Hallo Zoli (<[EMAIL PROTECTED]>) wrote: > "Andreas Pakulat" <[EMAIL PROTECTED]> schrieb > On 07.Apr 2004 - 22:16:39, Zoli wrote: > >> -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT >> -A OUTPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT >> -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT >> -A OUTPUT -p tcp -m tcp --sport 80 -j ACCEPT >> -A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT >> -A OUTPUT -p tcp -m tcp --sport 21 -j ACCEPT >> -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT >> -A OUTPUT -j LOG --log-prefix "raus" > >>Du hast denke ich den Sinn von OUTPUT nicht verstanden. Alle Pakete >>die dein Rechner verschicken will gehen durch diese Tabelle, Programme >>oeffnen normalerweise nicht auf Ports < 1024 Verbindungen nach aussen, >>da dies nur root darf. Du musst also die Ports 1024-65535 fuer >>Verbindungen oeffnen. >> >>Momentan kann man nur ueber die Ports 80, 22, 21 nach draussen. >> > Bitte hab Verständnis bin gerade dabei mir das zu Verinnerlichen.:) > > müsste dann das ungefähr so aussehen > bsp: iptables -A OUTPUT -p TCP --sport 1024: --dport 80 -j ACCEPT > > sehe ich das richtig so? > Aber was sollte ich noch ergänzen damit apt-get auch geht?
Du musst die lokalen Ports für Output freigeben, die Client-Programme verwenden. Welche das sind wird in /proc/sys/net/ipv4/ip_local_port_range festgelegt (ist bei mir von 32767-61000). Der Zielport ist bei http dann 80. Bei ftp ist es schwieriger: bei aktivem ftp kennst Du die Ports (20,21). Allerdings wird bei aktivem ftp zwar eine Verbindung von Dir zu Port 21 auf dem Server aufgebaut, die zweite Verbindung von Port 20 initiert aber der Server. In diesem Fall bewirkt ein Abblocken von neuen Verbindungen von außen (nur established erlaubt bei input), daß der Transfer nicht stattfinden kann. Und bei passivem ftp kennst Du gesagt vorher nicht den zweiten Port auf dem Server. Grüße Andreas Janssen -- Andreas Janssen <[EMAIL PROTECTED]> PGP-Key-ID: 0xDC801674 Registered Linux User #267976 http://www.andreas-janssen.de/debian-tipps.html -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)