Moin.
Ich bin immer noch bei dem Problem mit dem Nutzen von FTP.
Das Szenario sieht wie folgt aus: Ein Rechnerpool soll Zugriff auf's I-Net kriegen, allerdings nur die Dienste DNS,HTTP,HTTPS und FTP(passive) nutzen können. Auf dem Gateway möchte ich noch eine Reihe weiterer Dienste (Mail, ICQ, usw.)haben, die von diesem Rechner aus für den daran Arbeitenden nutzbar sind.
Ich habe folgende Regeln jetzt drin:
$IPT -A INPUT -p tcp -i eth0 --sport 21 --dport 1024: ! --syn -j ACCEPT $IPT -A OUTPUT -p tcp -o eth0 --sport 1024: -j ACCEPT
$IPT -A INPUT -p tcp -i eth0 --sport 1024: --dport 1024: ! --syn -j\ ACCEPT $IPT -A OUTPUT -p tcp -o eth0 --sport 1024: --dport 1024: -j ACCEPT
Soweit so gut. Nur werden dann z.B. solche Regeln obsolete, die den Login beim ICQ-Server (Port 5190) explizit regeln. Diese Regeln kann ich mir dann sparen. :-( Wie kann man das Lösen?
Ich habe gedacht, daß mir da das stateful filtering weiterhilft. Also habe ich eine "states"-Chain erstellt, in welche gleich am Anfang von INPUT und FORWARD aus verzweigt wird.
$IPT -A states -m state --state ESTABLISHED,RELATED -j RETURN $IPT -A states -m state --state NEW,INVALED -j LOG $IPT -A states -m state --state NEW,INVALED -j REJECT --reject-with\ tcp-reset
Danach geht aber gar nichts mehr. :-(
Carsten