LINUX.ORG.RU

IPTABLES открыть FTP

 ,


2

4

Помогите открыть FTP
Конфигурация iptables
-P INPUT DROP
-P OUTPUT DROP
Вот что пробовал
$IPT -A INPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT

$IPT -A INPUT -p tcp --dport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p tcp --sport 20 -m state --state ESTABLISHED -j ACCEPT

$IPT -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 20:65535 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -p tcp -m tcp --sport 20:65535 --dport 1024:65535 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

Еще пробовал
$IPT -A INPUT -p tcp -m tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

$IPT -A OUTPUT -p tcp -m tcp --sport 21 -m conntrack --ctstate ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -p tcp -m tcp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
И еще куча неудачных вариантов.

Максимум что получается сделать это соединиться по 21 порту. А в LIST не пускает.

Что хотел сделать - хотел разрещить только активное ФТП соединение, но
modprobe ip_conntrack_ftp
выдает ошибку что он не найден.
Более того, не смог запустить vsftpd в активном режиме.. [br

Если выставить
iptables -P OUTPUT ACCEPT
то ФТП прекрасно работает, но мне нужно запустить его при
-P OUTPUT DROP

Помогите пожалуйста кто делал.

iptables -A OUTPUT -p tcp -m tcp -m multiport -o eth0 --sport 1024:65535 -j ACCEPT --dports 21

iptables -A INPUT -p tcp -m tcp -m multiport -i eth0 --dport 1024:65535 -j ACCEPT --sports 21

GGUseR ()
Ответ на: комментарий от GGUseR

iptables -A INPUT -p tcp -m tcp -m multiport -i eth0 --dport 1024:65535 -j ACCEPT --sports 21

Это называется «открыл FTP на отличненько».

edigaryev ★★★★★ ()
Ответ на: комментарий от GGUseR

iptables -A INPUT -p tcp -m tcp -m multiport -i eth0 --dport 1024:65535 -j ACCEPT --sports 21

как тебе в голову-то такое пришло? второй раз в жизни борюсь с соблазном зарепортить некорректное сообщение.

t184256 ★★★★★ ()
Ответ на: комментарий от GGUseR

и? происхождения твоей воспаленной идеи разрешить коннектиться к себе на любой непривилегированный TCP-порт там не расписано.

t184256 ★★★★★ ()
Последнее исправление: t184256 (всего исправлений: 1)

FTP использует 21/tcp для контрольного соединения и 20/udp для передачи данных, поэтому по идее достаточно будет следующего:

iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p udp --dport 20 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
iptables -A OUTPUT -p udp --sport 20 -j ACCEPT
Если не используешь OUTPUT для фильтрации доступа к сервисам на твоем компьютере, то советую также:
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

P.S. А GGUseR, как всегда, тупит, можешь его не слушать :D

anonymous ()
Ответ на: комментарий от anonymous

Вставил все пять строк - не помогло...

Застрял на команде LIST Превышено время ожидания итд итп

Идеи?

radonej ()
Ответ на: комментарий от GGUseR

Твой вариант пока не пробовал...

Решил приберечь как козырную карту

Если никто не догадается до других вариантов, тогда уж твоим козырным вариантом жахну по всем портам и шабаш!

radonej ()
Ответ на: комментарий от radonej

Ты на сервере или на клиенте правила применяешь? Покажи вывод iptables-save

anonymous ()

ip_conntrack_ftp

Сейчас оно называется nf_conntrack_ftp

anonymous ()
Ответ на: комментарий от anonymous

Вот вывод iptables -S

-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP
-A INPUT -p tcp -m tcp --dport 2222 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p udp -m udp --dport 20 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 2222 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p udp -m udp --sport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 21 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 20 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

radonej ()
Ответ на: комментарий от radonej

Попробуй еще добавить

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Ты на сервере или на клиенте правила применяешь?

anonymous ()
Ответ на: комментарий от anonymous

Добавил - не помогло.
Та же самая ошибка -доходит до LIST и замирает...

Правила я делаю только на сервере (CentOS)
клиентская часть это виндовая FileZilla.


Эти правила они подойдут для пассивного ФТП?
Есть еще идеи что не так?

radonej ()
Ответ на: комментарий от anonymous

Сейчас оно называется nf_conntrack_ftp


FATAL: Module nf_conntrack_ftp not found.

radonej ()
Ответ на: комментарий от radonej

Эти правила они подойдут для пассивного ФТП?

Должны подойти.

Есть еще идеи что не так?

Посниффай траффик tcpdump'ом, когда пытаешься подключиться:

tcpdump -nvvvi <имя интерфейса> 'port 21 or port 20'
и на пастбин какой-нибудь запости.

anonymous ()
Ответ на: комментарий от radonej

Покажи вывод iptables-save

Вот вывод iptables -S

Чукча не читатель, чукча — писатель.

edigaryev ★★★★★ ()
Ответ на: комментарий от edigaryev

Чукча не читатель, чукча — писатель.

Это ты про кого?
man iptables

iptables -S, --list-rules [chain]
Print all rules in the selected chain. If no chain is selected, all chains are printed like iptables-save.

Тебе перевести?

Вот сказал и в лужу пернул...
Лишь бы написать что то да?

Из двух сообщений которые ты сделал в этой теме ты два раза пытаешься посмеяться над кем то, хотя я ни чего смешного не сказал и не спросил.
Ты пытаешься рассмешить кого то?
Я клоунов не приглашал
Хорошо, я бы понял твой сарказм, иронию, веселье или просто детский долбоебизм если бы ты чего то путное или хотя бы не путное предложил.
Ты предложил?
Тогда зачем ты в этой теме? Тебя никто не обижал, не задевал, не сомневался в твоих умственных способностях... Помог бы лучше чем национальности унижать и злословить.

radonej ()
Ответ на: комментарий от radonej

Тебе перевести?

Вот это переведи, клоун:

iptables(8)

-S, --list-rules [chain]

Print all rules in the selected chain. If no chain is selected, all chains are printed like iptables-save. Like every other iptables command, it applies to the specified table (filter is the default).

iptables-save(8)

-t, --table tablename restrict output to only one table. If not specified, output includes all available tables.

Чукча не читатель, чукча — писатель.

edigaryev ★★★★★ ()
Ответ на: комментарий от edigaryev

И опять оскорбления вместо помощи..

Послушай, тебя же никто не обижал и над твоей нацией ни кто не смеялся!!!
Что чукча не имеет права изучать линукс?
Этот форум и этот сайт доступен только для русских?
А чукчам и собакам вход сюда запрещен?
Им нельзя здесь общаться, нельзя задавать вопросы, нельзя отвечать, так по твоему?

А вот, не смотря на твои оскорбления я не спрашиваю кто ты по национальности, потому что я не разделяю людей ни по этому ни по другому признаку

Но позволь спросить;
3 сообщения ты дал в этой теме,
но разве ты смеясь над чужим умом и национальностью показал свой ум? хоть в одном из них?
Где он? Где то несравненно мудрое решение? Почему его не видно здесь?
Пренебрежение есть. Нацизм есть. Насмешки есть. Сарказм есть. А где же ответ?
Так как же мне тебя характеризовать тогда? Озлобленный нацист с чувством сарказма?
Ты бы показал сначала что ты выше других, сказал бы вот и вот и все заработает,
а ты(сказал бы лично мне не трогая нации) дурак и бездарь и я бы не обиделся. Хотя тактичный человек, если тебе знакомо это слово, так бы не поступил.
Я пришел на этот форум не потому что у меня много знаний, а от того что мне их не хватает - и это факт! Однако я не думал, что этом форуме так негативно относятся к поиску знаний.
Тем более не предполагал что ответы здесь даются в зависимости от твоей национальной принадлежности.

radonej ()
Ответ на: комментарий от edigaryev

А знаешь что самое обидное?

Я почитал твои темы и твои комменты и понял что именно ты тот человек, который мог бы помочь мне в этом вопросе...
мог бы но не захотел...

Просто так, без причины.

Понял я тебя.. Встречал таких к сожалению..
Ты из тех кому приятнее сидеть и молча издеваться над тем, как слепой пытается спросить дорогу у глухого.
Удачи тебе в жизни.. И этому форуму тоже

radonej ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.