| imho.ws |
|
|
09.10.2004, 17:11
|
# 1 |
|
Member
Регистрация: 21.08.2003
Адрес: Россия
Пол: Male
Сообщения: 388
  |
Проблема с ftp и iptables
Излагаю.
Есть на сервере ftp и фаерволл. В самом начале при утановке правил доступа в таблице INPUT политики ACCEPT - доступ к ftp серверу нормальный (по локалке). При установки политики в DROP, коннект устанавливается в течении нескольких минут. После, пытается выдать список файлов, что заканчивается ручным дисконнектом, т.к. оченб это долго. Все, что можно перерыл, исправлял, ничего не помогает. Помогите кто знает. (сервер ftp - Proftpd; их документацию смотрел, исправлял, ничего не помогает) 
__________________
The Man Who Sold The World (© Nirvana) So What! (© Metallica) |
|
|
09.10.2004, 21:01
|
# 2 |
|
Full Member
Регистрация: 06.03.2003
Адрес: Earth
Сообщения: 761
 |
ftp протокол в так называемом активном режиме использует 2 порта 21 -ftp и 20 ftp-data . есть пассивный режим используется только 20 -й порт
по всей видимости при установки политики в drop ftp-data соединение автоматически дропается . тебе нужен клиент который понимает пассивный режим , либо модули для iptables .
__________________
Смерть фашистским оккупантам. |
|
|
|
10.10.2004, 13:02
|
# 3 |
|
Member
Регистрация: 21.08.2003
Адрес: Россия
Пол: Male
Сообщения: 388
|
Я понял. У меня правила такие:
# Generated by iptables-save v1.2.9 on Tue Sep 21 10:41:08 2004 *filter #:INPUT DROP [717:63333] #:FORWARD DROP [0:0] #:OUTPUT ACCEPT [1114:187608] -F -P INPUT DROP -P FORWARD DROP #-P OUTPUT ACCEPT -A INPUT -i eth0 -d 192.168.1.130 -p tcp --dport 22 -j ACCEPT -A INPUT -i eth0 -d 192.168.1.130 -p tcp --dport 80 -j ACCEPT -A INPUT -i eth0 -d 192.168.1.130 -s 192.168.1.0 -p tcp --dport ftp -j ACCEPT #-A INPUT -i eth0 -d 192.168.1.130 -s 192.168.1.0 -p udp --dport ftp -j ACCEPT -A INPUT -i eth0 -d 192.168.1.130 -s 192.168.1.0 -p tcp --dport 20 -j ACCEPT -A INPUT -i lo -d 127.0.0.1 -j ACCEPT -A INPUT -i eth0 -d 192.168.1.130 -p icmp --icmp-type 8 -j ACCEPT #for ping in -A INPUT -p icmp --icmp-type 0 -j ACCEPT -A INPUT -p icmp --icmp-type 3 -j ACCEPT -A INPUT -p icmp --icmp-type 5 -j ACCEPT -A INPUT -p icmp --icmp-type 8 -j ACCEPT -A INPUT -p icmp --icmp-type 11 -j ACCEPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #for ping out -A OUTPUT -p icmp --icmp-type 0 -j ACCEPT -A OUTPUT -p icmp --icmp-type 3 -j ACCEPT -A OUTPUT -p icmp --icmp-type 5 -j ACCEPT -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT -A OUTPUT -p icmp --icmp-type 11 -j ACCEPT #-A OUTPUT -p tcp -s 0.0.0.0/0 ftp -t 0x01 0x10 #-A OUTPUT -p tcp -s 0.0.0.0/0 ftp-data -t 0x01 0x08 COMMIT # Completed on Tue Sep 21 10:41:08 2004 Значит, сюда достаточно добавить правила для ftp-data и тогда будет работать?
__________________
The Man Who Sold The World (© Nirvana) So What! (© Metallica) |
|
|
|
10.10.2004, 14:13
|
# 4 |
|
Full Member
Регистрация: 06.03.2003
Адрес: Earth
Сообщения: 761
|
не все так легко .
ftp server сам открывает соединение со своего 20-ого порта , этот момент надо учитывать у iptables есть модуль для этого дела. вот нашел. http://www.opennet.ru/docs/RUS/iptab...MPLEXPROTOCOLS секция 4.8. Трассировка комплексных протоколов http://www.rfc-editor.org/cgi-bin/rf...ile_format=txt думаю ситуацию прояснит.
__________________
Смерть фашистским оккупантам. |
|
|
|
10.10.2004, 16:15
|
# 5 |
|
Member
Регистрация: 21.08.2003
Адрес: Россия
Пол: Male
Сообщения: 388
|
У самого документашка распечатана и не видел этого. Как говорится, смотришь в книгу - видишь фигу.
Всё заработало. Премного благодарен 
__________________
The Man Who Sold The World (© Nirvana) So What! (© Metallica) |
|
|
| Теги (метки) |
| ftp |
|
|
