Debian IPTABLES id_conntrack_ftp

Lieber Besucher, herzlich willkommen bei: Linux Forum Linux-Web.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

lukaslentner

Anfänger

Beiträge: 16

13.05.2009, 21:27

IPTABLES id_conntrack_ftp

Hallo,

ich habe 2 Fragen zu den Iptables:

1. Soweit ich das verstehe, steht die option -s für die IP der Quelle. Das ist bei INPUT der andere Rechner und bei OUTPUT der rechner mit der firewall, oder?
Ich dachte, so ist das auch mit den Ports, aber wenn ich bei OUTPUT --sport 80 angebe, geht keine 80er Verbindung mehr nach draussen. Wenn ich das ganze zu --dport ändere gehts. Warum????

2. Wollte ich den FTP-Zugang NACH DRAUSSEN wieder freischalten (Nach innen benutze ich SSH als Tunnel).
Ich habe schon gehört, dass FTP wegen den beiden Kanälen etwas blöd zum Filtern ist. Ich will auch auf keinen Fall die ganzen höheren Ports aufmachen!!! So gibt es da ein Modul (ich glaube ein Kernelmodul, aber das weiß ich eben genau nicht) namens id_conntrack_ftp, welches man zusammen mit den 21 Port freigaben mit modprobe laden soll.
Nur ist das Problem, dass dies nicht geht. Ich bekomme modprobe: Can't open dependicies file /lib/modules/2.6.18-028stab060.2/modules.dep (No such file or directory). Ich bin auf einem V-Server bei Strato, vielleicht kann er deswegen nicht auf den Kernel zugreifen/laden ???

Was soll ich machen???

Mercy
Lukas

Zum Seitenanfang

linuxerr

Prof. Dr. Schlaumeier

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

14.05.2009, 19:13

RE: IPTABLES id_conntrack_ftp

Zitat

Original von lukaslentner
Hallo,

ich habe 2 Fragen zu den Iptables:

1. Soweit ich das verstehe, steht die option -s für die IP der Quelle. Das ist bei INPUT der andere Rechner und bei OUTPUT der rechner mit der firewall, oder?

Zitat

Ich dachte, so ist das auch mit den Ports, aber wenn ich bei OUTPUT --sport 80 angebe, geht keine 80er Verbindung mehr nach draussen. Wenn ich das ganze zu --dport ändere gehts. Warum????

weil dein rechner nicht über port 80 rausgeht, sondern den entfernten rechner auf port 80 kontaktiert. auf deiner seite wird nicht das port 80 benutzt, sindern irgendein freies highport (<1024). also zb
<ip_deines_rechners>:5066

<ip_von_www.linux-web.de>:80

mit --sport 80 hast du die firewall also angewiesen, nur verbindungen auf port 80 nach aussen zuzulassen und dieses port darf der user nicht nutzen, da es zu den reservierten ports <1024 gehört.
mit dport 80 erlaubst du ausgehende verbindungen, die als ziel ein port 80 des entfernten rechners haben und damit eine webverbindung herstellen.

Zitat

2. Wollte ich den FTP-Zugang .......
Was soll ich machen???

Mercy
Lukas

passives ftp nutzen.

Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

Zum Seitenanfang

lukaslentner

Anfänger

Beiträge: 16

15.05.2009, 01:58

Ahh, mercy.

Jetzt versteh ich das mit den ports. D.h. wenn ich keinen sport angebe, dann darf ich von jedem port aus eine anfrage auf den port 80 von jem anderem stellen?

Ok, also passives FTP scheint ohne Connection tracking zu gehen. Was muss ich da dann einrichten. Einen OUTPUT nach dport 21. Damit geht dann der Befehlskanal. Was braucht der Datenkanal? Wenn ich google komm ich immer wieder zu conntrack_ftp...

Ich brauche das FTP eigtl. nur für apt-get. Wie kann ich apt-get sagen, dass es im passiven modus laufen soll?

Mercy und vielen Dank für die kompetente Antwort.
Lukas

Zum Seitenanfang

Zurzeit ist neben Ihnen 1 Benutzer in diesem Thema unterwegs:

1 Besucher