iptables TCP Flag

[AMDAthlon]

Moin,

kann mir jemand sagen ob und wie ich die Angabe
--state RELATED,ESTABLISHED mit TCP Flags nachbilden kann? Ich würde dieses gerne für passives FTP etc nutzen. Die state Angabe kann aufgrund des Fehlens von ipcontract leider nicht genutzt werden. Hier der gesammte befehl den ich abbilden möchte:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Danke

AMD

 

[Spin-Doc]

Statefull Matching mittels TCP Flags geht _meines Wissens_ nach nicht, falls es jemand besser weiß, bitte berichtigen.

Als Alternative würde ich vorschalgen: in der Firewall eine Portrange exklusiv für passives FTP reservieren und diese an den ftp daemon weitergeben.

 

[AMDAthlon]

Das Problem ist das ich auch ausgehende FTP Anfragen habe(z.B. apt-get) oder DNS Anfragen die mein Server nach außen stellt. Die Anfrage nach außen ist kein Problem. Jedoch fehlt es dort auch an der passenden INPUT-Regel. Das heißt die Antwort vom DNS Server kommt nicht durch.

Hat dafür jemand eine Lösung?


Danke

AMD

 

[Roger Wilco]

Welcher Fehler in ip_conntrack_ftp soll das sein?

 

[AMDAthlon]

Kein Fehler, sondern das Fehlen des Moduls ipconntrack ist das Problem. Dieses ist soweit ich weiß nötig, damit die state Angaben RELATED und ESTABLISHED funktionieren. Da es sich um einen Vserver handelt kann ich das Modul nicht
nachladen....


///edit:

Das muss nicht perfekt sein mit den TCP Flags, aber im Moment kann ich nichtmal ein einfaches "apt-get upgrade" machen ohne die iptables leeren zu müssen.

Danke

AMD

 

[Spin-Doc]

Nur weil kein Modul zu nachladen da ist, heisst es ja nicht, dass die Funktionlität nicht zur Verfügung steht. Evtl. wurde das ganze fest im Kernel einkompiliert? Ich kenne zum. mal keinen vServer der das Nachladen von Kernel Modulen erlaubt. Das Sicherheitsrisiko ist viel zu groß.

Was sagt denn

zgrep CONFIG_NF /proc/config.gz

 

[AMDAthlon]

Nur weil kein Modul zu nachladen da ist, heisst es ja nicht, dass die Funktionlität nicht zur Verfügung steht.

Wenn die state Angabe funktionieren würde, würde ich hier nicht nach einer Alternative suchen oder?

Was sagt denn

zgrep CONFIG_NF /proc/config.gz

gzip: /proc/config.gz: No such file or directory

 

[Spin-Doc]

Dann wende dich an deinen Hoster. Der sollte dir mit deinem Anliegen weiterhelfen können. Evtl. bietet er ja eine alternative Firewall Lösung, z.B. über Webinterface.

 

[AMDAthlon]

Dann wende dich an deinen Hoster. Der sollte dir mit deinem Anliegen weiterhelfen können. Evtl. bietet er ja eine alternative Firewall Lösung, z.B. über Webinterface.

Der Hoster wird das fehlende ipcontrackt modul NICHT einbinden. Er empfiehlt die Nutzung von TCP Flags. Und da ich keine Ahnung habe wie das geht frage ich hier.

 

[Spin-Doc]

Dann frag ihn mal was er damit mein, ich weiß es nicht. Ansonsten kündigen und zu nem Anbieter gehen der deine gewünschten Features hat.

Und was spricht gegen die von mir vorgeschlagenen Portranges beim ftpd? Da brauchts mal kein Tracking.

Ach ja, Fullquotes sind nicht nötig.

 

[Roger Wilco]

1. Brauchst du unbedingt einen Paketfilter?
2. Brauchst du unbedingt FTP? Paketfilterfreundliche Alternativen wie SFTP oder WebDAV sind i. d. R. besser für Datenübertragungen über das unsichere Internet geeignet.