|
|
Besucher 1260502
Ansichten 3754
Online 0 |
|
|
Probleme bei FW Gateway mit FTP
| |
| Thema |
Verfasser |
Letzte Antwort |
| Probleme bei FW Gateway mit FTP |
linus ( ---.pools.arcor-ip.net) |
11 Feb 2009 06:53 | Hallo Herr Spenneberg, Hallo alle Linux Freunde
Ich habe Ihr Buch "..iptables&co" mit Vergnuegen gelesen und kann es jedem nur empfehlen!
Danach begann der praktische Teil der Übung und ich baute ein Firewall-Gateway zwischen LAN und Internet mit zwei Netzwerkkarten Intern und Extern unter ubuntu server.
Im LAN Windows Clients mit Windows 2k SP2-4.
Mit dem folgenden Script fahre ich auch sehr gut; das hoffe ich zumindest; fuer Hinweise auf Sicherheitsluecken & Verbesserungen waere ich natuerlich auch sehr dankbar.
Internet, Mail, eigentlich alles geht wunderbar ueber das Gateway.
Nun benutzen wir auch ein Programm auf den Windows Clients im LAN das per aktivem FTP auf einen im Internet befindlichen Server auf z.B Port 10025 zugreift.
Wie sie sehen ist conntrack fuer FTP ( sicherheitshalber auch gleich TFTP) aktiviert.
Hinweis zur Historie:
-anfänglich konnte gar garkein Windows Client diese FTP Verbindung aufbauen
-deshalb habe ich das Modul "nf_conntrack_ftp" mit den Ports konfiguert
-Dann der Erfolg vom Testclient mit erfolgreichem Aufbau
-Ich hatte sofort angenommen, dass nun alle anderen Windows Clients ebenfalls diese Verbindung aufbauen koennen.
Aber:
Allen anderen Windows Clients koennen die Verbindung NICHT aufbauen?!
Genau nur dieser Rechner, mit dem das Problem letztlich zum ersten mal nicht mehr bestand, kann die Verbindung erfolgreich aufbauen?!
Das ist mir unverständlich.
Sollte man noch eine zusätzliche Regel mit -s $CLIENTS einfuegen (wie im Buch aufgezeigt)?
Ist die Liste der aktiven Verbindung voll/zu klein angelegt?
Fuer Hinweise waere ich sehr dankbar.
Vielleicht hilft das Script und diese Frage auch anderen bei Problemfindungen!
Viele Gruesse
linus
Hier die Fakten:
$uname -a
Linux gate 2.6.24-19-server #1 SMP Wed Jun 18 15:18:00 UTC 2008 i686 GNU/Linux
Firewall Script:
----------------
#Define Internal interface
INTDEV="eth0"
#Define External interface
EXTDEV="eth1"
#Define VPN interface
TUN="tun0"
#Define the Internal LAN
CLIENTS="192.168.1.0/24"
#Define commands
IPTABLES="/sbin/iptables"
ECHO="/bin/echo"
SYSCTL="/sbin/sysctl"
MODPROBE="/sbin/modprobe"
#Load the kernel modules for FTP stateful filtering (here with undefined ports)
$MODPROBE nf_conntrack_ftp ports=21,2121,10025,10021
$MODPROBE nf_nat_ftp
#Load the kernel modules for TFTP stateful filtering (here with undefined ports)
$MODPROBE nf_conntrack_tftp ports=21,2121,10025,10021
$MODPROBE nf_nat_tftp
#Default policy is DROP
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
#Flush rules of the two chains
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD
#Flusch NAT table
$IPTABLES -t nat -F
#INSERTED START
#----------------------------------------------------------------------------------------------------
#Allow local traffic to loopback interface
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
#SPECIAL RULES
#-------------
#Reject Incoming on identd service from WEB to Firewall
$IPTABLES -A INPUT -i $EXTDEV -p tcp --dport 113 -j REJECT
#Allow SSH on Port 2211 incoming connections on Internal interface only
$IPTABLES -A INPUT -i $INTDEV -p tcp --dport 2211 -m state --state NEW -j ACCEPT
#Allow SSH on Port 2211 incoming connections on External interface only
$IPTABLES -A INPUT -i $EXTDEV -p tcp --dport 2211 -m state --state NEW -j ACCEPT
#Allow VPN on Port 2233 incoming connections on External interface only
$IPTABLES -A INPUT -i $EXTDEV -p udp --dport 2233 -m state --state NEW -j ACCEPT
#Q&A SESSIONS on internal processes
#----------------------------------
#SWAP item for Updates to allow NEW OUTPUT
$IPTABLES -A OUTPUT -m state --state NEW -j ACCEPT
#Allow internal process to answer to established connections
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Allow traffic of established connections to an internal process
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#VPN Server functions on TUN interface
#-------------------------------------
$IPTABLES -A INPUT -i $TUN -j ACCEPT
$IPTABLES -A FORWARD -i $TUN -j ACCEPT
#----------------------------------------------------------------------------------------------------
#INSERTED END
#FORWARDING ACTIONS ON THE GATEWAY
#---------------------------------
#Accept traffic from Internal(LAN) to External(WEB)
$IPTABLES -A FORWARD -i $INTDEV -o $EXTDEV -m state --state NEW -j ACCEPT
#Accept all traffic belonging to an already established connection
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#Masquerading of all forwarded traffic (FORWARD chain traffic)
$IPTABLES -t nat -A POSTROUTING -o $EXTDEV -j MASQUERADE
#Activate kernel traffic forwarding
$ECHO "1" > /proc/sys/net/ipv4/ip_forward
#SPECIAL kernel settings for security reasons
$ECHO "1" > /proc/sys/net/ipv4/tcp_syncookies
$ECHO "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
$ECHO "0" > /proc/sys/net/ipv4/conf/eth0/accept_source_route
$ECHO "0" > /proc/sys/net/ipv4/conf/eth1/accept_source_route
$ECHO "1" > /proc/sys/net/ipv4/conf/all/rp_filter
$ECHO "1" > /proc/sys/net/ipv4/conf/eth0/rp_filter
$ECHO "1" > /proc/sys/net/ipv4/conf/eth1/rp_filter
$ECHO "1" > /proc/sys/net/ipv4/conf/all/log_martians
#End of script
|
| ||
| RE: Probleme bei FW Gateway mit FTP | Ralf ( ---.dip.t-dialin.net) | 11 Feb 2009 06:53 |
Hallo,
grundsätzlich sieht das gut aus. Nehmen Sie mal tftp raus. Was passiert dann? TFTP wollen Sie nicht. Es hat nichts mit FTP zu tun.
Gruß,
Ralf |
[ Zurück ] Um ein neues Thema hinzu zu fügen müssen sie eingeloggt sein.
|
|
|
|
Welche Distribution verwenden Sie?
| |
|
|
|
17 Oct 2008: