smog_at
Apprentice
Joined: 08 Jul 2003
Posts: 215
|
 Posted: Mon Dec 22, 2003 8:35 am Post subject: Probleme mit FTP per Firewall auf Gentoo |
 |
|
Hey @all,
Hier mal der Aufbau des Netzwerkes:
|
|
DEBIAN SERVER
|
|
+-------------------------------------------
WINDOWS XP RECHNER | GENTOO SERVER
Ich habe auf dem Debian-Server eine Firewall mittels iptables laufen, unter möchte die Ports 20, 21, 22, 80, 443 auf den Gentoo-Server weiterleiten, dies funktioniert auch bedingt, da ich aber nicht per einem FTP Client auf den Gentoo-Server zugreifen kann, wollte ich fragen, ob mir diesbezüglich jemand helfen könnte.
Interne IP des Debian-Servers 192.168.1.4,
Interne IP des Gentoo-Servers 192.168.1.11,
Hiermal das Firwall-Script:
| Code: |
#!/bin/bash
IPT="/sbin/iptables"
ETH_PUBLIC="eth1"
ETH_PRIVATE="eth0"
IFACE_PRIVATE="192.168.1.0/24"
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
modprobe ipt_limit
modprobe ipt_state
modprobe ipt_MASQUERADE
modprobe ipt_REJECT
modprobe ip_conntrack
modprobe ip_tables
echo "1" > /proc/sys/net/ipv4/ip_forward
$IPT -F FORWARD
$IPT -F INPUT
$IPT -F OUTPUT
$IPT -t mangle -F PREROUTING
$IPT -t mangle -F OUTPUT
$IPT -F POSTROUTING -t nat
$IPT -F PREROUTING -t nat
$IPT -F OUTPUT -t nat
$IPT -F sperre
$IPT -X sperre
$IPT -N sperre
$IPT -F sperre
# Alles aus dem lan ohne passende IP wegwerfen
$IPT -A sperre -i $ETH_PRIVATE -s ! 192.168.1.0/255.255.255.0 -j DROP
# Sonst alles von $ETH_PRIVATE erlauben
$IPT -A sperre -i $ETH_PRIVATE -j ACCEPT
# Für Loopback wir immer alles erlaubt ausser von nicht 127.0.0.1 :)
$IPT -A sperre -i lo -s 127.0.0.1/255.0.0.0 -j ACCEPT
# Alles aus dem Inet mit meinen IPs werwerfen
$IPT -A sperre -i $ETH_PUBLIC -s 192.168.1.0/255.255.255.0 -j DROP
# SSH, FTP-sends
$IPT -A sperre -p tcp --dport 20:22 -j ACCEPT
# HTTP-sends
$IPT -A sperre -p tcp --dport 80 -j ACCEPT
$IPT -A sperre -p tcp --dport 443 -j ACCEPT
# Antworten zulassen
$IPT -A sperre -m state --state ESTABLISHED,RELATED -j ACCEPT
# alles neustarten BZW.(schliessen) bzw. mit DROP gefiltert
$IPT -A sperre -p tcp -j REJECT --reject-with tcp-reset
$IPT -A sperre -p udp -j REJECT --reject-with icmp-port-unreachable
# sperre durchlaufen
$IPT -A INPUT -j sperre
# wenn nichts zutreffendes --> Muell
$IPT -P INPUT DROP
# das gleiche fuer FORWARD
$IPT -A FORWARD -j sperre
$IPT -P FORWARD DROP
# output immer annehmen
$IPT -P OUTPUT ACCEPT
$IPT -t mangle -P PREROUTING ACCEPT
$IPT -t mangle -P OUTPUT ACCEPT
# was rausgeht wird maskiert
$IPT -A POSTROUTING -t nat -o $ETH_PUBLIC -j MASQUERADE
# Weiterleitung an den Gentoo-Server
$IPT -A PREROUTING -t nat -p tcp --dport 5900:5905 -j DNAT --to 192.168.1.11
$IPT -A PREROUTING -t nat -p tcp --dport 20:22 -j DNAT --to 192.168.1.11:21
$IPT -A PREROUTING -t nat -p tcp --dport 80 -j DNAT --to 192.168.1.11:80
$IPT -A PREROUTING -t nat -p tcp --dport 443 -j DNAT --to 192.168.1.11:443
$IPT -P OUTPUT ACCEPT -t nat
|
Hoffe das mir diesbezüglich jemand helfen kann.
MfG smog_at |
|
Deutsches Forum (German)
