Re: Firewall und FTP - solved

2004-07-08 Diskussionsfäden Daniel Bauer 
On 7 Jul 2004 at 21:55, Michael Renner wrote:
> On Wednesday 07 July 2004 16:45, Daniel Bauer wrote:
> > Hallo Zusammen,
>
> Moin,

Tach Michael,


> > ich habe zwei Netze die unabhängig voneinander arbeiten, beide
> > habe ich mit der gleichen "Firewall-Technik" abgesichert, alles
> > funktioniert recht gut, bis auf FTP :(
>
> hast du aktiv als auch passiv versucht?

ja, hat aber nichts genützt ...


> > das Modul ip_conntrack_ftp habe ich ebf. geladen, kann mir
> > jemand helfen wo mein Denkfehler liegt?
>
> auch 'ip_nat_ftp'?

das hatte ich leider nicht und das war es auch, vielen herzlichen Dank
Daniel

Re: Firewall und FTP

2004-07-07 Diskussionsfäden Michael Renner 
On Wednesday 07 July 2004 16:45, Daniel Bauer wrote:
> Hallo Zusammen,

Moin,

> ich habe zwei Netze die unabhängig voneinander arbeiten, beide
> habe ich mit der gleichen "Firewall-Technik" abgesichert, alles
> funktioniert recht gut, bis auf FTP :(

hast du aktiv als auch passiv versucht?


> das Modul ip_conntrack_ftp habe ich ebf. geladen, kann mir
> jemand helfen wo mein Denkfehler liegt?

auch 'ip_nat_ftp'?

CU
-- 
|Michael Renner  E-mail: [EMAIL PROTECTED]  |
|D-72072 Tuebingen   GermanyICQ: #112280325 |
|Germany Don't drink as root!  ESC:wq

Firewall und FTP

2004-07-07 Diskussionsfäden Daniel Bauer 
Hallo Zusammen,

ich habe zwei Netze die unabhängig voneinander arbeiten, beide
habe ich mit der gleichen "Firewall-Technik" abgesichert, alles
funktioniert recht gut, bis auf FTP :(

Wenn ich von einem Wählzugang aus dem Internet zugreife
funktioniert das, nicht aber von meinem Netz A auf das Netz B.

Schema:
Intranet A -> Internet A -> Internet B -> Intranet B (FTP)


Ich habe folgende Ketten angelegt:

[...]
iptables -A out_inn -p tcp --sport $UNPRIVPORTS --dport 21 -
j ACCEPT
iptables -A out_inn -p tcp --sport $UNPRIVPORTS --dport 20 -
j ACCEPT
iptables -A out_inn -p tcp --sport 20 --dport $UNPRIVPORTS -
j ACCEPT
[...]

[...]
iptables -A in_inn -p tcp --sport $UNPRIVPORTS --dport 21 -j
ACCEPT
iptables -A in_inn -p tcp --sport $UNPRIVPORTS --dport 20 -j
ACCEPT
iptables -A in_inn -p tcp --sport 20 --dport $UNPRIVPORTS -j
ACCEPT
[...]


und diese dann so eingebunden:

iptables -A PREROUTING -t nat -i $INTERNET_DEV -d
$INN -j DNAT --to-destination $iINN

iptables -A FORWARD -i $INTERNET_DEV -d $iINN -j
in_inn

iptables -A POSTROUTING -t nat -o $INTERNET_DEV -s
$iINN -j SNAT --to-source $INN

iptables -A FORWARD -i $INTRANET_DEV -s $iINN -j
out_inn


das Modul ip_conntrack_ftp habe ich ebf. geladen, kann mir
jemand helfen wo mein Denkfehler liegt?

Danke+Gruß
Daniel