Re: apt-get geht nicht durch iptables

To: debian-user-german@lists.debian.org
Subject: Re: apt-get geht nicht durch iptables
From: Andreas Janssen <andreas.janssen@bigfoot.com>
Date: Thu, 08 Apr 2004 00:18:06 +0200
Message-id: <[🔎] c51ull$tii$1@sea.gmane.org>
References: <[🔎] c51lbp$c33$1@sea.gmane.org> <[🔎] c51m72$drl$1@sea.gmane.org> <[🔎] c51nkf$i23$1@sea.gmane.org> <[🔎] 20040407202600.GA13199@morpheus> <[🔎] c51p3f$lm9$1@sea.gmane.org>

Hallo

Zoli (<zsare@gmx.de>) wrote:
> "Andreas Pakulat" <apaku@gmx.de> schrieb 
> On 07.Apr 2004 - 22:16:39, Zoli wrote:
>
>> -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
>> -A OUTPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
>> -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
>> -A OUTPUT -p tcp -m tcp --sport 80 -j ACCEPT
>> -A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
>> -A OUTPUT -p tcp -m tcp --sport 21 -j ACCEPT
>> -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>> -A OUTPUT -j LOG --log-prefix "raus"
> 
>>Du hast denke ich den Sinn von OUTPUT nicht verstanden. Alle Pakete
>>die dein Rechner verschicken will gehen durch diese Tabelle, Programme
>>oeffnen normalerweise nicht auf Ports < 1024 Verbindungen nach aussen,
>>da dies nur root darf. Du musst also die Ports 1024-65535 fuer
>>Verbindungen oeffnen.
>>
>>Momentan kann man nur ueber die Ports 80, 22, 21 nach draussen.
>>
> Bitte hab Verständnis bin gerade dabei mir das zu Verinnerlichen.:)
> 
> müsste dann das ungefähr so aussehen
> bsp: iptables -A OUTPUT -p TCP --sport 1024: --dport 80 -j ACCEPT
> 
> sehe ich das richtig so?
> Aber was sollte ich noch ergänzen damit apt-get auch geht?

Du musst die lokalen Ports für Output freigeben, die Client-Programme
verwenden. Welche das sind wird in 
/proc/sys/net/ipv4/ip_local_port_range festgelegt (ist bei mir von
32767-61000). Der Zielport ist bei http dann 80. 

Bei ftp ist es schwieriger: bei aktivem ftp kennst Du die Ports (20,21).
Allerdings wird bei aktivem ftp zwar eine Verbindung von Dir zu Port 21
auf dem Server aufgebaut, die zweite Verbindung von Port 20 initiert
aber der Server. In diesem Fall bewirkt ein Abblocken von neuen
Verbindungen von außen (nur established erlaubt bei input), daß der
Transfer nicht stattfinden kann. Und bei passivem ftp kennst Du gesagt
vorher nicht den zweiten Port auf dem Server.

Grüße
        Andreas Janssen

-- 
Andreas Janssen <andreas.janssen@bigfoot.com>
PGP-Key-ID: 0xDC801674
Registered Linux User #267976
http://www.andreas-janssen.de/debian-tipps.html

Reply to:

References:
- apt-get geht nicht durch iptables
  - From: "Zoli" <zsare@gmx.de>
- Re: apt-get geht nicht durch iptables
  - From: Andreas Janssen <andreas.janssen@bigfoot.com>
- Re: apt-get geht nicht durch iptables
  - From: "Zoli" <zsare@gmx.de>
- Re: apt-get geht nicht durch iptables
  - From: Andreas Pakulat <apaku@gmx.de>
- Re: apt-get geht nicht durch iptables
  - From: "Zoli" <zsare@gmx.de>

Prev by Date: Re: apt-get geht nicht durch iptables
Next by Date: Re: nfs-kernel-server Performance-Problem
Previous by thread: Re: apt-get geht nicht durch iptables
Next by thread: Re: apt-get geht nicht durch iptables
Index(es):
- Date
- Thread