LINUX.ORG.RU
ФорумAdmin

ftp && iptables


0

0 

Правильно ли настроены iptables для FTP?  Есть подозрение, что неверно написаны правила
для пассивного режима:

# FTP
#   Server
#     Control
iptables -A INPUT -p tcp --sport 1024: --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 21 --dport 1024: -m state --state ESTABLISHED -j ACCEPT
#     Data:Active
iptables -A OUTPUT -p tcp --sport 20 --dport 1024: -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --sport 1024: --dport 20 -m state --state ESTABLISHED -j ACCEPT
#     Data:Passive
iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state RELATED -j ACCEPT
#   Client
#     Control
iptables -A OUTPUT -p tcp --sport 1024: --dort 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --sport 21 --dport 1024: -m state --state ESTABLISHED -j ACCEPT
#     Data:Active
iptables -A INPUT -p tcp --sport 20 --dport 1024: -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
#     Data:Passive
iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state RELATED -j ACCEPT
anonymous

интересно, чем больше количество правил в в брендмауере тем длинее член? или просто прикольно в каждом правиле узнавать статус пакета? разве нельзя established,related разрешить сразу?

borisych ★★★★★
()
Ответ на: комментарий от borisych

Для 1:? По-твоему, не может быть таких случаев, когда желательно выборочно ограничивать established/related соединения? Ничего не утверждаю, просто спрашиваю.

anonymous
()
Ответ на: комментарий от Lego_12239

Собственно, по сабжу, вроде всё правильно.

P.S. Policy для INPUT, OUTPUT - DENY, я полагаю? P.P.S. И зачем так извращаться для OUTPUT?

Lego_12239 ★★
()
Ответ на: комментарий от Lego_12239 

Привет,

> Ты не находишь, что у тебя есть явно избыточные 1024:?

Пожалуй, да.

> Policy для INPUT, OUTPUT - DENY, я полагаю?

Безусловно :)

> И зачем так извращаться для OUTPUT?

Ну, по-настоящему исходящий трафик у меня разрешен.  Я хотел написать как можно более
общие правила, которые бы описывали FTP.

Более реальная ситуация:

iptables -t filter -P INPUT   DROP
iptables -t filter -P OUTPUT  ACCEPT
# После этого только разрешаем входящий и запрещаем нежелательный входящий трафик
...
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# После этого описываем только NEW состояния
...
# FTP
#   Server-Control
iptables -A INPUT -p tcp --sport 1024: --dport 21 -m state --state NEW -j ACCEPT
#   Client-Data:Active
iptables -A INPUT -p tcp --sport 20 --dport 1024: -m state --state NEW -j ACCEPT

Вот, вроде так.

anonymous
()
Ответ на: комментарий от anonymous

Да, я все еще не уверен, что не может быть таких случаев, когда желательно выборочно ограничить трафик в ESTABLISHED и RELATED состояниях.

anonymous
()
Ответ на: комментарий от anonymous

Понимаешь, всё зависит от того на сколько ты параноик. iptables позволяет людям быть как параноиками совсем страшными, так и не очень. Если допустить, что ты всё таки совсем жуткий параноик ;-), то пойдёт и первый вариант; но мне кажется, лучше хотя бы OUTPUT сделать ACCEPT. А последний вариант совсем хорошо, но... тебе он, наверное, не подойдёт :-).

Lego_12239 ★★
()
Ответ на: комментарий от Lego_12239 

Или вот здесь: 

> # Server-Control 
> iptables -A INPUT -p tcp --sport 1024: --dport 21 -m state --state NEW -j ACCEPT 
> # Client-Data:Active 
> iptables -A INPUT -p tcp --sport 20 --dport 1024: -m state --state NEW -j ACCEPT 

Вот зачем тебе быть уверенным, что именно --sport должен быть 1024:?
Не пофигу ли с какого порта клиент работает? Зачем ты его пытаешься 
ограничить? К чему эти лишнии проверки, о себе(сервере) надо думать, 
а не о клиенте. Странно...

Lego_12239 ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin