Carsten Friede schrieb:
Andreas Kretschmer wrote:
Denn dann und nur dann sollen die hohen Ports offen sein. Ansonsten soll Sense sein, und nur die Dienste auf den hohen Ports operieren, die explizit gestattet sind.
Das FTP-Modul schnüffelt den Kommandokanal mit und weiß so, welche Ports mit genutzt werden. Ich kann auf Arbeit an einem genatten Rechner sowohl passives als auch aktives FTP machen. Dazu sind auf dem Gateway 3 Module geladen, ich schrieb das aber IMHO auch schon mal in dieser Liste.
Ja, das hattest du. Mich würde aber interessieren, welche Regeln du für das FTP in welchen Chains verwendest.
Reicht es nicht aus, in der "nat" Tabelle in der chain POSTROUTING einfach den Port 21 zu mit dem Ziel SNAT bzw. MASQUERADE einzufuegen? IMHO kuemmern sich dann ip_nat_ftp (und ip_conntrack_ftp, falls stateful filtering benutzt wird) um das Masquerading der DATA Verbindung. Danach sollte eigentlich nur die FORWARD Chain ggf praepariert werden um beidseitige Verbindung fuer Zielports 21 und 1024+ zu erlauben.
-Dimitri