Polskie Forum Użytkowników Debiana

Witam.

Używam takiego "firewalla" i niestety blokuje ftp, tzn. nikt nie może sie połączyć, reszta usług działa dobrze.
Może ma ktoś jakiś pomysł, żeby odblokować możliwość łączenia się z moim ftp lub też, aby usprawnić działanie tego ustrojstwa.

Link do firewalla: http://pastebin.ca/162892

Z góry dzięki, pozdrawiam.

PS. Zmieniłem ssh na port 60 ;p

tzn w tym firewallu wyglada wszystko poprawnie. pokaz lepiej wynik komendy:sprawdz tez czy lokalnie mozesz sie na tego ftp zalogowac - tzn siedzac na nim pod adres 127.0.0.1.

Ja w linijce 50 bym dopisał:
modprobe ip_conntrack_ftp
iptables -A INPUT -m helper --helper ftp -j ACCEPT

pozdro

myuser pisze:tzn w tym firewallu wyglada wszystko poprawnie. pokaz lepiej wynik komendy:

Kod: Zaznacz cały

iptables -L -v
iptables -t nat -L -v

sprawdz tez czy lokalnie mozesz sie na tego ftp zalogowac - tzn siedzac na nim pod adres 127.0.0.1.

iptables -L -v zwraca coś takiego:

root@smietnik:~# iptables -L -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
622 24626 ACCEPT all -- !eth0 any anywhere anywhere
32375 44M ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:ftp-data state NEW
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:60 state NEW
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:www state NEW
0 0 REJECT tcp -- eth0 any anywhere anywhere reject-with tcp-reset
25 850 REJECT udp -- eth0 any anywhere anywhere reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 20362 packets, 1174K bytes)
pkts bytes target prot opt in out source destination



a iptables -t nat -L -v:

root@smietnik:~# iptables -t nat -L -v
Chain PREROUTING (policy ACCEPT 25 packets, 850 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 575 packets, 33616 bytes)
pkts bytes target prot opt in out source destination
0 0 SNAT all -- any eth0 192.168.1.0/24 !192.168.1.0/24 to:10.10.48.33

Chain OUTPUT (policy ACCEPT 575 packets, 33616 bytes)
pkts bytes target prot opt in out source destination


lokalnie mogę się logować i przez 127.0.0.1 oraz przez 10.10.48.33 jednak reszta ludzików z mojej sieci niestety nie może

A przez jaki interface wchodza pakiety z LANu. Pytam bo zastanawia mnie linijka:BTW: Uzywaj Code!
// Tak naprawde to nie siedze na Debianie, ale moze masz TCPWrappers etc. czyli - czy masz pliki /etc/hosts.deny i /etc/hosts.allow? Jesli masz to je pokaz.
Jak chcesz sprawdzic czy to na 100% wina firewalla to na koncu skryptu dodaj: no i wtedy patrz gdzie laduja pakiety.
Pozatym zaladuj ten modul - tak jak pisal poprzednik.

myuser pisze:A przez jaki interface wchodza pakiety z LANu. Pytam bo zastanawia mnie linijka:

Kod: Zaznacz cały

 622 24626 ACCEPT all -- !eth0 any anywhere anywhere

BTW: Uzywaj Code!
// Tak naprawde to nie siedze na Debianie, ale moze masz TCPWrappers etc. czyli - czy masz pliki /etc/hosts.deny i /etc/hosts.allow? Jesli masz to je pokaz.
Jak chcesz sprawdzic czy to na 100% wina firewalla to na koncu skryptu dodaj:

Kod: Zaznacz cały

IPTABLES -I INPUT -p tcp --dport 21 -j ACCEPT

no i wtedy patrz gdzie laduja pakiety.
Pozatym zaladuj ten modul - tak jak pisal poprzednik.

Cały ruch odbywa się na eth0 (na eth1 zamierzam zrobić maskarade, jak tylko naprawię monitor do drugiego komputera).

Pliki /etc/hosts.deny oraz /etc/hosts.allow mam puste.

myuser dodałem regułkę, która mi podałeś i wszystko jest jak najbardziej ok.


Dziękuję za pomoc, pozdrawiam - peredhil.