High, high ... * Stefan Bauer <stefan.bauer@plzk.de> schrieb am [16.12.07 16:15]: > Kai Wilke schrieb: > > Die Firewall logt auch keine Fehler - da laeuft alles korrekt. > > Die Ports von ftp/ftp-data/ftps/ftps-data werden auf den zustaendigen > > Server (ftp/www) umgeleitet. > > Modul ip_conntrack_ftp geladen? Nein, versuche ich gerade zu testen, wenn mein Freund mal antworten wuerde. > Wie sehen die iptables rules aus? Kompliziert da eigenes Konfigurationstools geschrieben - verschiedene chains, dmz-in, lan-int, lan_dmz, etc. Im Anhang ist die firewall.cf. Vielleicht hilfts ja. Danke, Kiste -- ####################################################################### Netzworkk grml - Linux Live CD fuer Sysadmins Kai Wilke http://grml.org kiste@netzworkk.de http://www.netzworkk.de http://netzworkk.berlios.de
# Beginn /etc/kwtools/firewall.cf # # Alle Ports, Module muessen getrennt durch ein Leerzeichen # aufgelistet werden. Bei den *_DEV Eintragungen geht nur ein # Interface und bei den Ports kann man auch den Namen anstelle # der Portnummer nehmen. # # ip(6)tables Programm IPTABLES="/sbin/iptables" # Modules_list MODULES="ip_conntrack.ko" # Forward aktivieren (yes/no)? FORWARD="yes" # Masquerading aktivieren (yes/no)? MASQUERADE="yes" # Interface zur DMZ (eth1). DMZ_DEV="eth1" # Interface zum Internet (ppp0). INT_DEV="ppp0" # Interface zum LAN (eth2) LAN_DEV="eth2" # Netzmaske der DMZ (192.168.1.0/24) DMZ="192.168.1.0/24" # Netzmaske des LAN (192.168.0.0/24) LAN="192.168.0.0/24" # Ports von FW to DMZ (ssh) TCP_FW_TO_DMZ="ssh" # Ports von FW to DMZ UDP_FW_TO_DMZ="" # Ports von FW to INT (ssh) TCP_FW_TO_INT="domain www https ftp ftp-data ftps ftps-data" # Ports von FW to INT UDP_FW_TO_INT="domain" # Ports von FW to LAN (ssh) TCP_FW_TO_LAN="ssh ntp" # Ports von FW to LAN UDP_FW_TO_LAN="ntp" # Ports von DMZ to FW (ssh) TCP_DMZ_TO_FW="ssh 3128" # Ports von DMZ to FW UDP_DMZ_TO_FW="" # Ports von LAN to FW (ssh) TCP_LAN_TO_FW="ssh domain 3128" # Ports von LAN to FW UDP_LAN_TO_FW="domain" # Ports von INT to FW (ssh) TCP_INT_TO_FW="ssh" # Ports von INT to FW UDP_INT_TO_FW="" # Ports von INT to LAN TCP_INT_TO_LAN="4662 56685" # Ports von INT to LAN UDP_INT_TO_LAN="" # Ports von LAN to INT (domain pop3 pop3s imap ssh ...) TCP_LAN_TO_INT="cvspserver domain ntp pop3 pop3s rsync smtp ssh 6881 4661 4662" # Ports von LAN to INT UDP_LAN_TO_INT="cvspserver domain ntp" # Ports von INT to DMZ TCP_INT_TO_DMZ="" # Ports von INT to DMZ UDP_INT_TO_DMZ="" # Ports von DMZ to INT TCP_DMZ_TO_INT="ssh domain" # Ports von DMZ to INT UDP_DMZ_TO_INT="domain" # Ports von LAN to DMZ TCP_LAN_TO_DMZ="ssh 80 443 ftp ftp-data ftps ftps-data" # Ports von LAN to DMZ UDP_LAN_TO_DMZ="" # Ports von DMZ to LAN TCP_DMZ_TO_LAN="ntp ssh" # Ports von DMZ to LAN UDP_DMZ_TO_LAN="ntp" # DMZ-Host:Ports vom Internet to DMZ. Hier duerfen nur die # Nummern der TCP Ports benutzt werden (Bsp. Host:80; 80=www). TCP_INT_TO_DMZ_NAT="192.168.1.2:80 192.168.1.2:443 192.168.1.2:21 192.168.1.2:20 192.168.1.2:989 192.168.1.2:990" # DMZ-Host:Ports vom Internet to DMZ. Hier duerfen nur die # Nummern der UDP Ports benutzt werden (Bsp. Host:80; 80=www). UDP_INT_TO_DMZ_NAT="" # LAN-Host:Ports vom Internet to DMZ. Hier gilt das gleiche, wie # bei TCP_INT_TO_DMZ_NAT. TCP_INT_TO_LAN_NAT="192.168.0.8:4661 192.168.0.8:4662 192.168.0.5:4661 192.168.0.5:4662 192.168.0.5:56685" # LAN-Host:Ports vom Internet to DMZ. Hier gilt das gleiche, wie # bei UDP_INT_TO_DMZ_NAT. UDP_INT_TO_LAN_NAT="192.168.0.8:4662 192.168.0.8:4664 192.168.0.8:4665 192.168.0.5:4662 192.168.0.5:4664 192.168.0.5:4665 192.168.0.5:56685 192.168.0.8:56685" # End /etc/kwtools/firewall.cf
Attachment:
signature.asc
Description: Digital signature