Veröffentlicht 28. Dezember 200222 j in meinem Heinetz will ich nen FTP-Server laufen lassen (später auch fürs I-Net verfügbar). Ich habe per iptables die Ports 20,21 für TCP und UDP zugelassen. Beim Einwählen bekomme ich aber nen Socket-Timeout. Auf dem Rechner soll auch SAMBA laufen (Ports 137:139 für TCP,UDP offen). Funzt aber nicht. Hab ich noch was vergessen? Problem bei Maskierung von FTP: Wenn ich vo meiner Workstation einen FTP im Internet erreichen will klappt die Verbindung ganz gut. Aber ich bekomme kein Directory-Listing: Auszug (LeechFTP) (Server, Benutzer, PWD geändert): ~ Connecting... ~ Connected to xxxxx, waiting for response... < 220 FTP Server ready. > USER xxxxx < 331 Password required for xxxxx. > PASS xxxxx < 230 User xxxxx logged in. > REST 1 < 350 Restarting at 1. Send STORE or RETRIEVE to initiate transfer. > REST 0 < 350 Restarting at 0. Send STORE or RETRIEVE to initiate transfer. > SYST < 215 UNIX Type: L8 > PWD < 257 "/" is current directory. ~ Login completed. > PASV < 227 Entering Passive Mode (212,227,119,103,215,14). > TYPE A < 200 Type set to A. > LIST ~ Disconnected
28. Dezember 200222 j Nabend, poste dochmal deine IpTables Konfiguration, ohne die wird es sehr schwer dir zu helfen. Gruß Terran Marine
28. Dezember 200222 j Autor ##Masquerading für das interne Netz # FTP iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -p tcp --dport 20:21 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -p udp --dport 20:21 -j MASQUERADE ##SAMBA (nur internes Netz) # eingehende Pakete iptables -A INPUT -i eth0 -p tcp -s 192.168.0.0/24 --dport 137:139 -j ACCEPT iptables -A INPUT -i eth0 -p udp -s 192.168.0.0/24 --dport 137:139 -j ACCEPT #ausgehende Pakete iptables -A OUTPUT -o eth0 -p tcp -d 192.168.0.0/24 --sport 137:139 -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp -d 192.168.0.0/24 --sport 137:139 -j ACCEPT ## FTP-Server # eingehende Pakete iptables -A INPUT -i eth0 -p tcp -s 192.168.0.0/24 --dport 20:21 -j ACCEPT iptables -A INPUT -i eth0 -p udp -s 192.168.0.0/24 --dport 20:21 -j ACCEPT # ausgehende Pakete iptables -A OUTPUT -o eth0 -p tcp -d 192.168.0.0/24 --sport 20:21 -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp -d 192.168.0.0/24 --sport 20:21 -j ACCEPT 1. Anmerkung: laut meinem Linux-Seminar läuft die SAMBA-Kommunikation über die Ports 137:139 2. Anmerkung: wenn generell alles maskiere funktioniert der FTP-Zugriff im Internet richtig (also müsste noch der eine oder andere Port fehlen) 3. Anmerkung: alles was nicht zugelassen ist, erhält die Policy REJECT Ich hoffe das reicht (sonst könens noch mal 60 oder 70 Zeilen mehr werden )
28. Dezember 200222 j Originally posted by E-T ##Masquerading für das interne Netz # FTP iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -p tcp --dport 20:21 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -p udp --dport 20:21 -j MASQUERADE ##SAMBA (nur internes Netz) # eingehende Pakete iptables -A INPUT -i eth0 -p tcp -s 192.168.0.0/24 --dport 137:139 -j ACCEPT iptables -A INPUT -i eth0 -p udp -s 192.168.0.0/24 --dport 137:139 -j ACCEPT #ausgehende Pakete iptables -A OUTPUT -o eth0 -p tcp -d 192.168.0.0/24 --sport 137:139 -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp -d 192.168.0.0/24 --sport 137:139 -j ACCEPT 1. Anmerkung: laut meinem Linux-Seminar läuft die SAMBA-Kommunikation über die Ports 137:139 Nabend, zum FTP-Server kann ich leider nicht viel sagen. Afaik muss man für FTP-Server Nutzung noch ein Kernel-Modul laden. Samba : Die Ports stimmen, in meiner eigenen Firewall sieht das Skript fast identisch aus. Die dritte und vierte Zeile für Samba sind gleich, ändere das Protokoll in der vierten Zeile von tcp auf udp (ich nehme an das war auch mal dein Ziel ). Gruß Terran Marine
28. Dezember 200222 j Autor in meinem Skript steht ja das richtige Protokoll drin. beim Aufruf mount -t smbfs -o username=user //192.168.0.2/www /www erhalte ich "connection refused", "2948 connection to 192.168.0.2 failed", und "SMB Connection failes" nehme ich alle Einschränkungen raus funktioniert es. die sache mit den FTPs im Internet unktioniert mitlerweile. jetzt gibts nur noch die sachen im internen netz (also lokaler FTP und SAMBA).
29. Dezember 200222 j Originally posted by E-T nehme ich alle Einschränkungen raus funktioniert es. die sache mit den FTPs im Internet unktioniert mitlerweile. Morgen, alle Einschränkungen raus heisst ? Das du die Standardpolicy auf ACCEPT gesetzt hast, oder das du sämtliche anderen Regeln die sich noch in den Ketten INPUT und OUTPUT befinden auskommentiert hast? Falls das zweite zutrifft, musst du irgendwo im Skript noch Regeln haben, die SMB behindern. Gruß Terran Marine
29. Dezember 200222 j Autor Wenn ich alles im internen Netz zulasse funktioniert es. sieht in etwa so aus: iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT iptables -A OUTPUT -o eth0 -d 192.168.0.0/24 -j ACCEPT
29. Dezember 200222 j Originally posted by E-T Wenn ich alles im internen Netz zulasse funktioniert es. sieht in etwa so aus: iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT iptables -A OUTPUT -o eth0 -d 192.168.0.0/24 -j ACCEPT ok, so muss es funktionieren. Log dochmal alle abgewiesen Pakete mit, das geht indem du als letzten Ketteneintrag folgende Regel einfügst : iptables -A INPUT -j LOG -m limit --limit 5/Minute --log-prefix "Bad packet:" bzw. iptables -A OUTPUT -j LOG -m limit --limit 5/Minute --log-prefix "Bad packet:" Du findest die geloggten Pakete in /var/log/kern.log oder /var/log/messages. Gruß Terran Marine
Archiv
Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.