iptables passiv ftp

[numx]

Hallo Leute,

ich habe ein Firewall Gateway und bin soweit mit meiner Konfiguration zufrieden. Da ich aber von meinem internen Netz auf einen externen passive FTP Server der explizite Verschlüsselung benutzt zugreifen möchte fehlt mir noch diese Regel. Zusammenfassend:

Firewall-Gateway trennt internes Netz (Lan0) vom Internet (Extern0) über zwei Netzwerkkarten und ich bräuchte noch die Regel damit ich auf einen externen passiv FTP-Server mit expliziter Verschlüsselung vom internen Netz zugreifen kann. Die Module ip_conntrack_ftp und ip_nat_ftp habe ich schon geladen aber wie es dann weiter geht weis ich nicht. Beim FTP-Server sind die PassivePorts 49152 bis 65534 freigegeben. es handelt sich um ein Proftpd FTP-Server

Es wäre nett wenn einer von euch mir helfen könnte und mir die 2 oder 3 Regeln nennen könnte.

 

[T-One]

Hallo,

ich lasse einfach die Ports von 1024 bis 65535 für Passiv-FTP offen, also bei dir 49152 bis 65534

HIGH_PORTS = 1024:65535

${IPTABLES} -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

${IPTABLES} -A FORWARD -o ${INTERFACE} -p tcp --sport ${HIGH_PORTS} -dport ftp -m state --state NEW -j ACCEPT

${IPTABLES} -A FORWARD -o ${INTERFACE} -p tcp --sport ${HIGH_PORTS} -dport ${HIGH_PORTS} -m state --state NEW -j ACCEPT

mfg
T-One

 

[helidoc]

$IPTABLES -A FORWARD -i $INTDEV -o $EXTDEV -p tcp --dport 21 -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Einige Server bauen eine identd-Verbindung auf, daher solltest du noch folgenes eintragen:

$IPTABLES -A INPUT -p tcp --dport 113 -j REJECT

Damit verbindet der Server schneller als bei einem DROP