On Wed, 11 Dec 2002, George Mihalcea wrote: > Incerc sa setez pe calculatorul meu un firewall cu iptables. Am 2 placi > de retea si incerc sa simultez un router cu eth0 catre reteaua interna > si mai multe placi de retea catre exterior, si de aceea folosesc ! eth0 > ca interfata pe unde intra pachetele. > Deocamdata testez pe INPUT. > > Problema este ca pentru ftp am pus regulile: > > iptables -t filter -A INPUT -p tcp -i ! eth0 --dport 21 --syn -j ACCEPT > iptables -t filter -A INPUT -p tcp -i ! eth0 --dport 21 -j ACCEPT > iptables -t filter -A INPUT -p tcp -i ! eth0 --dport 20 --syn -j ACCEPT > iptables -t filter -A INPUT -p tcp -i ! eth0 --dport 20 -j ACCEPT > > si de pe unele calculatoare functioneaza ftp-ul absolut normal, de pe > altele in schimb nu functioneaza decat conectarea si comanda "cd". > Comenzile "ls" si "get" nu functioneaza. > Nu stiu daca e concidenta sau nu, dar calculatoarele de pe care nu > functioneaza au red hat 8.0 pe ele. > Am incercat din command prompt si de pe un windows, si functioneaza si > de acolo. > > Explicatia e faptul ca acele calculatoare pentru care ftp-ul nu > functioneaza incearca sa se conecteze pe porturi inalte (in loc de 20) > pentru comenzile ls si get. Daca as accepta conexiuni pe porturile > inalte, ar insemna sa renunt la ceea ce vreau eu de fapt sa fac cu acest > firewall, si anume sa permit conectarea numai la anumite porturi, iar la > restul sa dau drop. > > As vrea sa stiu daca exista vreo solutie pentru a rezolva problema asta. > Multumesc. > > > > --- > Pentru dezabonare, trimiteti mail la > [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. > REGULI, arhive si alte informatii: http://www.lug.ro/mlist/ > >
Poti sa incerci sa dai drumul la pachetele pentru portul 20 si dupa aia sa pui o regula care sa lasa pachete "related". Foloseste extensia state: -m state --state RELATED Filter-ul o sa stie ca pachetele respective, chiar daca sunt cereri de conectare sunt legate de o conexiune anterioara (cea pe portul 20). -- Ghiula Vuap Network Administrator .................... Romsym Data http://www.romsym.ro e-mail: [EMAIL PROTECTED] tel: +40-1-3231431 fax: +40-1-3221650 --- Pentru dezabonare, trimiteti mail la [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
