форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"FTP через Iptables"
Сообщение от Dehydro (ok) on 28-Июл-04, 15:17  (MSK)
Создаю такие правила: iptables -I FORWARD -p tcp -s 192.168.1.7 --dport 21 -j ACCEPT iptables -I FORWARD -p tcp -d 192.168.1.7 --sport 21 -j ACCEPT но к фтп не подключаюсь, что делать?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "FTP через Iptables"
Сообщение от Xela (ok) on 28-Июл-04, 19:03  (MSK)
>Создаю такие правила: >iptables -I FORWARD -p tcp -s 192.168.1.7 --dport 21 -j ACCEPT >iptables -I FORWARD -p tcp -d 192.168.1.7 --sport 21 -j ACCEPT > >но к фтп не подключаюсь, что делать? А ты конечно помнишь, что FTP работает на ДВУХ портах? И что у него есть два режима работы, активный и пассивный???
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "FTP через Iptables"
	Сообщение от dimus (ok) on 29-Июл-04, 08:40  (MSK)
	Есть на сайте opennet.ru прекрасный учебник по iptables. Там все это описано, причем с примерами и на русском. Почитай - не пожалеешь. Из своего горького опыта могу сказать, что как только в файерволе появляется дыра под фтп, юзеры дружно пытаются выкачать весь ftp.mp3.ru, поднимая трафик до заоблачных высот, за что админ потом получает по полной программе. Так что хорошо подумай, а тебе это надо?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "FTP через Iptables"
	Сообщение от Dehydro (ok) on 29-Июл-04, 09:27  (MSK)
	Прочитал ман по iptables, чего-то всёравно непонятно, там про какие-то дополнительные модули разговор, а как правила строить так и не понял...:(
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "FTP через Iptables"
	Сообщение от Xela (ok) on 29-Июл-04, 09:41  (MSK)
	>Прочитал ман по iptables, чего-то всёравно непонятно, там про какие-то дополнительные модули >разговор, а как правила строить так и не понял...:( Еще раз подчеркиваю: FTP работает на ДВУХ портах 20 и 21, один ftp-control, другой ftp-data. Так же есть два режима работы активный, и пассивный. Гугл на эту тему расскажет чем они различаются и каким образом назначаются порты для ftp сессии. В руководстве по IPTABLES следует обратить внимение на модуль state и состояния соединений RELATED. Если используется NAT обратить внимаение на модуль ядра nat_ftp.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "FTP через Iptables"
	Сообщение от Xela (ok) on 29-Июл-04, 09:47  (MSK)
	Да! А если нат не используется обратить внимаение на модуль ядра ip_conntrack_ftp
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "FTP через Iptables"
	Сообщение от Dehydro (ok) on 29-Июл-04, 10:07  (MSK)
	Я одно понял, что если у меня всё открыто: iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -d 192.168.1.0/24 -j ACCEPT то фтп работает в пассиве, ёще аську так пропустил: iptables -A FORWARD -p tcp -s 192.168.1.7 --dport 5190 -j ACCEPT iptables -A FORWARD -p udp -s 192.168.1.7 --dport 5190 -j ACCEPT iptables -A FORWARD -p tcp -d 192.168.1.7 --sport 5190 -j ACCEPT iptables -A FORWARD -p udp -d 192.168.1.7 --sport 5190 -j ACCEPT iptables -A FORWARD -p all -s 192.168.1.7 -j DROP iptables -A FORWARD -p all -d 192.168.1.7 -j DROP а с фтп не справляюсь &-O
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "FTP через Iptables"
	Сообщение от Xela (ok) on 29-Июл-04, 10:22  (MSK)
	М-да. Все такие ты бы прочел бы документацию внимательно и вдумчиво. iptables -P FORWARD DROP iptables -A FORWARD -p tcp -s 192.168.0.0/24 -dport 20 -j ACCEPT iptables -A FORWARD -p tcp -s 192.168.0.0/24 -dport 21 -j ACCEPT iptables -A FORWARD -p tcp -s 192.168.0.0/24 -dport 5190 -j ACCEPT iptables -A FORWARD -p udp -s 192.168.0.0/24 -dport 20 -j ACCEPT iptables -A FORWARD -p udp -s 192.168.0.0/24 -dport 21 -j ACCEPT iptables -A FORWARD -p udp -s 192.168.0.0/24 -dport 5190 -j ACCEPT iptables -A FORWARD -p tcp -s 192.168.0.0/24 -dport 80 -j ACCEPT iptables -A FORWARD -d 192.168.0.0/24 -m state --state ESATBLISHED,RELATED -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source x.x.x.x insmod ip_conntrack_ftp insmod ip_nat_ftp
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "FTP через Iptables"
	Сообщение от Dehydro (ok) on 29-Июл-04, 11:22  (MSK)
	iptables -A FORWARD -d 192.168.0.0/24 -m state --state ESATBLISHED,RELATED -j ACCEPT iptables v1.2.6a: Bad state `ESATBLISHED,RELATED' Try `iptables -h' or 'iptables --help' for more information.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "FTP через Iptables"
	Сообщение от Xela (ok) on 29-Июл-04, 11:28  (MSK)
	>iptables -A FORWARD -d 192.168.0.0/24 -m state --state ESATBLISHED,RELATED -j ACCEPT > > >iptables v1.2.6a: Bad state `ESATBLISHED,RELATED' >Try `iptables -h' or 'iptables --help' for more information. Опечатался. не ESATBLISHED а ESTABLISHED конечно
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "FTP через Iptables"
	Сообщение от Dehydro (ok) on 29-Июл-04, 11:37  (MSK)
	А зачем порт 5190 и 80?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "FTP через Iptables"
	Сообщение от Xela (ok) on 29-Июл-04, 11:49  (MSK)
	>А зачем порт 5190 и 80? Для примера :) 5190 --- аська 80 --- http
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "FTP через Iptables"
	Сообщение от Dehydro (ok) on 29-Июл-04, 11:58  (MSK)
	Не работает Вот так работает ася: iptables -A FORWARD -p tcp -s 192.168.1.7 --dport 5190 -j ACCEPT iptables -A FORWARD -p udp -s 192.168.1.7 --dport 5190 -j ACCEPT iptables -A FORWARD -p tcp -d 192.168.1.7 --sport 5190 -j ACCEPT iptables -A FORWARD -p udp -d 192.168.1.7 --sport 5190 -j ACCEPT iptables -A FORWARD -p all -s 192.168.1.7 -j DROP iptables -A FORWARD -p all -d 192.168.1.7 -j DROP А как ты написал нет :(
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "FTP через Iptables"
	Сообщение от Xela (ok) on 29-Июл-04, 12:20  (MSK)
	>А как ты написал нет :( Очень странно. Потому как то что я написал это твои правила переписаные по другому. Что-то ты не так делаешь или не договариваешь.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "FTP через Iptables"
	Сообщение от Vladimir (??) on 05-Авг-04, 17:07  (MSK)
	>>А как ты написал нет :( > >Очень странно. Потому как то что я написал это твои правила переписаные >по другому. Что-то ты не так делаешь или не договариваешь. я фтп пропустил так (пример из сценария фаерволла): #!/bin/sh LAN_NET="192.168.0.0/24" EXT_ADDR="внеший адрес" ANYWHERE="any/0" UNPRIVPORTS="1024:65534" /sbin/modprobe/ip_conntrack /sbin/modprobe/ip_nat_ftp #FTP managing #ftp session iptables -A FORWARD -p tcp -s $LAN_NET -d $ANYWHERE -dport 21 -j ACCEPT iptables -A FORWARD -p tcp -s $ANYWHERE -d $LAN_NET -sport 21 -m conntrack --ctstate ESTABLISHED -j ACCEPT #ftp active mode iptables -A FORWARD -p tcp -s $LAN_NET -d $ANYWHERE -dport 20 -j ACCEPT iptables -A FORWARD -p tcp -s $ANYWHERE -s $LAN_NET -sport 20 -m conntrack  --ctstate ESTABLISHED,RELATED -j ACCEPT #ftp passive mode iptables -A FORWARD -p tcp -s $LAN_NET -d $ANYWHERE -sport $UNPRIVPORTS -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p tcp -s $ANYWHERE -d $LAN_NET -dport $UNPRIVPORTS -m conntrack --ctstate ESTABLISHED -j ACCEPT #nat iptables -t nat -A POSTROUTING -p tcp -s $LAN_NET -d $ANYWHERE -j SNAT --to-source $EXT_ADDR вот так вроде должно все работать (с активным режимом не проверял, но пассивный, который используют браузеры, все работает) внимательно читай мануал по Iptables, особенно раздел про трассировку соединений. только учти, что в пассивном режиме браузеры используют не 20-й порт, а непривилегированные порты.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.