iptables mit webmin

heppi

New Member
hallo,

versuche gerade iptables über webmin zu konfigurieren - ich habe probleme mit dem ftp-port:

folgende config:
*filter
:FORWARD ACCEPT [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -p tcp -m tcp -m multiport -j ACCEPT --dports 20,21

geht alles bis auf die ftp angaben - kann mir da jemand weiterhelfen? also wenn ich die firewall deaktiviere komme ich problemlos per ftp drauf ...
 

heppi

New Member
hallo sven,

die passiven ports sind aber eigentlich auskommentiert:
# PassivePorts 49152 49252

und wenn ich ins log schaue zeigt es mir folgendes an:
Nov 27 12:00:12 Debian-60-squeeze-64-LAMP proftpd[5408] Debian-60-squeeze-64-LAMP :):ffff:XX.XXX.XXX.XXX[::ffff:XX.XXX.XXX.XXX]): FTP session opened.
Nov 27 12:00:12 Debian-60-squeeze-64-LAMP proftpd[5408] Debian-60-squeeze-64-LAMP :):ffff:XX.XXX.XXX.XXX[::ffff:XX.XXX.XXX.XXX]): FTP session closed.
Nov 27 12:00:47 Debian-60-squeeze-64-LAMP proftpd[5469] Debian-60-squeeze-64-LAMP :):ffff:XX.XXX.XXX.XXX[::ffff:XX.XXX.XXX.XXX]): FTP session opened.
Nov 27 12:00:47 Debian-60-squeeze-64-LAMP proftpd[5469] Debian-60-squeeze-64-LAMP :):ffff:XX.XXX.XXX.XXX[::ffff:XX.XXX.XXX.XXX]): FTP session closed.

also die 5408 oder 5469 sind die ports - oder? d.h. ja er nimmt irgendwelchen freien ports her? wie soll man dann da was in den iptables freigeben bzw. kann das im proftp irgendwo eingestellt werden welche ports er nimmt - mit den passiven oben hat das ja auch nichts zu tun?
 

Fusl

Blog Benutzer
Blockier am besten standardmäßig die Ports 1 bis 1024 und gib nur die dazwischen frei, die Du wirklich brauchst. Alles über 1024 zu blockieren ist schlecht und wie Du selbst siehst, blockiert er Dir dynamisch vergebene Ports...
 

svenr

Registered User
hallo sven,

die passiven ports sind aber eigentlich auskommentiert:
# PassivePorts 49152 49252

Dadurch hast Du nicht PassivePorts deaktiviert, sondern lediglich dem FTP gesagt... nimm einfach was da ist.
Also Auskommentieren rückgangig machen und in deinem Fall dann
-A INPUT -p tcp -m tcp --dport 49152:49252 -j ACCEPT zu den iptables Regeln hinzufügen.

Gruß Sven
 

Fusl

Blog Benutzer
Also Auskommentieren rückgangig machen und in deinem Fall dann
-A INPUT -p tcp -m tcp --dport 49152:49252 -j ACCEPT zu den iptables Regeln hinzufügen.

Gruß Sven

Und was hat das für einen Sinn? Da kann er ja gleich ab Ports >1024 freigeben.
 

svenr

Registered User
Ganz einfach. Ich finde die obigen Regeln von der Sache her in ihrer Gesamtheit eh Sinnlos, doch darum gehts ja nicht.

Der TE weiß jetzt das Ausklammern der passive Ports eben diese nicht deaktiviert. Und er hat zwei Lösungen wie er mit seinem Problem umgehen kann.

Perfekt ;)

Gruß Sven
 

heppi

New Member
hi,

danke für die hilfe - hab das jetzt mit der möglichkeit gemacht < 1024 zu sperren und nur die benötigten freizugeben - funzt auf alle fälle ...

lg,
heppi
 
Top