[IPTABLES]: Passive FTP

Hi!
Also ich richte gerade meine Firewall ein und versuche Passive FTP zum Laufen zu bekommen, doch ich will die ports ab 1024 aufwärts nicht für alle Pakete freigeben, sondern nur für welche mit ftp header. Wie mach ich das?

Hi Sir Auron,

FTP nutzt immer 2 kanäle. allein die richtung des verbindungsaufbaus variiert bei active und passive. das FTP ist 'schmutzig', insbesondere fällt dies bei paketfiltern auf. damit iptables das protokoll 'sauber' (d.h.active und passive "statefull") handeln kann, gibt es extra module für FTP. iptables beherrscht 'Connection Tracking' (die verfolgung der verbindung), und genau damit bekommt man es auch sauber hin, daß FTP funktioniert (sowohl active als auch passive, auch für genattete Rechner)

diese regel sollte dir aber bei "rein passivem" ftp schon helfen...
iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

schau auch mal bei den meistern auf http://netfilter.org vorbei

gruss und viel erfolg,
sysdef.

Krieg ich meine FTP-Verbindung jetzt gar nicht mehr auf die Reihe?

Manche Protokolle werden nicht gern geNATted. Fuer jedes dieser Protokolle muessen zwei Erweiterungen geschrieben werden; eine fuer das Connection-Tracking des Protokolls, und eine fuer das eigentliche NAT.

In der netfilter-Distibution gibt es zur Zeit Module fuer FTP: ip_conntrack_ftp.o und ip_nat_ftp.o. Wenn Du diese Module mit insmod in den Kernel laedst (oder sie permanent hineinkompilierst), sollte NAT auf FTP-Verbindungen funktionieren. Wenn Du das nicht tust, kannst Du nur passives FTP verwenden, und sogar das koennte nicht zuverlaessig funktionieren, wenn Du mehr als einfaches Source-NAT machst.

Zum Vergrößern anklicken....

Quelle:
http://www.netfilter.org/documentation/HOWTO/de/NAT-HOWTO-7.html