---

Hej!

Jeg forsøger at smide en stak iptables filtre på en host, som kører med
Nagios. Uden filtre går ftp-test ok:

/usr/lib/nagios/plugins/check_ftp -H 192.168.1.64 -w 15 -c 20 -t 20
FTP OK - 0.011 second response time on port 21 [220 ProFTPD 1.2.8 Server (My
ftp server) [ftp.domain.dk]]|time= 0.011



Slår jeg så iptables til, så får jeg:

/usr/lib/nagios/plugins/check_ftp -H 192.168.1.64 -w 15 -c 20 -t 20

FTP OK - 10.011 second response time on port 21 [220 ProFTPD 1.2.8 Server
(My ftp server) [ftp.domain.dk]]|time= 10.011

Altså 10 sekunder længere ??

Mine filtre (grundlæggende) omkring FTP er:

# Allow all internal packets out of our network.
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -o
$DMZ_INTERFACE \
-j ACCEPT

# Allow the associated packets with those connections back in.
iptables -A INPUT -m state --state ESTABLISHED,RELATED \
-i $DMZ_INTERFACE -j ACCEPT


# outgoing request
iptables -A OUTPUT -o $DMZ_INTERFACE -p tcp \
-s $IPADDR_DMZ --source-port $UNPRIVPORTS \
--destination-port 21 -j ACCEPT

iptables -A INPUT -i $DMZ_INTERFACE -p tcp ! --syn \
--source-port 21 \
-d $IPADDR_DMZ --destination-port $UNPRIVPORTS -j ACCEPT

# PORT mode data channel
iptables -A INPUT -i $DMZ_INTERFACE -p tcp \
--source-port 20 \
-d $IPADDR_DMZ --destination-port $UNPRIVPORTS -j ACCEPT

iptables -A OUTPUT -o $DMZ_INTERFACE -p tcp ! --syn \
-s $IPADDR_DMZ --source-port $UNPRIVPORTS \
--destination-port 20 -j ACCEPT

Nogen idé om hvor de 10 sekunder kommer fra ?? Reverse DNS og identd lookup
skulle være slået fra i ProFTPD, og der er intet at se i loggen omkring
blokerede pakker i hverken indgående eller udgående retning..



/Brian