• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

FTP über Router

Hallo Forum

Ich hab hier einen Debian Sarge Rechner als Router für mein Lan.

Auf diesem läuft ein iptables script und um FTP zu ermöglichen hab ich diese Zeilen eingetragen:

Code:
##### FTP #####

$IPTABLES -A FORWARD -i $DEV_LOC -o $DEV_EXT -m state --state NEW,ESTABLISHED,RELATED -p TCP --sport $PORTS --dport 21 -j ACCEPT

$IPTABLES -A FORWARD -i $DEV_EXT -o $DEV_LOC -m state --state ESTABLISHED,RELATED -p TCP --sport 21 --dport $PORTS -j ACCEPT

$IPTABLES -A FORWARD -i $DEV_EXT -o $DEV_LOC -m state --state ESTABLISHED,RELATED -p TCP --sport 20 --dport $PORTS -j ACCEPT

$IPTABLES -A FORWARD -i $DEV_LOC -o $DEV_EXT -m state --state NEW,ESTABLISHED,RELATED -p TCP --sport $PORTS --dport $PORTS -j  ACCEPT

$IPTABLES -A FORWARD -i $DEV_EXT -o $DEV_LOC -m state --state ESTABLISHED,RELATED -p TCP --sport $PORTS --dport $PORTS -j ACCEPT

Das funktioniert auch soweit ganz gut :D

Die Frage ist nur ist das ganz auch von der Idee gut oder kann man es besser schneller schlanker schöner machen :?:

*Fast vergessen*
$DEV_LOC = NIC zum Lan
$DEV_EXT = NIC zum Inet
$PORTS = Port 1024:65535

mfg

darklighter
 

basman

Member
Das geht deutlich schlanker und sicherer (die erste Regel hast Du sicherlich vergessen zu erwähnen):

Code:
iptables -P FORWARD DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $DEV_LOC -o $DEV_EXT -p tcp --dport 21 -j ACCEPT

In Zusammenarbeit mit dem FTP-Conntrack-Helper (musst sicherstellen, dass das entsprechende Kernel-Modul geladen wird. glaube das hiess ipt_conn_ftp oder so) wird somit alles erledigt.

Beachte, dass hier kein $PORTS nötig ist, aber beim 2. Befehl gerne ergänzt werden kann, falls man die Absender-Ports einschränken möchte. Macht aber für die Security keinen Sinn.
 
Oben