Stateful inspection Firewall

  • Thread starter Thread starter Tobster
  • Start date Start date
Mal weg von den rootDS-Servern. Wenn ich auf einer richtigen Maschine in den Kernel fest Connection Tracking inkl. FTP support einkompiliert habe was muss ich dann machen im iptables-script, damit er mir bei passivem FTP die Ports automatisch frei gibt ohne das ich eine Portrange angeben muss? Oder muss ich noch etwas anderes einkompilieren, damit es geht. Ich stehe total auf dem Schlauch.
 
die als RELATED markierten Verbindungen rein lassen, das ist schon alles.

Das gilt dann für alle verwendeten ConnTrack Module.
 
Dann ist die Frage warum es nicht geht. Ich erlaube Port 21 mit den state NEW und alle Verbindungen mit dem state ESTABLISHED und RELATED.
 
Du brauchst weiterhin noch die conntrack und conntrack_ftp Module, oder beides fest im Kernel. Wie man das so auf die Schnelle rausfinden kann, ob conntrack_ftp fest im Kernel ist, weiß ich nicht.

Wenn die nicht geladen sind, gibt es für FTP keine RELATED Verbindungen.

Stateful Filtering ist es trotzdem, sobald ESTABLISHED Connections nicht mehr nur am SYN Flag identifiziert werden.
 
Das problem ist es geht nicht. Ich habe den Kernel selbst gebacken, vielleicht sagt mir einer was ich alles brauche vielleicht bin ich einfach blind.
Oder kann es daran liegen, das alles über TLS läuft?
 
Du brauchs für dein Vorhanben im Kernel (oder als Modul):

IP_NF_CONNTRACK
IP_NF_MATCH_STATE
IP_NF_MATCH_CONNTRACK
IP_NF_FTP

Das müsste eigentlich ausreichen.

Ich würde die Dinger als Modul bevorzugen, weil man so z.B. das conntrack_ftp Modul dann im laufenden Kernel auch mal dazu bewegen kann, einen anderen FTP Command Port mit zu analysieren. Ist aber erst mal unwichtig.

Die Module müssen (wenn du Module verwendest) natüürlich auch geladen sein:

lsmod said:
ipt_state 2176 1
ipt_conntrack 2624 0
ip_conntrack_ftp 6768 0
ip_conntrack 44440 5
Click to expand...

Ach ja: mit TLS wird das ConnTrack Modul höchstwahrscheinlich nicht zurecht kommen - woher sollte es auch das Server Zertifikat kennen?
 
Dann ist das wahrscheinlich das Problem. Und er öffnent deswegen die Ports nicht.
 
You must log in or register to reply here.
Back
Top