iptables настройки для proftpd

ftpd, iptables, webmin

0

1

Приветствую, Уважаемые!

Конфигурация вебмин и proftpd на стандартных портах.

Возник вопрос, как правильно в инпут прописать разрешения для lo,

чтобы вебмин и его терминал работали, и lo не

задваивал обращения к proftpd.

Что посоветуете?

Сейчас работает такое и в таком прорядке:

# Generated by iptables-save v1.8.7 on Mon Jul  1 19:01:05 2024
*mangle
:PREROUTING ACCEPT [2988:648365]
:INPUT ACCEPT [2957:645796]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1993:679002]
:POSTROUTING ACCEPT [1993:679002]
COMMIT
# Completed on Mon Jul  1 19:01:05 2024
# Generated by iptables-save v1.8.7 on Mon Jul  1 19:01:05 2024
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1981:678570]
:f2b-proftpd - [0:0]
-A INPUT -p tcp -m multiport --dports 21,20,990,989 -j f2b-proftpd
-A INPUT -i lo -p tcp -m tcp ! --dport 21 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 49200:54000 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 3/sec --limit-burst 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 12/0 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
-A OUTPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 12/0 -j ACCEPT
-A OUTPUT -p icmp -j DROP
-A f2b-proftpd -s 59.46.124.38/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 58.226.181.97/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 40.71.29.110/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 35.205.205.158/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 211.149.132.198/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 194.71.217.74/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 177.54.147.173/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 119.28.71.111/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 104.199.31.214/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 103.6.223.149/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -j RETURN
COMMIT
# Completed on Mon Jul  1 19:01:05 2024
# Generated by iptables-save v1.8.7 on Mon Jul  1 19:01:05 2024
*nat
:PREROUTING ACCEPT [950:109886]
:INPUT ACCEPT [173:8540]
:OUTPUT ACCEPT [17:1344]
:POSTROUTING ACCEPT [17:1344]
COMMIT
# Completed on Mon Jul  1 19:01:05 2024

Ссылка

← DHCP KEA - отказоустойчивый сервер с двумя мастерами

systemd: гонка и дедлок зависимостей служб? →

Возник вопрос, как правильно в инпут прописать разрешения для lo

У тебя уже есть -A INPUT -i lo -j ACCEPT. Все остальные правила с -i lo бессмысленны.

чтобы вебмин и его терминал работали

Сомневаюсь, что тут найдутся специались по этому

lo не задваивал обращения к proftpd

Разверни мысль. Этот набор слов не несет смысла.

BOOBLIK ★★★★
(01.07.24 22:20:11 MSK)

Ответ на: комментарий от BOOBLIK 01.07.24 22:20:11 MSK

Да ну))))) Если бы это было так, то я бы не задал вопрос)))

Все что до, работает. Данная конфигурация по ло выключает тср порт 21, остальное можно.

AlexZander
(01.07.24 22:25:39 MSK) автор топика

Ответ на: комментарий от AlexZander 01.07.24 22:25:39 MSK

))))))

BOOBLIK ★★★★
(02.07.24 09:52:11 MSK)

Ссылка

и lo не задваивал обращения к proftpd.

В смысле задваивал?

vel ★★★★★
(03.07.24 22:50:17 MSK)

Ответ на: комментарий от vel 03.07.24 22:50:17 MSK

в auth.log proftpd на 21 порт было обращение не только с внешних адресов, а и со своего адреса. Убрал выключение 21 порта для ло, повтора нет. Ничего не понимаю, то есть, то нет.

AlexZander
(04.07.24 21:05:23 MSK) автор топика