вопрос по iptables

0

0

kuzpc:/home/kuz# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data

kuz@kuzpc:~$ nmap localhost

(The 1660 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
20/tcp closed ftp-data
21/tcp open ftp
80/tcp open http

Почему ftp-data closed ?

Ссылка

←	Вопрос про copyright и про дистр

Не запускается kdevelop3

→

потому что он открывается для передачи данных..
почитай RFC FTP...

anonymous
(29.08.05 19:13:47 MSD)

Ответ на: комментарий от anonymous 29.08.05 19:13:47 MSD

А как решается проблема с directory listing-ом?
Сейчас, если iptables фильтруют, то:

kuz@kuzpc:~$ ftp 192.168.1.100
Connected to 192.168.1.100.
Name (192.168.1.100:kuz): anonymous
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
200 PORT command successful. Consider using PASV.

kuz ★
(29.08.05 19:29:17 MSD) автор топика

Ссылка

Неудивительно.

$IPTABLES -A INPUT -p tcp --dport 20 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 20 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 21 -j ACCEPT

$IPTABLES -A INPUT -p tcp --sport 20 -j ACCEPT
$IPTABLES -A INPUT -p tcp --sport 21 -j ACCEPT
$IPTABLES -A INPUT -p udp --sport 20 -j ACCEPT
$IPTABLES -A INPUT -p udp --sport 21 -j ACCEPT

$IPTABLES -A OUTPUT -j ACCEPT

jackill ★★★★★
(30.08.05 00:08:49 MSD)

Ответ на: комментарий от jackill 30.08.05 00:08:49 MSD

Спасибо.

Мда. Пора садиться за iptables tutorial.

kuz ★
(30.08.05 01:00:52 MSD) автор топика

Ответ на: комментарий от kuz 30.08.05 01:00:52 MSD

Подскажите новичку , небольшая перестановка последней команды наверх изменит общий кусок ?
$IPTABLES -A OUTPUT -j ACCEPT

$IPTABLES -A INPUT -p tcp --dport 20 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 20 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 21 -j ACCEPT

$IPTABLES -A INPUT -p tcp --sport 20 -j ACCEPT
$IPTABLES -A INPUT -p tcp --sport 21 -j ACCEPT
$IPTABLES -A INPUT -p udp --sport 20 -j ACCEPT
$IPTABLES -A INPUT -p udp --sport 21 -j ACCEPT

anonymous
(30.08.05 08:46:51 MSD)

Ссылка

Ответ на: комментарий от jackill 30.08.05 00:08:49 MSD

Да кто так ФТПёй рулит. Надо использовать трассировку соединений, UDP не упёрся никаким боком к ФТП.

anonymous
(30.08.05 16:48:32 MSD)

Ответ на: комментарий от anonymous 30.08.05 16:48:32 MSD

Ответ новичку - нет.
Ответ последнему анонимусу: а можно как-нибудь поподробнее или link на документацию.

kuz ★
(30.08.05 22:37:28 MSD) автор топика

Ответ на: комментарий от kuz 30.08.05 22:37:28 MSD

На самом деле не все это нужно. Для нормальной работы достаточно:

-A INPUT -p tcp --dport 21 -j ACCEPT
-A INPUT -p tcp --sport 20 -j ACCEPT

И все.
А если использовать passive, то те порты, которые используются, нужно откарыть и с --dport и с --sport.
Например для 1500-1505:
-A INPUT -p tcp --sport 1500 -j ACCEPT
-A INPUT -p tcp --sport 1501 -j ACCEPT
-A INPUT -p tcp --sport 1502 -j ACCEPT
-A INPUT -p tcp --sport 1503 -j ACCEPT
-A INPUT -p tcp --sport 1504 -j ACCEPT
-A INPUT -p tcp --sport 1505 -j ACCEPT
-A INPUT -p tcp --dport 1500 -j ACCEPT
-A INPUT -p tcp --dport 1501 -j ACCEPT
-A INPUT -p tcp --dport 1502 -j ACCEPT
-A INPUT -p tcp --dport 1503 -j ACCEPT
-A INPUT -p tcp --dport 1504 -j ACCEPT
-A INPUT -p tcp --dport 1505 -j ACCEPT

А udp вообще не нужно.

kuz ★
(30.08.05 23:01:06 MSD) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Вопрос про copyright и про дистр

General

Не запускается kdevelop3

→

Похожие темы