Nastaveni firewallu

[Dalibor Straka]

On Tue, Sep 09, 2003 at 10:31:13AM +0200, Martin 'Megac' Mokry wrote:
> On Tue, Sep 09, 2003 at 10:23:31AM +0200, Pavel Voch wrote:
> > Jedna se o jednoduchy server poskytujici zakladni sluzby (http, ftp
> > apod.). Problem se projevuje u nekterych zakazniku, kteri maji nekdy
> > problemy se spojenim ftp. Pripoji se, ale nekdy to spadne nejde
> > prenest soubor apod. V logu se objevi nasledujici zprava:
> > 
> > Sep  4 11:40:52 xxxxxx kernel: INPUT drop: IN=eth0
> > OUT= MAC=00:50:fc:3f:02:04:00:04:de:47:dc:0a:08:00
> > SRC=<jejich_ip> DST=<moje_ip>
> > LEN=48 TOS=0x00 PREC=0x20 TTL=121 ID=22185 DF PROTO=TCP
> > SPT=1054 DPT=51516 WINDOW=8192 RES=0x00 SYN URGP=0
> > 
> > pravidlo, ktere by se melo postarat o to, aby prosly spravne pakety na
> > jinych nez explicitne povolenych portech vypada takto:
> > 
> > iptables -A INPUT -d $MOJE_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
> > 
> > Netusi nekdo kde je problem? Budu vam velmi zavazan.
> > 
> Problem je v  pouzivani "AKTIVNEHO" ftp rezimu, riesenim je pouzivat
> "PASIVNY" ftp rezim. Su aj moduly ktore sleduju FTP traffic a podla toho
> povoluju porty pre "AKTIVNY" rezim, ale mozu sa s tym vyskytnut
> problemy. Pasivny rezim je o dost menej problemovy ...
> 

Pokud ma Pavel server za firewallem resp. s firewallem, neni problem
s aktivnim ftp. Klient se pripoji na 21 a kdyz neco stahnuje server se 
pripoji na klienta. Problem muze byt prave s klienty za NATem ci obecne
s klienty pouzivajicimi passive ftp. Protoze ti se prave pokusi sahnout
na domluveny port >1024 serveru a to iptables nepotesi.

-- Dalibor