FTP über ein Router (iptables)

Post Reply
Message
Author
Arthur+Schubert

FTP über ein Router (iptables)

#1 Post by Arthur+Schubert »

hi leute,
hab ein problem mit ftp durch meine firewall. auf dem firewall läuft suse 8.0 und das ganze wird über iptables gefilter. so weit funktioniert alles von mir gewünschte (http,https, pop und smtp). das problem tritt auf wenn ftp eingesetzt wird. in den ipt-regeln wird ftp über forward geleitet.
das problem (kein upload möglich) tritt auf wenn ich versuche vom ftp-client (w2k) files auf einen ftp-server upzuloaden. der download funktioniert fehlerfrei. desweiteren ist es mir nicht möglich unter suse (desktop system hinter dem firewall) das you-update auszufühern, auch wenn /etc/wgetrc mit passiv läuft (lösung aus der SDB). hab keine ahnung wo ich suchen bzw. ansetzen sollte.

hier noch das iptables script:

#ports
set p_low = 0:1023
set p_high = 1024:65535

#interfaces
set int = eth0
set ext = ppp0

#dynamische kernelparameter
echo "0" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

#DEFAULT POLICY
#--------------
$ipt -P INPUT DROP
$ipt -P FORWARD DROP
$ipt -P OUTPUT DROP

#MASQUERADING
$ipt -t nat -A POSTROUTING -o $ext -j MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr

#Ausgehende Pakete bei bestehender Verbindung
$ipt -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A FORWARD -i $int -o $ext \
-m state --state ESTABLISHED,RELATED -j ACCEPT

#Rueckkanal: eingehende Pakete zu einer bestehenden Verbindung
$ipt -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A FORWARD -i $ext -o $int \
-m state --state ESTABLISHED,RELATED -j ACCEPT

#ftp
$ipt -A FORWARD -o $ext -m state --state NEW \
-p TCP --sport $p_high --dport ftp \
-j ACCEPT
$ipt -A FORWARD -o $ext -m state --state NEW \
-p TCP --sport $p_high --dport $p_high \
-j ACCEPT

weißt jemand abhilfe????

danke schon vor ab !!!!!!!!

Michael

Re: FTP über ein Router (iptables)

#2 Post by Michael »

Das adressiert zwar nicht direkt Dein Problem, trotzdem
würde ich eine FTP-Proxy empfehlen:

<a href="http://www.suse.de/en/whitepapers/proxy_suite/" target="_blank"><!--auto-->http://www.suse.de/en/whitepapers/proxy ... <!--auto-->

http://www.google.com/search?hl=en&lr=& ... gle+Search

Cheers

Michael

Arthur Schubert

Re: FTP über ein Router (iptables)

#3 Post by Arthur Schubert »

danke für den tip, hab mich aber entschieden auf ein ftp-proxy zu verzichten.

hab die lösung des problems gefunden.

1. für win w2k ftp-client fehlte das modul ip_conntrackt
2. für suse you-update muß ausser passive_ftp = on auch der eintrag http_proxy = 192.168.0.1:8080 gemacht werden (ip von squid), da you die liste der update-server per hhtp von www.suse.de holt. irgendwie fonde ich das seltsam und in der suse-db nicht hinreichend erklärt bzw. nicht mak angedeutet. naja aber es funtz jetzt

gruß
arthur

Post Reply