funktioniert nicht bei mir!
so sehen die Regeln bei mir aus.
$i steht für den Ftp-Server (im Moment 0.0.0.0/0)
DEV_LAN Netzwerkdecice
DEV_INET klar, fürs Internet
LAN enthält die Netzadresse für lokale Netz
HIGH steht einfach nur 1024: drin
IP_EXT enthält einfach die Adresse des Router/Firewall nach der Maskierung.
ipchains -A input -i $DEV_LAN -s $LAN $HIGH -d $i 21 -p tcp -j ACCEPT
ipchains -A output -i $DEV_INET -s $IP_EXT $HIGH -d $i 21 -p tcp -j ACCEPT
ipchains -A input -i $DEV_INET -s $i 21 -d $IP_EXT $HIGH -p tcp ! -y -j ACCEPT
ipchains -A output -i $DEV_LAN -s $i 21 -d $LAN $HIGH -p tcp -j ACCEPT
# aktive ftp
ipchains -A input -i $DEV_LAN -s $LAN $HIGH -d $i 20 -p tcp ! -y -j ACCEPT
ipchains -A output -i $DEV_INET -s $IP_EXT $HIGH -d $i 20 -p tcp -j ACCEPT
ipchains -A input -i $DEV_INET -s $i 20 -d $IP_EXT $HIGH -p tcp ! -y -j ACCEPT
ipchains -A output -i $DEV_LAN -s $i 20 -d $LAN $HIGH -p tcp -j ACCEPT
Da rätsel ich schon so lange dran, es will aber einfach nicht laufen.
Wenn mir da einer helfen könnte....
a lot of thanx <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
Gruss Max
aktives ftp per ipchains ...
Re: aktives ftp per ipchains ...
hi max,
ich kapier noch nicht ganz das prob.: funktioniert der client nicht oder hast du einen ftp-server?
ipchains -A input -i $DEV_INET -s $i 20 -d $IP_EXT $HIGH -p tcp ! -y -j ACCEPT
diese zeile meint ja, das auf der isdnkarte alle Tcp-Pakete vom ftp-server 0.0.0.0 (port 20)durchgelassen werden, ausser das sychronisier-bit des pakets ist gesetzt. Wenn du von deinem clienten hinter dem router nun auf ftp.irgendwas.org willst geht das nur passiv, den wenn der server sich mit dem clienten sychronisieren will (auf port 20) sagt dein router DENY.
villeicht hilft das weiter.
gruss hug und lass mal wieder von dir hören
ich kapier noch nicht ganz das prob.: funktioniert der client nicht oder hast du einen ftp-server?
ipchains -A input -i $DEV_INET -s $i 20 -d $IP_EXT $HIGH -p tcp ! -y -j ACCEPT
diese zeile meint ja, das auf der isdnkarte alle Tcp-Pakete vom ftp-server 0.0.0.0 (port 20)durchgelassen werden, ausser das sychronisier-bit des pakets ist gesetzt. Wenn du von deinem clienten hinter dem router nun auf ftp.irgendwas.org willst geht das nur passiv, den wenn der server sich mit dem clienten sychronisieren will (auf port 20) sagt dein router DENY.
villeicht hilft das weiter.
gruss hug und lass mal wieder von dir hören
Re: aktives ftp per ipchains ...
/sbin/insmod ip_masq_ftp
im router und alles ist ok
ratte
im router und alles ist ok
ratte
Re: aktives ftp per ipchains ...
Erstmal Danke Hug und ratte!
Stimmt natürlich.
Das ! -y muss da weg
das Modul hatte ich schon drin.
Danke Jungs.
Gruss Max
PS: Hug, was macht dein Real-Server??
Stimmt natürlich.
Das ! -y muss da weg
das Modul hatte ich schon drin.
Danke Jungs.
Gruss Max
PS: Hug, was macht dein Real-Server??