ReSQL.ru
     
powered by simpleCommunicator - 2.0.60     © 2026 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / iptables и passive ftp
3 сообщений из 3, страница 1 из 1
iptables и passive ftp
    #32927678
sanek842
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
sanek842
Участник
есть один непонятный момент с passive ftp
создал такие правила iptables на ip-шлюзе, где два интерфейса - серый и реальный.
( через него ходим в инет и реальную сеть )
сама цепочка FORWARD по умолчанию идет как ACCEPT

Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
iptables -F
iptables -X
iptables -N ivanov

# весь ip транзит с данного серого адреса направляем на Иванова
# будем ставить ограничения только на трафик, идущий из серой сети в реальную
iptables -A FORWARD -p all -s  192 . 168 . 30 . 21  -j ivanov

iptables -A ivanov -p tcp -m multiport --dport 20,21 -j ACCEPT # allow ftp-connect and active ftp-data

iptables -A ivanov -p tcp --dport 1024:65534 -m state --state ESTABLISHED,RELATED  -j ACCEPT # passive ftp
# iptables -A ivanov -p tcp --syn --dport 1024:65534 -j ACCEPT

# все что непролезло - сначала в лог, затем дроп
iptables -A ivanov -p tcp -j LOG --log-prefix "OTH packets"
iptables -A ivanov -p tcp -j DROP

При этом соединение с ftp-сервером ( адрес которого XXX.XXX.XX.X реальный ) устанавливается, однако при перемещении по каталогам в логе начинают появляться такого рода записи

Feb 22 12:00:28 uis kernel: OTH packetsIN=eth1 OUT=eth0 SRC=192.168.30.21 DST= XXX.XXX.XX.X LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=2316 DF PROTO=TCP SPT=33087 DPT=55163 WINDOW=5840 RES=0x00 SYN URGP=0

и как бы общение с ftp сервером подвисает
Что несовсем понятно, что это за SYN такой шлется?

Ну лечится это добавлением правила, которое закомментировано у меня в примере, тогда работает.

И еще вопрос, как то нехорошо тогда все это получается, для того чтоб пропустить passive ftp, посуществу приходится полностью разрешать проход всего tcp по незарезервированным портам!

Я все верно понимаю или где то заблуждаюсь?
...
Рейтинг: 0 / 0
22.02.2005, 10:19
| Ответить | Цитировать | Написать  
iptables и passive ftp
    #32928536
Фотография Yet another cat
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Yet another cat
Участник
Ну правильно в общем и целом понимаешь. Так оно все и происходит. А SYN этот не левый, это попытка соединения для ftp data transfer. Когда его не происходит ftp-клиент вешается у тебя. Можешь попробовать active ftp и разрешить входящие на 20-й порт с ftp-сервера. А красивого решения науке неизвестно. На эту тему дофига уже всякой херни написано без толку. Поищи в гугле по словам ftp и firewall и подивись)
=====
Cat и его покойный друг Chicago
...
Рейтинг: 0 / 0
22.02.2005, 14:31
| Ответить | Цитировать | Написать  
iptables и passive ftp
    #32928776
sanek842
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
sanek842
Участник
:) ясно
...
Рейтинг: 0 / 0
22.02.2005, 16:01
| Ответить | Цитировать | Написать  
3 сообщений из 3, страница 1 из 1
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / iptables и passive ftp
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]