форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"iptables и активный FTP"
Сообщение от Vanger13 (ok) on 03-Мрт-05, 11:38  (MSK)
сразу сознаюсь, пользовался поиском, читал форум. но всё равно не получилось нифига. ну добавил я модули ip_conntrack_ftp и ip_nat_ftp. проверил lsmod, да висят в памяти. а дальше что? как-то нужно менять правила или модули сами это всё будут отслеживать? вообще не понятен сам механизм этого действа, т.е. прохождения соединения на активный FTP. что и в какую цепочку будет попадать и как преобразовываться. разъясните пожалуйста.
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "iptables и активный FTP"
Сообщение от sergio (??) on 03-Мрт-05, 14:08  (MSK)
>сразу сознаюсь, пользовался поиском, читал форум. но всё равно не получилось нифига. >ну добавил я модули ip_conntrack_ftp и ip_nat_ftp. проверил lsmod, да висят >в памяти. а дальше что? как-то нужно менять правила или модули >сами это всё будут отслеживать? вообще не понятен сам механизм этого >действа, т.е. прохождения соединения на активный FTP. что и в какую >цепочку будет попадать и как преобразовываться. разъясните пожалуйста. iptables -A FORWARD -m state RELATED,ESTABLISHED -j ACCEPT                                 ^                                 |                  trassirovka kompleksnyh protokolov
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "iptables и активный FTP"
	Сообщение от Vanger13 (ok) on 04-Мрт-05, 08:14  (MSK)
	>iptables -A FORWARD -m state RELATED,ESTABLISHED -j ACCEPT >           >         ^ >         | >     trassirovka kompleksnyh protokolov ну это не новость. есть более конструктивные предложения? мне вообще кажется что попытка подключения от сервака попадает в цепочку INPUT, сейчас буду логи проверять.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "iptables и активный FTP"
Сообщение от Vanger13 (ok) on 04-Мрт-05, 11:12  (MSK)
посмотрел логи. да, действииельно в цепоче FORWARD проскакивает покет от внешнего FTP сервера к компьютеру с локальной сети. но это обращение с 21 порта на произвольный порт. даже если я его пропущу, то как мне выпускать ответ? выпускать изнутри на все порты с состоянием Established?! чёт мне не нравиться такой расклад. иначе никак?
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "iptables и активный FTP"
	Сообщение от _KAV_ (ok) on 04-Мрт-05, 12:45  (MSK)
	>посмотрел логи. да, действииельно в цепоче FORWARD проскакивает покет от внешнего FTP >сервера к компьютеру с локальной сети. но это обращение с 21 >порта на произвольный порт. даже если я его пропущу, то как >мне выпускать ответ? выпускать изнутри на все порты с состоянием Established?! >чёт мне не нравиться такой расклад. иначе никак? Я вообще из _сервака_ все выпускаю... и ничего. Только просьба пояснить несколько моментов - как минимум какое отношение цепочки input и output имеют отношение к установке соединения по ftp через маскарад????
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "iptables и активный FTP"
	Сообщение от Vanger13 (ok) on 04-Мрт-05, 13:36  (MSK)
	>Я вообще из _сервака_ все выпускаю... и ничего. >Только просьба пояснить несколько моментов - как минимум какое отношение цепочки input >и output имеют отношение к установке соединения по ftp через маскарад???? > речь идёт не о выпускании с сервера, а о выпускании из внутреней сети. выпускать оттуда всё я не собираюсь.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "iptables и активный FTP"
	Сообщение от _KAV_ (ok) on 04-Мрт-05, 13:38  (MSK)
	>речь идёт не о выпускании с сервера, а о выпускании из внутреней >сети. выпускать оттуда всё я не собираюсь. Тогда при чем здесь output ?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "iptables и активный FTP"
	Сообщение от Vanger13 (ok) on 05-Мрт-05, 13:50  (MSK)
	>>речь идёт не о выпускании с сервера, а о выпускании из внутреней >>сети. выпускать оттуда всё я не собираюсь. > >Тогда при чем здесь output ? Господи! да где вы output то нашли? я про него и не упоминал, прочитайте тему ещё раз.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "iptables и активный FTP"
	Сообщение от _KAV_ (ok) on 06-Мрт-05, 11:13  (MSK)
	>Господи! да где вы output то нашли? я про него и не >упоминал, прочитайте тему ещё раз. Сообщение номер 3. Понятие "выпускать" в iptables - это однозначно output - это не фря. Потому что прохождение пакетов при маскарадинге и пр. используя iptables - это prerouting-forward-postrouting. Таблицы filter есть только у forward в этом случае. И чем вам не нравится пропускание всего с состоянием established,related? Это как раз то, чего мне во фре не хватает. Состояние established,related соединение приобретает только после установления соединения - т.е. если прошли все предыдущие стадии. Если нужно что-то ограничивать - то ограничивается перед этим, не давая установить соединение.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "iptables и активный FTP"
	Сообщение от Moralez (??) on 07-Мрт-05, 05:35  (MSK)
	В каким смысле "во фре не хватает"? :) А мне вот в linux не хватает конструкции keep-state. А пущать-непущать established пакеты - это прошлый век :(
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.