URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 37112
[ Назад ]

Исходное сообщение
"Проблемы с ProFTPd и iptables"
Отправлено pascal , 11-Ноя-03 11:36

Ни как не могу нормально настроить firewall(iptables)
Если не установлено ни одного правила и все политики ACCEPT то все работает нормально
Если же делаешь
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -p tcp --dport ftp -j ACCEPT
iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p tcp --dport ftp-data -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
то приконектиться можно. Зато попытка выполнить dir или ls, или качнуть чио либо обламывается.
OS: Slackware Linux 9.0 Kernel 2.4.22
ip_conntrack_ftp в ядре присутствует

Содержание

Проблемы с ProFTPd и iptables,pascal, 12:07 , 11-Ноя-03
- Проблемы с ProFTPd и iptables,DogEater, 14:42 , 11-Ноя-03
  - Проблемы с ProFTPd и iptables,pascal, 17:06 , 11-Ноя-03
    - Проблемы с ProFTPd и iptables,DogEater, 23:15 , 11-Ноя-03
  - Проблемы с ProFTPd и iptables,pascal, 17:08 , 11-Ноя-03
Проблемы с ProFTPd и iptables,Xela, 09:37 , 12-Ноя-03
Проблемы с ProFTPd и iptables,Mike, 14:18 , 12-Ноя-03
- Проблемы с ProFTPd и iptables,Azazelo, 16:24 , 12-Ноя-03

Сообщения в этом обсуждении

"Проблемы с ProFTPd и iptables"
Отправлено pascal , 11-Ноя-03 12:07

Совсем забыл
iptables -A OUTPUT -p tcp --dport auth -j ACCEPT
тоже открыто

"Проблемы с ProFTPd и iptables"
Отправлено DogEater , 11-Ноя-03 14:42

>Совсем забыл
>iptables -A OUTPUT -p tcp --dport auth -j ACCEPT
>тоже открыто

логи что говорят?
попробуй открыть на OUTPUT диапазон портов прописанных в /proc/sys/net/ipv4/ip_local_port_range

"Проблемы с ProFTPd и iptables"
Отправлено pascal , 11-Ноя-03 17:06

>логи что говорят?
Логи смотрел: inetd ведет себя смирно
in.identd и сам серв тоже
Весь смак в том что конект открывается, ты логинишся на сервер а данные не передаются(dir get)

"Проблемы с ProFTPd и iptables"
Отправлено DogEater , 11-Ноя-03 23:15

>>логи что говорят?
>Логи смотрел: inetd ведет себя смирно
>in.identd и сам серв тоже
>Весь смак в том что конект открывается, ты логинишся на сервер а
>данные не передаются(dir get)
какой к Святому Коннектию inetd!
я имел ввиду может iptables чего-нибудь режет
посмоти среди DENY знакомые порты

"Проблемы с ProFTPd и iptables"
Отправлено pascal , 11-Ноя-03 17:08

>попробуй открыть на OUTPUT диапазон портов прописанных в /proc/sys/net/ipv4/ip_local_port_range
Поковыряем

"Проблемы с ProFTPd и iptables"
Отправлено Xela , 12-Ноя-03 09:37

Это из-за того, что помимо 20-21 порта в FTP динамичски назначает
портры для некоторых действий.
Решений сосбствено два: либо использовать только пассивный режим
работы клиента за файрволом, либо использовать модуль ядра ip_nat_ftp
и только активный режим на клиенте за файрволом.

"Проблемы с ProFTPd и iptables"
Отправлено Mike , 12-Ноя-03 14:18

>iptables -P INPUT DROP
>iptables -P OUTPUT DROP
>iptables -P FORWARD DROP
>iptables -A INPUT -p tcp --dport ftp -j ACCEPT
>iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT
>iptables -A INPUT -p icmp -j ACCEPT
>iptables -A OUTPUT -p tcp --dport ftp-data -j ACCEPT
>iptables -A OUTPUT -p icmp -j ACCEPT
дядя!
у тебя разрешено только tcp
а udp кто будет открывать?
P.S. а советчиков то....
помалкивали б лучше

"Проблемы с ProFTPd и iptables"
Отправлено Azazelo , 12-Ноя-03 16:24

>>iptables -P INPUT DROP
>>iptables -P OUTPUT DROP
>>iptables -P FORWARD DROP
>>iptables -A INPUT -p tcp --dport ftp -j ACCEPT
>>iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT
>>iptables -A INPUT -p icmp -j ACCEPT
>>iptables -A OUTPUT -p tcp --dport ftp-data -j ACCEPT
>>iptables -A OUTPUT -p icmp -j ACCEPT
>дядя!
>у тебя разрешено только tcp
>а udp кто будет открывать?
>
>P.S. а советчиков то....
>помалкивали б лучше
А что ftp использует UDP ?
мое предложение к данной проблеме использовать пассивный режим