Rico Koerner schrieb:

[....] Hast Du eine feste IP?

Ja.

Sicherheitshalber noch dazu: $IPTABLES -A INPUT -p tcp -i eth1 -d 192.168.1.0/24 -j DROP [....]

...

# ftp $IPTABLES -A INPUT -p TCP --sport 1024:65535 --dport 20 -j ACCEPT $IPTABLES -A OUTPUT -p TCP --dport 1024:65535 --sport 20 -j ACCEPT $IPTABLES -A INPUT -p TCP --sport 1024:65535 --dport 21 -j ACCEPT $IPTABLES -A OUTPUT -p TCP --dport 1024:65535 --sport 21 -j ACCEPT

Es reicht: $IPTABLES -A INPUT -p TCP --sport 1024: --dport ftp -m state --state NEW -j ACCEPT $IPTABLES -A OUTPUT -p TCP --sport 1024: --dport ftp -m state --state NEW -j ACCEPT Den Rest erledigt ip_conntrack_ftp.

Währe mal zu überdenken und mal zu testen, ob dann aktive und auch passive Verbindungen funktionieren. Theoretisch ja. ;-)

...

# dns $IPTABLES -I OUTPUT -s 192.168.1.1 -p UDP --dport 1024:65535 --sport 53 -m

[....] Wie jetzt, Du akzeptierst DNS-Anfragen von aussen?

Ja. Auf dem Rechner befindet sich ein Primärer DNS. Da sollten schon Domains auflösbar bleiben. Eine andere Lösung habe ich dazu nicht gefunden.

Hast Du wirklich einen DNS für den Rest der Welt aufgesetzt? [....] Ich würde hier ein fettes DROP setzen und wenn soviele Anfragen auf [....]

Siehe oben. Das geht leider nicht. ;-)

[....] Ansonsten sind deine Regeln schon etwas widersprüchlich, zwei IPs (eine öffentliche und eine private), aber keine FORWARD-Regeln.

Also Forward barauche ich nicht. Der Rechner ist nicht als Router eingesetzt. Der steht irgendwo im großen Netzwerk und wartet da auf Anfragen. Im Prinzip Laufen da folgende Dienste: SSH,FTP,DNS,SMTP,HTTP,POP3,HTTPs Dabei muss ein Sekundary-DNS Daten abgleichen können. Die richtigen IP's habe ich geändert. Sollte ja nicht jeder wissen, wo ein vermutlich angreifbares System steht. ;-)

Langsam zweifle ich an dem Sinn. Ist das nun ein einzelner Rechner, ein Router oder beides? Wieviel Netzwerkinterfaces? Wie gehst Du ins Internet (DSL, ISDN oder Modem)

Der Rechner hat 2 Interfaces, wovon eines intern (derzeit ohne Funktion) und eines Extern arbeitet. Das Externe Interface nimmt alle anfragen entgegen. Der Rechner selbst sollte alles dürfen. Nur von aßen muss der geschützt sein: Alles zu bist auf die angesprochenen Dieste.

Schick doch mal, die Ausgabe von 'ifconfig' und 'route -n' und erkläre was Du erreichen willst.

Jetzt bin ich irgendwie total durcheinander und mir schon gar nicht mehr sicher, ob die Firewall ihren Sinn gerecht wird bei so vielen verschiedenen Meinungen. Viele Meinungen sind aber dennoch gut. ;-) thx schon mal für den Rest der Antworten.