ipchains vraagje - Windows clients

woensdag 20 september 2000 23:02

Acties:

7800Wp E/W + 7.5 kW Ecodan

Topicstarter

k probleem

ik heb een linux firewall aan chello hangen en de andere kant aan het interne netwerk, nou wil ik een ftp server op het interne netwerk hebben draaien en de ftp server op die linux bak niet gebruiken omdat daar de schijfruimte niet voor is, nou weet ik dat dat met ipchains te regelen is maar hoe, heb al van alles geprobeerd maar die linux ftp die blijft ze pakken

ipchains -A input -p tcp -s "chello-ip" 21 -d "intern-ip" 21 -j REDIRECT

deze regel heb ik ergens vaag gevonden maar die werkt op geen manier, hij leek mij ook vrij logisch, maar hij werkt dus logisch niet. wat voor verbouwing heb ik van die regel nodig om het wel te laten werken....?

donderdag 21 september 2000 00:12

Acties:

Verwijderd

doe: pico /ect/inetd.conf als root en zet een # voor de ftp line.. Als ik je verhaal goed begrepen heb zou dit moeten werken..

donderdag 21 september 2000 00:27

Acties:

mth

Die regel zorgt ervoor dat alleen FTP requests met als source de gateway en destination de interne FTP host geredirect worden. Dat is dus niet wat je wilt.

Merk op dat ipchains alleen maar de ene port naar de andere kan redirecten, ik heb niets gevonden over het redirecten naar andere IP adressen. Voor port forwarding heb je waarschijnlijk een ander programma nodig. In de IP Masquerade HOWTO staat hier een paragraaf over.

"This is the noise that keeps me awake."

donderdag 21 september 2000 00:35

Acties:

Verwijderd

Je bedoelt je ftp server op je linux bak afsluiten van de buiten wereld ?

dat doe je door de volgende regels in je /etc/rc.d/rc.local neer te pleuren of te flushen... :

ipchains -A input -i eth0 --proto tcp --destination-port 21 -l -j DENY
ipchains -A input -i eth0 --proto udp --destination-port 21 -l -j DENY
ipchains -A input -i eth0 --proto icmp --destination-port 21 -l -j DENY

poort 21 is de default port van een standaart ftp server deze kan je natuurlijk altijd veranderen naar jouw aangepaste poort..

Greetz..

donderdag 21 september 2000 01:19

Acties:

Verwijderd

Je zult IPMASQADM moeten gebruiken, daarmee kun je de module PORTFW aanspreken.

Je maakt eerst een input ACCEPT rule voor inkomend verkeer vanaf internet naar je vuurmuur. Die rule chained hem door naar je interne netwerkkaart van die bak, vanaf daar pak je hem op met de PORTFW module. De regel hiervoor forward het geaccepteerde verkeer van je chello aansluiting naar een door jouw gedefineerde poort op het interne LAN.

Uiteraard maakt een voorbeeldje het allemaal wat begrijpelijker.

# inputchain van ipchains

ipchains -A input -p tcp -s 0.0.0.0 -d (chelloip) (poortnummer) -y -j ACCEPT

# PORTFW rule

ipmasqadm portfw -a -P tcp -L (ip-van-je-interne-NIC-in-vuurmuur) (poortnummer-wat-je-geaccepteerd-hebt-in-ipchainsinputregel) -R (ip-van-bak-in-LAN) (poortnummer-van-bak-in-LAN)

Je kunt in de laatste rule eventueel nog een PREF setting doen om te loadbalancen, dit lijkt me echter voor een thuis situatie onnodig.

Bedenk dat je voor jouw wens (FTP) niet alleen poort 21 nodig hebt, maar ook poort 20 ( dataconnectie server ) en poorten >1024 voor uitgaand verkeer

Kortom, eerst eens ff IPMASQADM op je bak pleuren. URL hiervoor moet je maar ff gaan zoeken, heb ik niet bij de hand, maar begin eens op www.freshmeat.net

donderdag 21 september 2000 01:32

Acties:

Verwijderd

hmm, de edit functie lijkt nog een beetje buggy

. Arjen ligt helaas al te slapen, de laatste post moet je maar als final beschouwen

donderdag 21 september 2000 02:09

Acties:

hufkes

nee, daar staat niet hufter!

Rosink: had hem al als triple post doorgegeven in lieve adjes (

niets anders te doen zeker op dit uur), wellicht komt er een andere adje langs die die eerste twee eruit knikkert.

Onderstaande signature is al >20jr oud ***hoe dan***
---
Het internet is een veelbelovend medium
....dat maar heel weinig van zijn beloftes nakomt.
Wat weg is... raak je nooit meer kwijt :P

donderdag 21 september 2000 06:52

Acties:

Kaj.

1 LED is niet genoeg

Hoi... *klik* *klik* Doei... (/me komt langs:))

vrijdag 22 september 2000 00:10

Acties:

TriLithium

7800Wp E/W + 7.5 kW Ecodan

Topicstarter

k ipmasqadm geinst en lijkt te werken alleen de forwarding werkt dus nog niet, ik heb nu de volgende situatie:

ipchains:
ACCEPT tcp -y---- 0.0.0.0/0 213.93.22.103 * -> 20
ACCEPT tcp -y---- 0.0.0.0/0 213.93.22.103 * -> 21

gedaan dus met:
IPCHAINS -A input -p tcp -s 0.0.0.0 -d 213.93.22.103 20 -y -j ACCEPT
IPCHAINS -A input -p tcp -s 0.0.0.0 -d 213.93.22.103 21 -y -j ACCEPT

ipmasqadm:
prot localaddr rediraddr lport rport pcnt pref
TCP 192.168.1.10 192.168.1.20 21 21 10 10
TCP 192.168.1.10 192.168.1.20 20 20 10 10

gedaan met:
ipmasqadm portfw -d -P udp -L 192.168.1.10 20 -R 192.168.1.20 20
ipmasqadm portfw -d -P udp -L 192.168.1.10 21 -R 192.168.1.20 21

ik weet ff niet hoe ik dit goed onder elkaar moet krijgen maar ik hoop dat het duidelijk is, en dus niet werkt

vrijdag 22 september 2000 00:23

Acties:

imdos

I use FreeNAS and Ubuntu

Tja, je moet het goed overnemen dat voorbeeld! daar staan ook in nl. tcp ipv udp en dan zou het in feite wel gewoon moeten werken als je die regels toevoegd

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

vrijdag 22 september 2000 00:44

Acties:

oXygeN

oftewel oxje...

Wat jij wilt, is volgens mij port 21 redirecten naar je ftpserver op je eigen bak ofzo, je vergeet hierbij dat ftp ook nog een ftp-data poort heeft(20) port 21 is slechts voor control commands, en laat ftp nou heel lastig te redirecten zijn, het kan wel geloof ik, maar 't is echt een bitch

\o/

vrijdag 22 september 2000 00:45

Acties:

Verwijderd

leuk he, kutten met ipmasqadm

Je portfw rules beginnen al met de -d optie, en als je de bijgevoegde documentatie leest zie je dat dit iets anders doet dan jij wil ( syntax lijkt erg op die van ipchains ) dus dat zou ik eerst eens veranderen. En zoals je in de post hierboven leest is FTP geen udp maar tcp verkeer.

Happy reading

vrijdag 22 september 2000 09:36

Acties:

TriLithium

7800Wp E/W + 7.5 kW Ecodan

Topicstarter

ach shit heb ik de verkeerde regels gepost,sorry

dit moeten ze zijn natuurlijk:
ipmasqadm portfw -a -P tcp -L 192.168.1.10 20 -R 192.168.1.20 20
ipmasqadm portfw -a -P tcp -L 192.168.1.10 21 -R 192.168.1.20 21

en dezen waren ook de bodoeling te posten en dat geeft dus ook dant ipmasqadm lijstje, maar het werkt hiermee dus lekker niet

vrijdag 22 september 2000 09:41

Acties:

FatalError

Het zijn poort 21 n 23 die je moet forwarden, niet poort 20 en 21!

If it ain't broken, tweak it! | gasloos sinds oktober 2025, hoekwoning 1978 | 10kWp PV, Panasonic K serie 7kW, Atlantic Explorer V5 270L | Tesla Model Y

vrijdag 22 september 2000 09:58

Acties:

TriLithium

7800Wp E/W + 7.5 kW Ecodan

Topicstarter

23?? die is toch voor telnet???

vrijdag 22 september 2000 10:04

Acties:

FatalError

ehh... nou begin ik te twijfelen:o

If it ain't broken, tweak it! | gasloos sinds oktober 2025, hoekwoning 1978 | 10kWp PV, Panasonic K serie 7kW, Atlantic Explorer V5 270L | Tesla Model Y

vrijdag 22 september 2000 10:10

Acties:

FatalError

Ik heb het ff opgezocht, jullie hebben gelijk, het zijn poort 20 en 21.

If it ain't broken, tweak it! | gasloos sinds oktober 2025, hoekwoning 1978 | 10kWp PV, Panasonic K serie 7kW, Atlantic Explorer V5 270L | Tesla Model Y

vrijdag 22 september 2000 10:36

Acties:

Cameron Diaz

Als ik deze regels bekijk forward je het verkeerde ip:

ipmasqadm portfw -a -P tcp -L 192.168.1.10 20 -R 192.168.1.20 20
ipmasqadm portfw -a -P tcp -L 192.168.1.10 21 -R 192.168.1.20 21

die 192.168.1.10 is je interne ip, volgens mij moet dat het ip van je chello-account zijn

Mijn forward ziet er zo uit:

ipmasqadm portfw -a -P tcp -L 130.89.???.?? 6000 -R 192.168.1.2 6000
ipmasqadm portfw -a -P tcp -L 130.89.???.?? 1122 -R 192.168.1.2 1122

Verder lijkt het wel goed, zo werkt het bij iig ook

Mocht dat niet willen, probeer dan eerst eens een andere port, kan je zien of ftp-port nog open staat of niet,

Groetjes,

Niels

vrijdag 22 september 2000 15:44

Acties:

mth

Zorgt die "-y" bij ipchains er niet voor dat alleen nieuwe verbindingen toegestaan worden? Misschien worden alle volgende packets in een transmissie wel weggegooid.

Zorg dat al je DENY en REJECT ipchains regels loggen (met "-l"), op die manier kom je er snel achter wanneer packets weggegooid worden en kun je checken of dat wel of niet terecht was.

Poort 20 (ftp-data) wordt toch precies de andere kant op gebruikt? Dwz, die opent een verbinding van server naar client. Het lijkt me dus niet nodig om deze te forwarden. Ook niet wenselijk, want dan kun je geen ftp client meer draaien op je gateway.

"This is the noise that keeps me awake."

maandag 25 september 2000 19:38

Acties:

TriLithium

7800Wp E/W + 7.5 kW Ecodan

Topicstarter

nou weet ik het niet meer, van alles geprobeerd maar lukken homaar, nu ga ik maar van de ipmasqadm regels uit van CameronDiaz voor het gemak nu, maar wat voor ipchains regels moeten daar nu bij.

heb ftp ook uit /etc/inetd.conf gehaald dus de ftp van de firewall/gateway doet het niet meer.

Pagina: 1

Reageer