Re: apt-get geht nicht durch iptables

Wed, 07 Apr 2004 15:18:10 -0700 

Hallo

Zoli (<[EMAIL PROTECTED]>) wrote:
> "Andreas Pakulat" <[EMAIL PROTECTED]> schrieb 
> On 07.Apr 2004 - 22:16:39, Zoli wrote:
>
>> -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
>> -A OUTPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
>> -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
>> -A OUTPUT -p tcp -m tcp --sport 80 -j ACCEPT
>> -A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
>> -A OUTPUT -p tcp -m tcp --sport 21 -j ACCEPT
>> -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>> -A OUTPUT -j LOG --log-prefix "raus"
> 
>>Du hast denke ich den Sinn von OUTPUT nicht verstanden. Alle Pakete
>>die dein Rechner verschicken will gehen durch diese Tabelle, Programme
>>oeffnen normalerweise nicht auf Ports < 1024 Verbindungen nach aussen,
>>da dies nur root darf. Du musst also die Ports 1024-65535 fuer
>>Verbindungen oeffnen.
>>
>>Momentan kann man nur ueber die Ports 80, 22, 21 nach draussen.
>>
> Bitte hab Verständnis bin gerade dabei mir das zu Verinnerlichen.:)
> 
> müsste dann das ungefähr so aussehen
> bsp: iptables -A OUTPUT -p TCP --sport 1024: --dport 80 -j ACCEPT
> 
> sehe ich das richtig so?
> Aber was sollte ich noch ergänzen damit apt-get auch geht?

Du musst die lokalen Ports für Output freigeben, die Client-Programme
verwenden. Welche das sind wird in 
/proc/sys/net/ipv4/ip_local_port_range festgelegt (ist bei mir von
32767-61000). Der Zielport ist bei http dann 80. 

Bei ftp ist es schwieriger: bei aktivem ftp kennst Du die Ports (20,21).
Allerdings wird bei aktivem ftp zwar eine Verbindung von Dir zu Port 21
auf dem Server aufgebaut, die zweite Verbindung von Port 20 initiert
aber der Server. In diesem Fall bewirkt ein Abblocken von neuen
Verbindungen von außen (nur established erlaubt bei input), daß der
Transfer nicht stattfinden kann. Und bei passivem ftp kennst Du gesagt
vorher nicht den zweiten Port auf dem Server.

Grüße
        Andreas Janssen

-- 
Andreas Janssen <[EMAIL PROTECTED]>
PGP-Key-ID: 0xDC801674
Registered Linux User #267976
http://www.andreas-janssen.de/debian-tipps.html


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Antwort per Email an