---

Jeg har kørt RH 7.2 ind, og bruger kernel 2.4 og iptables v1.2.4. Men
jeg kan simpelthen ikke få iptables til at funke, nogle der kan give
lidt råd/vejledning?

[root@0x50c4b007 root]# iptables -L
/lib/modules/2.4.7-10/kernel/net/ipv4/netfilter/ip_tables.o:
init_module: Device or resource busy
Hint: insmod errors can be caused by incorrect module parameters,
including invalid IO or IRQ parameters
/lib/modules/2.4.7-10/kernel/net/ipv4/netfilter/ip_tables.o: insmod
/lib/modules/2.4.7-10/kernel/net/ipv4/netfilter/ip_tables.o failed
/lib/modules/2.4.7-10/kernel/net/ipv4/netfilter/ip_tables.o: insmod
ip_tables failed
iptables v1.2.4: can't initialize iptables table `filter': iptables
who? (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

---

On Mon, 06 May 2002 22:48:02 +0200, Bjarke Freund-Hansen
<rknews@impsoft.dk> wrote:

>Jeg har kørt RH 7.2 ind, og bruger kernel 2.4 og iptables v1.2.4. Men
>jeg kan simpelthen ikke få iptables til at funke, nogle der kan give
>lidt råd/vejledning?

>[root@0x50c4b007 root]# iptables -L
>/lib/modules/2.4.7-10/kernel/net/ipv4/netfilter/ip_tables.o:
>init_module: Device or resource busy
>Hint: insmod errors can be caused by incorrect module parameters,
>including invalid IO or IRQ parameters
>/lib/modules/2.4.7-10/kernel/net/ipv4/netfilter/ip_tables.o: insmod
>/lib/modules/2.4.7-10/kernel/net/ipv4/netfilter/ip_tables.o failed
>/lib/modules/2.4.7-10/kernel/net/ipv4/netfilter/ip_tables.o: insmod
>ip_tables failed
>iptables v1.2.4: can't initialize iptables table `filter': iptables
>who? (do you need to insmod?)
>Perhaps iptables or your kernel needs to be upgraded.

Jeg har hørt noget om at man skal insmod'te iptables, men hvordan gør
man det, og hvad skal der til for at kunne det?

---

Det ser ud som om du har loaded ipchains

Det er sikkert fodi du sagde "ja" til noget firewall halløj under
installationen.

prøv at tilføje den her i dit firewall script FØR noget som helst IPTables
indlæses :

/sbin/rmmod ipchains




"Bjarke Freund-Hansen" <rknews@impsoft.dk> wrote in message
news:0rqddukhhvmra9mpcvlcr7v6i81ktk5tli@4ax.com...
> Jeg har kørt RH 7.2 ind, og bruger kernel 2.4 og iptables v1.2.4. Men
> jeg kan simpelthen ikke få iptables til at funke, nogle der kan give
> lidt råd/vejledning?
>
> [root@0x50c4b007 root]# iptables -L
> /lib/modules/2.4.7-10/kernel/net/ipv4/netfilter/ip_tables.o:
> init_module: Device or resource busy
> Hint: insmod errors can be caused by incorrect module parameters,
> including invalid IO or IRQ parameters
> /lib/modules/2.4.7-10/kernel/net/ipv4/netfilter/ip_tables.o: insmod
> /lib/modules/2.4.7-10/kernel/net/ipv4/netfilter/ip_tables.o failed
> /lib/modules/2.4.7-10/kernel/net/ipv4/netfilter/ip_tables.o: insmod
> ip_tables failed
> iptables v1.2.4: can't initialize iptables table `filter': iptables
> who? (do you need to insmod?)
> Perhaps iptables or your kernel needs to be upgraded.
>

---

On Tue, 7 May 2002 20:00:53 +0200, "Thomas More"
<thomasmore25@hotmail.com> wrote:

>Det ser ud som om du har loaded ipchains
>Det er sikkert fodi du sagde "ja" til noget firewall halløj under
>installationen.

Jeg har først lige installeret iptables, kører med ipchains lige nu,
men da den ikke kan portforwarde fra nettet og ind, og også er til 2.2
kernen så ville jeg gerne skifte til iptables.

>prøv at tilføje den her i dit firewall script FØR noget som helst IPTables
>indlæses :

>/sbin/rmmod ipchains

som det ser ud lige nu har jeg ingen firewall config, men jeg forsøger
da lige hvad den kommando kan.

---

On Tue, 07 May 2002 22:47:53 +0200, Bjarke Freund-Hansen
<rknews@impsoft.dk> wrote:

>On Tue, 7 May 2002 20:00:53 +0200, "Thomas More"
><thomasmore25@hotmail.com> wrote:

>>/sbin/rmmod ipchains

>som det ser ud lige nu har jeg ingen firewall config, men jeg forsøger
>da lige hvad den kommando kan.

[root@rk root]# rmmod iptables
rmmod: module iptables is not loaded

Er stadig helt lost, så hvis nogle kan forklare mig lidt, og give min
en kommando eller to der kunne få det hele til at funke

---

Det var #rmmod ipchains

du skulle skrive, ikke

#rmmod iptables

Det var netop for at FJERNE ipchains, da den ikke spiller sammne med
iptables !!




"Bjarke Freund-Hansen" <rknews@impsoft.dk> wrote in message
news:cdfgdugpkthi3pm2qap2rurs2ivindfdnk@4ax.com...
> On Tue, 07 May 2002 22:47:53 +0200, Bjarke Freund-Hansen
> <rknews@impsoft.dk> wrote:
>
> >On Tue, 7 May 2002 20:00:53 +0200, "Thomas More"
> ><thomasmore25@hotmail.com> wrote:
>
> >>/sbin/rmmod ipchains
>
> >som det ser ud lige nu har jeg ingen firewall config, men jeg forsøger
> >da lige hvad den kommando kan.
>
> [root@rk root]# rmmod iptables
> rmmod: module iptables is not loaded
>
> Er stadig helt lost, så hvis nogle kan forklare mig lidt, og give min
> en kommando eller to der kunne få det hele til at funke

---

On Wed, 8 May 2002 08:59:28 +0200, "Thomas More"
<thomasmore25@hotmail.com> wrote:

>Det var #rmmod ipchains

>du skulle skrive, ikke

>#rmmod iptables

>Det var netop for at FJERNE ipchains, da den ikke spiller sammne med
>iptables !!

aha, det giver mere mening, sorry læste vist lidt for hurtigt.

Nu ser det ud til at virke som det skal, så skal jeg bare sætte mig
ind i iptables, takker.

Lige et spørgsmål, nu loader den vel ikke ipchains igen ved reboot?

[root@rk apt]# rmmod ipchains
[root@rk apt]# rmmod ipchains
rmmod: module ipchains is not loaded
[root@rk apt]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

---

Jo, det tror jeg godt du kan regne med den gør.

Du kan evt. sætte den ene linie ind i toppen af dit iptables firewall
script, så unloades den jo hver gang.....

......eller skan du se om du kan finde hvor ipchains loades henne



"Bjarke Freund-Hansen" <rknews@impsoft.dk> wrote in message
news:h5mhdusfd45a56jkuioa64ds0004sjkg47@4ax.com...
> On Wed, 8 May 2002 08:59:28 +0200, "Thomas More"
> <thomasmore25@hotmail.com> wrote:
>
> >Det var #rmmod ipchains
>
> >du skulle skrive, ikke
>
> >#rmmod iptables
>
> >Det var netop for at FJERNE ipchains, da den ikke spiller sammne med
> >iptables !!
>
> aha, det giver mere mening, sorry læste vist lidt for hurtigt.
>
> Nu ser det ud til at virke som det skal, så skal jeg bare sætte mig
> ind i iptables, takker.
>
> Lige et spørgsmål, nu loader den vel ikke ipchains igen ved reboot?
>
> [root@rk apt]# rmmod ipchains
> [root@rk apt]# rmmod ipchains
> rmmod: module ipchains is not loaded
> [root@rk apt]# iptables -L
> Chain INPUT (policy ACCEPT)
> target prot opt source destination
>
> Chain FORWARD (policy ACCEPT)
> target prot opt source destination
>
> Chain OUTPUT (policy ACCEPT)
> target prot opt source destination
>

---

On Wed, 8 May 2002 14:12:01 +0200, "Thomas More"
<thomasmore25@hotmail.com> wrote:

>Jo, det tror jeg godt du kan regne med den gør.

Efter en genstart var iptables loaded, men ikke ipchains, så det er jo
som det skal være.

---

nu har jeg efterhånden fået stykket et script sammen hugget efter
nogle scripts jeg har fundet, og det funker udemærket. Men jeg vil
gerne have den til at route nogle porte ind til 192.168.0.17, fx port
2300 til port 2320. Hvorledes gøres dette?

Således ser den ud nu:
#!/bin/sh

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -F
iptables -t nat -F

iptables -N block
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.0.0/8 -j MASQUERADE

---

Tilføj :

iptables -t filter -A INPUT -p tcp -m tcp --dport 2300:2320 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d <EXTERN IP> --dport 2300:2320 -j
DNAT --to-dest 192.168.0.17:2300-2320

Jeg synes nu ikke din "firewall" er særligt sikker.....du skal nok overveje
:




iptables -t filter -P INPUT DROP

iptables -t filter -A INPUT -i eth1 -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT

FØR noget andet, hvor ETH1 er dit INTERNE netkort, altså netkortet til
lokalnettet !



"Bjarke Freund-Hansen" <rknews@impsoft.dk> wrote in message
news:pdsiducgkokcpscukkpqhq1i0fgil0l8rl@4ax.com...
> nu har jeg efterhånden fået stykket et script sammen hugget efter
> nogle scripts jeg har fundet, og det funker udemærket. Men jeg vil
> gerne have den til at route nogle porte ind til 192.168.0.17, fx port
> 2300 til port 2320. Hvorledes gøres dette?
>
> Således ser den ud nu:
> #!/bin/sh
>
> echo "1" > /proc/sys/net/ipv4/ip_forward
>
> iptables -P INPUT ACCEPT
> iptables -P FORWARD ACCEPT
> iptables -P OUTPUT ACCEPT
>
> iptables -F
> iptables -t nat -F
>
> iptables -N block
> iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> iptables -t nat -A POSTROUTING -s 192.168.0.0/8 -j MASQUERADE

---

On Thu, 9 May 2002 09:22:22 +0200, "Thomas More"
<thomasmore25@hotmail.com> wrote:


>iptables -t filter -A INPUT -p tcp -m tcp --dport 2300:2320 -j ACCEPT
>iptables -t nat -A PREROUTING -p tcp -d <EXTERN IP> --dport 2300:2320 -j
>DNAT --to-dest 192.168.0.17:2300-2320

Takker mange gange.

>Jeg synes nu ikke din "firewall" er særligt sikker.....du skal nok overveje:

I know, der er heller ikke særlig meget firewall i det, bare NAT'ing.

>iptables -t filter -P INPUT DROP

>iptables -t filter -A INPUT -i eth1 -j ACCEPT
>iptables -t filter -A INPUT -i lo -j ACCEPT

Det vil jeg forsøge mig med.

---

Jeps - men når nu man uden at miste preformance fra sin NAT ting, kan opnår
i hvert fald LIDT Sikkerhed, så kan man ligeså godt gøre det :)




"Bjarke Freund-Hansen" <rknews@impsoft.dk> wrote in message
news:kn9kdusg5iv0b6ibks9lpva02v2kr34u3e@4ax.com...
> On Thu, 9 May 2002 09:22:22 +0200, "Thomas More"
> <thomasmore25@hotmail.com> wrote:
>
>
> >iptables -t filter -A INPUT -p tcp -m tcp --dport 2300:2320 -j ACCEPT
> >iptables -t nat -A PREROUTING -p tcp -d <EXTERN IP> --dport 2300:2320 -j
> >DNAT --to-dest 192.168.0.17:2300-2320
>
> Takker mange gange.
>
> >Jeg synes nu ikke din "firewall" er særligt sikker.....du skal nok
overveje:
>
> I know, der er heller ikke særlig meget firewall i det, bare NAT'ing.
>
> >iptables -t filter -P INPUT DROP
>
> >iptables -t filter -A INPUT -i eth1 -j ACCEPT
> >iptables -t filter -A INPUT -i lo -j ACCEPT
>
> Det vil jeg forsøge mig med.

---

On Thu, 9 May 2002 09:50:55 +0200, "Thomas More"
<thomasmore25@hotmail.com> wrote:


>Jeps - men når nu man uden at miste preformance fra sin NAT ting, kan opnår
>i hvert fald LIDT Sikkerhed, så kan man ligeså godt gøre det :)

Nu har jeg fået udvilket noget mere på den, men tænkte på om FORWARD
bør være accept som default? Eller ser det du som om det er sikkert?

#!/bin/sh

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -F
iptables -X
iptables -Z
iptables -t nat -F

iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -p tcp -i eth1 -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -i eth1 -m tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp -i eth1 -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -i eth1 -m tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -i eth1 -m tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp -i eth1 -m tcp --dport 25 -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

iptables -A INPUT -p tcp -i eth1 -m tcp --dport 5000:5040 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 5000:5040 -j DNAT
--to-destination 192.168.0.17

iptables -A INPUT -p tcp -i eth1 -m tcp --dport 113 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 113 -j DNAT
--to-destination 192.168.0.17

---

Den Thu, 09 May 2002 10:06:52 +0200 skrev Bjarke Freund-Hansen:
>On Thu, 9 May 2002 09:50:55 +0200, "Thomas More"
><thomasmore25@hotmail.com> wrote:
>
>
>>Jeps - men når nu man uden at miste preformance fra sin NAT ting, kan opnår
>>i hvert fald LIDT Sikkerhed, så kan man ligeså godt gøre det :)
>
>Nu har jeg fået udvilket noget mere på den, men tænkte på om FORWARD
>bør være accept som default? Eller ser det du som om det er sikkert?

Hvorfor vil du have FORWARD til ACCEPT? Er det helt ok at dit lokalnet
bliver angrebet, når bare routeren ikke gør? Og da du i forvejen har
ACCEPT på al trafik til routeren fra lokalnettet, er det kun en lille
omvej, før man alligevel kan angribe routeren.

>iptables -A INPUT -i eth0 -j ACCEPT

Måske skulle du overveje at sikre dine maskiner i stedet for at bruge en
firewall - eller tage et kursus i TCP/IP og firewalls. Man bør IMHO vide
_præcis_ hvad der foregår, før man forsøger at konfigurere en firewall,
hvis ønsket er at øge sikkerheden.

Mvh
Kent
--
Motion: andet ord for "ondt i fødderne".

---

On Thu, 9 May 2002 08:27:08 +0000 (UTC), leeloo@phreaker.net (Kent
Friis) wrote:

>Den Thu, 09 May 2002 10:06:52 +0200 skrev Bjarke Freund-Hansen:
>>On Thu, 9 May 2002 09:50:55 +0200, "Thomas More"
>><thomasmore25@hotmail.com> wrote:

>>>Jeps - men når nu man uden at miste preformance fra sin NAT ting, kan opnår
>>>i hvert fald LIDT Sikkerhed, så kan man ligeså godt gøre det :)

>>Nu har jeg fået udvilket noget mere på den, men tænkte på om FORWARD
>>bør være accept som default? Eller ser det du som om det er sikkert?

>Hvorfor vil du have FORWARD til ACCEPT?

Det er det jeg spørger om, er det nødvendigt?

>Er det helt ok at dit lokalnet bliver angrebet, når bare routeren ikke
>gør?

Selvfølig ikke, det er derfor jeg spørger.

>Og da du i forvejen har ACCEPT på al trafik til routeren fra
>lokalnettet, er det kun en lille omvej, før man alligevel kan angribe
>routeren.

Well, hvordan forhindre jeg så det?

>>iptables -A INPUT -i eth0 -j ACCEPT

>Måske skulle du overveje at sikre dine maskiner i stedet for at bruge en
>firewall

Well, der skulle ikke være det store problem, men når man nu har en
linux maskine stående og deler net ud til et lille lokalnet, hvorfor
så ikke sætte firewall på den.

>eller tage et kursus i TCP/IP og firewalls. Man bør IMHO vide _præcis_
>hvad der foregår, før man forsøger at konfigurere en firewall, hvis
>ønsket er at øge sikkerheden.

Ønsket er at øge sikkerheden og at lærer noget om firewalls/routing.
Jeg har en DSL linie hvorpå der står en linux computer med to netkort,
som deler net ud til to andre computere i husstanden. Så det er
begranset hvor mange _midler_ jeg kan bruge på at sætte mig ind i det.

---

Inspireret af denne diskussion er jeg begyndt at eksperimentere med
iptables på min Debian Woody boks. Men hvad er "the Debian way" at
aktivere sit firewall script under opstart?

Mvh.
Tommy Vestermark

---

Tommy Vestermark <tov@mail1.SPAMFREEstofanet.dk> writes:

> Inspireret af denne diskussion er jeg begyndt at eksperimentere med
> iptables på min Debian Woody boks. Men hvad er "the Debian way" at
> aktivere sit firewall script under opstart?
>
>
> Mvh.
> Tommy Vestermark
>

kig i /etc/default/iptables

mvh
--
Joakim Recht
Tlf. 20 85 54 77
Email god@cs.auc.dk / PGP key http://www.braindump.dk/pgp.txt
WWW http://www.braindump.dk / http://www.compuclub.dk

---

On Thu, 09 May 2002 10:06:52 +0200, Bjarke Freund-Hansen
<rknews@impsoft.dk> wrote:

>On Thu, 9 May 2002 09:50:55 +0200, "Thomas More"
><thomasmore25@hotmail.com> wrote:


>>Jeps - men når nu man uden at miste preformance fra sin NAT ting, kan opnår
>>i hvert fald LIDT Sikkerhed, så kan man ligeså godt gøre det :)

Jeg er nu løbet ind i et andet problem, hvis folk connecter til min
FTP og vil donwloade/uploade en fil passivt kan de ikke connecte til
den port proftpd giver dem, hvilket jo er logisk nok. Kan man ikke få
iptables til dynamisk at åbne de porte proftpd skal bruge?

---

Er proftp på en af de maskiner der ligger BAG ved firewallen ?

Kan du ikke i proftp definere hvilke porte den bruger ?

Evt. kan du undersøge hvilken range af porte den bruger, man kan let
forwarde et område af porte, som f.eksl : 2048-4096 eller sådan noget !




"Bjarke Freund-Hansen" <rknews@impsoft.dk> wrote in message
news:k7pldusjb6mk1g55ajdjb610ngf9eshff3@4ax.com...
> On Thu, 09 May 2002 10:06:52 +0200, Bjarke Freund-Hansen
> <rknews@impsoft.dk> wrote:
>
> >On Thu, 9 May 2002 09:50:55 +0200, "Thomas More"
> ><thomasmore25@hotmail.com> wrote:
>
>
> >>Jeps - men når nu man uden at miste preformance fra sin NAT ting, kan
opnår
> >>i hvert fald LIDT Sikkerhed, så kan man ligeså godt gøre det :)
>
> Jeg er nu løbet ind i et andet problem, hvis folk connecter til min
> FTP og vil donwloade/uploade en fil passivt kan de ikke connecte til
> den port proftpd giver dem, hvilket jo er logisk nok. Kan man ikke få
> iptables til dynamisk at åbne de porte proftpd skal bruge?

---

On Fri, 10 May 2002 08:01:21 +0200, "Thomas More"
<thomasmore25@hotmail.com> wrote:

>Er proftp på en af de maskiner der ligger BAG ved firewallen ?

Nej, proftpd ligger på selve maskinen.

>Kan du ikke i proftp definere hvilke porte den bruger ?

Jo.

>Evt. kan du undersøge hvilken range af porte den bruger, man kan let
>forwarde et område af porte, som f.eksl : 2048-4096 eller sådan noget !

Jeg har sat proftpd til at bruge en bestemt range af porte, og åbnet
for disse. Men da proftpd langt fra bruge disse porte hele tiden,
ville det være rart hvis man kunne få den til at åbne for dem
dynamisk.

---

Bjarke Freund-Hansen wrote:

>>Evt. kan du undersøge hvilken range af porte den bruger, man kan let
>>forwarde et område af porte, som f.eksl : 2048-4096 eller sådan noget !
>
> Jeg har sat proftpd til at bruge en bestemt range af porte, og åbnet
> for disse. Men da proftpd langt fra bruge disse porte hele tiden,
> ville det være rart hvis man kunne få den til at åbne for dem
> dynamisk.

Har du indlæst ip_conntrack_ftp og ip_nat_ftp samt tilladt RELATED
forbindelser? Kører proftpd på port 21?

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
The day Microsoft makes something that does not suck,
is probably the day they start making vacuum cleaners.
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

On Sat, 11 May 2002 14:37:52 +0200, Rasmus Bøg Hansen
<moffe47@hotmail.com> wrote:

>Bjarke Freund-Hansen wrote:

>>>Evt. kan du undersøge hvilken range af porte den bruger, man kan let
>>>forwarde et område af porte, som f.eksl : 2048-4096 eller sådan noget !

>> Jeg har sat proftpd til at bruge en bestemt range af porte, og åbnet
>> for disse. Men da proftpd langt fra bruge disse porte hele tiden,
>> ville det være rart hvis man kunne få den til at åbne for dem
>> dynamisk.

>Har du indlæst ip_conntrack_ftp og ip_nat_ftp samt tilladt RELATED
>forbindelser?

nej, nej, og ja. Hvordan skal jeg indlæse ip_conntrack_ftp og
ip_nat_ftp? Skal i insmod'dse?

>Kører proftpd på port 21?

Ja.

---

Bjarke Freund-Hansen wrote:

> nej, nej, og ja. Hvordan skal jeg indlæse ip_conntrack_ftp og
> ip_nat_ftp? Skal i insmod'dse?

modprobe ip_conntrack_ftp ip_nat_ftp

Så er du sikker på at få alle moduler med, som de er afhængige af.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Those who write "Optimized for Netscape" og "Best viewed with MSIE"
never figured out the difference between the WWW and a Word Perfect
4.2 Document.
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

On Tue, 14 May 2002 12:00:42 +0200, Rasmus Bøg Hansen
<moffe47@hotmail.com> wrote:

>Bjarke Freund-Hansen wrote:

>> nej, nej, og ja. Hvordan skal jeg indlæse ip_conntrack_ftp og
>> ip_nat_ftp? Skal i insmod'dse?

>modprobe ip_conntrack_ftp ip_nat_ftp

>Så er du sikker på at få alle moduler med, som de er afhængige af.

Takker.

---

Bjarke Freund-Hansen wrote:

> Jeg er nu løbet ind i et andet problem, hvis folk connecter til min
> FTP og vil donwloade/uploade en fil passivt kan de ikke connecte til
> den port proftpd giver dem, hvilket jo er logisk nok. Kan man ikke få
> iptables til dynamisk at åbne de porte proftpd skal bruge?

Jo, ved at indlæse kernemodulet ip_conntrack_ftp - det virker dog ikke, hvis
du kører ftp på en anden port end 21.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Linux hackers are funny people: They count the time in patchlevels.
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

Den Fri, 10 May 2002 15:18:40 +0200 skrev Rasmus Bøg Hansen:
>Bjarke Freund-Hansen wrote:
>
>> Jeg er nu løbet ind i et andet problem, hvis folk connecter til min
>> FTP og vil donwloade/uploade en fil passivt kan de ikke connecte til
>> den port proftpd giver dem, hvilket jo er logisk nok. Kan man ikke få
>> iptables til dynamisk at åbne de porte proftpd skal bruge?
>
>Jo, ved at indlæse kernemodulet ip_conntrack_ftp - det virker dog ikke, hvis
>du kører ftp på en anden port end 21.

Hvorfor ville man da også gøre det? Det virker umiddelbart tåbeligt at
gøre.

Mvh
Kent
--
Is windows userfriendly? Nah, more like optimized for idiots.

---

Kent Friis wrote:

>>Jo, ved at indlæse kernemodulet ip_conntrack_ftp - det virker dog ikke,
>>hvis du kører ftp på en anden port end 21.
>
> Hvorfor ville man da også gøre det? Det virker umiddelbart tåbeligt at
> gøre.

Måske "security by obscurity"? Ellers kan jeg ikke se nogen god grund til
det...

Jeg havde en bruger, der forsøgte på det, og det fungerede overhovedet ikke,
så han endte med at bruge 21 i stedet.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Is there anything else I can contribute?
The latitude and longtitude of the bios writers current position, and
a ballistic missile.
-- Alan Cox
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

On Fri, 10 May 2002 15:18:40 +0200, Rasmus Bøg Hansen
<moffe47@hotmail.com> wrote:

>Bjarke Freund-Hansen wrote:

>>Jeg er nu løbet ind i et andet problem, hvis folk connecter til min
>>FTP og vil donwloade/uploade en fil passivt kan de ikke connecte til
>>den port proftpd giver dem, hvilket jo er logisk nok. Kan man ikke få
>>iptables til dynamisk at åbne de porte proftpd skal bruge?

>Jo, ved at indlæse kernemodulet ip_conntrack_ftp - det virker dog ikke, hvis
>du kører ftp på en anden port end 21.

Hmm, det lyder interrsant. Har du en guide til hvordan man
bruger/indlæser det? Og/eller noget dokumentation om det? har søgt på
google, men kan ikke umiddelbart finde noget.

---

Bjarke Freund-Hansen wrote:

>>Jo, ved at indlæse kernemodulet ip_conntrack_ftp - det virker dog ikke,
>>hvis du kører ftp på en anden port end 21.
>
> Hmm, det lyder interrsant. Har du en guide til hvordan man
> bruger/indlæser det? Og/eller noget dokumentation om det? har søgt på
> google, men kan ikke umiddelbart finde noget.

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
for table in INPUT OUTPUT FORWARD
do
iptables -A $table -m state --state RELATED,ESTABLISHED -j ACCEPT
done

ip_nat_ftp kan udelades, hvis din box ikke NAT'er selv.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
The day Microsoft makes something that does not suck,
is probably the day they start making vacuum cleaners.
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

On Sat, 11 May 2002 14:39:33 +0200, Rasmus Bøg Hansen
<moffe47@hotmail.com> wrote:

>Bjarke Freund-Hansen wrote:

>>>Jo, ved at indlæse kernemodulet ip_conntrack_ftp - det virker dog ikke,
>>>hvis du kører ftp på en anden port end 21.

>> Hmm, det lyder interrsant. Har du en guide til hvordan man
>> bruger/indlæser det? Og/eller noget dokumentation om det? har søgt på
>> google, men kan ikke umiddelbart finde noget.

>modprobe ip_conntrack_ftp
>modprobe ip_nat_ftp
>for table in INPUT OUTPUT FORWARD
>do
> iptables -A $table -m state --state RELATED,ESTABLISHED -j ACCEPT
>done

Jeg har kun lavet en "iptables -A INPUT -m state --state
RELATED,ESTABLISHED -j ACCEPT", og ingen for OUTPUT og FORWARD, bør
jeg det? Jeg har default rule på output som accept, og de andre som
drop.

>ip_nat_ftp kan udelades, hvis din box ikke NAT'er selv.

Boxen NAT'er mit lokale netværk til internet, men FTP'en kører på
selve maskinen.