Ich hab mit iptables nen Paketfilter (der aus dem Artikel von hjb) auf nem Server laufen, der masqueradet. Funktioniert eigentlich alles bis auf ein paar Kleinigkeiten.
Nämlich das Ziel ist, ein Rechner im Netzt soll die ICQ Sonderdienste wie Filesharing können und als FTP Server dienen.
Nach Recherche im usenet/web ist klar das ich Portforwarding brauch; aus ein paar Schnipseln hab ich jetzt das erzeugt:
${IPTABLES} -t nat -A POSTROUTING -o ppp0 -j MASQUERADE #ist klar,für masquerading
InICQ()
{
#in tcp
${IPTABLES} -A INPUT -j ACCEPT -i ${INTERFACE} -p tcp \
--dport 51000:51015 -m state --state NEW,ESTABLISHED,RELATED
${IPTABLES} -A OUTPUT -j ACCEPT -o ${INTERFACE} -p tcp \
--sport 51000:51015 -m state --state ESTABLISHED,RELATED
${IPTABLES} -A FORWARD -j ACCEPT -i ${INTERFACE} -p tcp \
--dport 51000:51015 -m state --state NEW,ESTABLISHED,RELATED
${IPTABLES} -A FORWARD -j ACCEPT -o ${INTERFACE} -p tcp \
--sport 51000:51015 -m state --state ESTABLISHED,RELATED
#out tcp
${IPTABLES} -A OUTPUT -j ACCEPT -o ${INTERFACE} -p tcp \
--sport 1024: --dport 51000:51015 -m state --state NEW,ESTABLISHED,RELATED
${IPTABLES} -A INPUT -j ACCEPT -i ${INTERFACE} -p tcp \
--sport 51000:51015 -m state --state ESTABLISHED,RELATED
${IPTABLES} -A FORWARD -j ACCEPT -o ${INTERFACE} -p tcp \
-s ${LOCAL} --sport 1024: --dport 51000:51015 -m state --state NEW,ESTABLISHED,RELATED
${IPTABLES} -A FORWARD -j ACCEPT -i ${INTERFACE} -p tcp \
--sport 51000:51015 -d ${LOCAL} -m state --state ESTABLISHED,RELATED
${IPTABLES} -t nat -A PREROUTING -p tcp --dport 51000:51015 \
-i ${INTERFACE} -j DNAT --to ${MEINE_IP}
}
und OutTCP 5190 # Im web ist auch die rede von udp 4000, arum das?
Und im Client natürlich den Bereich angegeben.
Resultat ist, das immerhin einkommende Filetransfers gehen, aber ausgehende nicht, irgendwelche ideen?
Nun zum FTP server:
InFTP()
{
# kontrollverbindung
InTCP ftp
# passiv
${IPTABLES} -A INPUT -j ACCEPT -i ${INTERFACE} -p tcp --dport
1024: --sport 1024: -m state --state ESTABLISHED,RELATED
${IPTABLES} -A OUTPUT -j ACCEPT -o ${INTERFACE} -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED
}
Das hab ich im Usenet gefunden, nur heißt das nicht, das alle einkommenden verbindungen über port 1024 durchgelassen werden? wäre ja blöd, und wie sieht es dann mit portforwarding aus?
Diese ftp module sind geladen.
Schon dank im vorraus für die bemühungen, (hoffe nicht zuviel auf einmal gefragt
)mfG karl peters