Moin.
Nachdem nun endlich das Masquerading und der Paketfilter soweit klappt, ist nur noch FTP als letzte Hürde geblieben. Wie mache ich das ganze mit stateful filtering (das war einer der entscheidenden Gründe warum ich überhaupt zu iptables migriert bin)? Ich habe diverse Regeln aufgestellt. So sieht das ungefähr aus:
$IPT -N states $IPT -F states $IPT -A states -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A states -m state --state NEW,INVALID -j LOG $IPT -A states -m state --state NEW,INVALID -j DROP $IPT -A states -j RETURN $IPT -A INPUT -i $EXT_IF -j states $IPT -A FORWARD -i $EXT_IF -j states
Dazu habe ich noch ein paar Verzweigungen gemacht, diese hier:
$IPT -N ext-in $IPT -N ext-fw $IPT -N ext-out
$IPT -N int-in $IPT -N int-fw $IPT -N int-out
$IPT -A INPUT -i $INT_IF -s $LAN_IP -j int-in $IPT -A INPUT -i $EXT_IF -j ext-in $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN_IP -j int-fw $IPT -A FORWARD -i $EXT_IF -o $INT_IF -j ext-fw $IPT -A OUTPUT -o $INT_IF -j int-out $IPT -A OUTPUT -o $EXT_IF -j ext-out
Die Variablen EXT_IF und INT_IF enthalten das Interface zum Internet bzw. zum LAN. Dementsprechend sind die spezifischen Chains zu deuten.
Ich nehme an, daß der Datenkanal nicht als "related" erkannt wird (einloggen kann ich mich ja). Ich dachte aber, daß ich mit meiner Variante diesen Problemfall abgedeckt hätte. Hat jemand einen Ausweg?
Carsten