wo das gut erklaert wurde, wie man FTP mittels dem conntrack_ftp Modul auch fuer active mode nutzbar machen kann.
Zum anderen: du scheinst ja recht fleissig zu loggen, welche Pakete nicht durchkommen, auch hier solltest du eventuell einen Hinweis finden.
FTP ist leider etwas heikel bei Firewalls, wenn man active mode machen will. Ich hatte hier im Board mal nen Link gepostet, wo das gut erklaert wurde, wie man FTP mittels dem conntrack_ftp Modul auch fuer active mode nutzbar machen kann.
firewall
was ist den das Passive Datenübertragung gefunden habe ich das bei gftp bei krusader finde ich das nicht, krusader benötigei ch aber.
in den log-files finde ich immer wieder solche files:
Nov 29 16:41:14 debian kernel: IN= OUT=ippp0 SRC=212.144.108.138 DST=218.27.103.206 LEN=403 TOS=0x00 PREC=0xC0 TTL=64 ID=51732 PROTO=ICMP TYPE=3 CODE=3 [SRC=218.27.103.206 DST=212.144.108.138 LEN=375 TOS=0x00 PREC=0x00 TTL=49 ID=0 DF PROTO=UDP SPT=49481 DPT=1027 LEN=355 ]
kann die aber leider nicht so richtig deuten wann wird geblockt von der firewall wann nicht?
Gruß NIxdorf
in den log-files finde ich immer wieder solche files:
Nov 29 16:41:14 debian kernel: IN= OUT=ippp0 SRC=212.144.108.138 DST=218.27.103.206 LEN=403 TOS=0x00 PREC=0xC0 TTL=64 ID=51732 PROTO=ICMP TYPE=3 CODE=3 [SRC=218.27.103.206 DST=212.144.108.138 LEN=375 TOS=0x00 PREC=0x00 TTL=49 ID=0 DF PROTO=UDP SPT=49481 DPT=1027 LEN=355 ]
kann die aber leider nicht so richtig deuten wann wird geblockt von der firewall wann nicht?
Gruß NIxdorf
-
warzenpower
- Beiträge: 109
- Registriert: 01.04.2005 18:35:10
Re: firewall
nixdorf hat geschrieben:warum kann ich mit dem folgendem script nicht mehr mit krusader auf meine Webseiten (ftp) zugreifen die bei meinem webhoster liegen?
http://paste.debian.net/2964
was ist das für ein wirres script...?
was ist das für ein ip-bereich an ippp0, dem du dermassen unbeschränkten zugriff erlaubst... (udp unkontrolliert) ?!
für den zugriff per ftp musst du verbindungskanal 21 (udp/tcp) und datenkanal 20 (tcp) öffnen:
# ftp
# server selbst darf ftp fuer apt:
$iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT
$iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
# ftp-verbindungskanal oeffnen (ftp)
$iptables -A FORWARD -i $untrust -o $ext -p tcp --dport 21 -m state --state NEW -j ACCEPT
# aktives ftp (ftp-data)
$iptables -A FORWARD -i $ext -o $untrust -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
# passives ftp (ftp-data)
$iptables -A FORWARD -i $ext -o $untrust -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
$iptables -A FORWARD -i $untrust -o $ext -p tcp --sport 1024: --dport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
gruss
warzenpower
Re: firewall
warzenpower hat geschrieben:nixdorf hat geschrieben:warum kann ich mit dem folgendem script nicht mehr mit krusader auf meine Webseiten (ftp) zugreifen die bei meinem webhoster liegen?
http://paste.debian.net/2964
was ist das für ein wirres script...?
gröstenteils habe ich das script aus dem Buch Netzwerkadministration von Addison Wesley übernommen.
was ist das für ein ip-bereich an ippp0, dem du dermassen unbeschränkten zugriff erlaubst... (udp unkontrolliert) ?!
du meinst b.B.:
#iptables -A INPUT -i ippp0 -s 195.50.140.252/24 -p udp -j ACCEPT
192.50.140.252 ist der DNS-Server con meinem Provider, habe ich aus dem Buch übernommen. Brauche ich das denn nicht? Der DNS-Server muß doch meine Internetadressen auflösen und meinem Rechner mitteilen.
für den zugriff per ftp musst du verbindungskanal 21 (udp/tcp) und datenkanal 20 (tcp) öffnen:
# ftp
# server selbst darf ftp fuer apt:
$iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT
$iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
# ftp-verbindungskanal oeffnen (ftp)
$iptables -A FORWARD -i $untrust -o $ext -p tcp --dport 21 -m state --state NEW -j ACCEPT
# aktives ftp (ftp-data)
$iptables -A FORWARD -i $ext -o $untrust -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
# passives ftp (ftp-data)
$iptables -A FORWARD -i $ext -o $untrust -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
$iptables -A FORWARD -i $untrust -o $ext -p tcp --sport 1024: --dport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
das werd ich mal probieren..
gruß NIxdorf
-
herrchen
- Beiträge: 3257
- Registriert: 15.08.2005 20:45:28
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Berlin
Re: firewall
ja, aber mit der "/24" hinten erlaubst du den zugriff für ein ganzes netz.nixdorf hat geschrieben: #iptables -A INPUT -i ippp0 -s 195.50.140.252/24 -p udp -j ACCEPT
192.50.140.252 ist der DNS-Server con meinem Provider
ich hatte dich darauf auch schon in deinem vorherigen posting hingewiesen.
herrchen
Re: firewall
ja, leider durchschaue ich das ganze mit der DNS-Server-Freigabe noch nicht ganz.herrchen hat geschrieben:ja, aber mit der "/24" hinten erlaubst du den zugriff für ein ganzes netz.nixdorf hat geschrieben: #iptables -A INPUT -i ippp0 -s 195.50.140.252/24 -p udp -j ACCEPT
192.50.140.252 ist der DNS-Server con meinem Provider
ich hatte dich darauf auch schon in deinem vorherigen posting hingewiesen.
herrchen
Das ist doch dafür, wenn ich mit meinem Browser meinetwegen eine url eingebe (http://www.debian.de), daß mir dann mein DNS-Server ( 195.50.140.252 ) die URL auflosen kann und mir übermitteln darf, oder ? Da würde dann wohl auch einfach
iptables -A INPUT -i ippp0 -s 195.50.140.252 -p udp -j ACCEPT
reichen.
Werden die Daten vom DNS - Server immer per UDP übermittelt? Muß nichts anderes mehr freigegeben werden?
Gruß Nixdorf