IPTables

[Dennis Wronka]

Das ist unsinnig.
Damit machst Du Dir die Konfiguration hoechstens kaputt.

Die Regeln sind in dem Moment aktiv in dem Du sie eintraegst.

 

[snoophallo]

Das kann aber das FTP Problem nicht hervorgerufen haben. Da ich einen FTP test schon durchgeführt habe, bevor ich den Befehl ausgeführt habe.
Ich habe jetzt die Port 20, 21 und 1024 für FTP freigegeben. Allerdings bleibt der Zugang weiterhin gesperrt.

 

[Dennis Wronka]

Wofuer 1024?
Fuer die Kommunikation kann ein beliebiger Port > 1024 geoeffnet werden.

Hast Du TCPDump oder Ethereal?

Poste mal bitte den Output von iptables-save
Falls Du kein iptables-save hast, dann den Output von iptables -L -v

 

[snoophallo]

Chain INPUT (policy DROP 490 packets, 67783 bytes)
 pkts bytes target     prot opt in     out     source               destination                    
21335 2998K firewall   all  --  any    any     anywhere             anywhere                       

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination                    

Chain OUTPUT (policy ACCEPT 20759 packets, 1756K bytes)
 pkts bytes target     prot opt in     out     source               destination                    

Chain firewall (1 references)
 pkts bytes target     prot opt in     out     source               destination                    
  650 30035 ACCEPT     tcp  --  any    any     anywhere             anywhere                               tcp dpt:ftp
  459 88061 ACCEPT     tcp  --  any    any     anywhere             anywhere                               tcp dpt:www
 2336  186K ACCEPT     tcp  --  any    any     anywhere             anywhere                               tcp dpt:2200
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere                               tcp dpt:ftp-data
  992  854K ACCEPT     all  --  any    any     anywhere             anywhere                               state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere                               tcp dpt:1024

 

[Dennis Wronka]

Wie da schoen zu sehen ist greift auch die RELATED,ESTABLISHED-Regel.
Also eigentlich sollte es funktionieren.
Versuchst Du lokal oder von einem anderen Rechner zuzugreifen?

Fuege mal diese Regel hinzu:

iptables -A firewall -i lo -j ACCEPT

 

[snoophallo]

Der Fehler könnte vielleicht daran liegen, dass der FTP Zugriff im aktiven Port Modus ist. Aber wie könnte man das Problem am besten beheben, da der Port sich immer ändert.

Client Server

Port ------------------------------> Port 21

Port <----------------------------- Port

 

[Dennis Wronka]

Vielleicht einfach mal mit passivem FTP testen.
Ich werd mir gleich mal ein wenig was durchlesen.
Ich denk mal das passende RFC wird ein paar Infos ausspucken.

 

[snoophallo]

Eine Frage hab ich noch und zwar wie kann ich einen eigens angelegten Chain wieder löschen?
Mit dem Befehl

iptables -X firewall

kommt nur die Fehlermeldung

Can't delete chain with references left

Welche Möglichkeit hat man noch um den chain zu löschen?

 

[Dennis Wronka]

Du gehst schon den richtigen Weg, jedoch vergisst Du einen Schritt.
Wie die Fehlermeldung schon sagt kannst Du keine Kette loeschen die noch irgendwo genutzt wird.
Du musst also alle Spruenge in diese Kette loeschen bevor Du dann die Kette loeschen kannst.

Beispiel:
Kette erstellen

iptables -N test
iptables -A test -i eth0 -j DROP
iptables -A INPUT -j test

Kette loeschen

iptables -D INPUT -j test
iptables -X test