Гость
Войти | Профиль | Очистить
Целевая тема:
Создать новую тему:
Автор:
Действия ...
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / iptables и passive ftp / 3 сообщений из 3, страница 1 из 1
22.02.2005, 10:19
    #32927678
sanek842
sanek842
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
iptables и passive ftp
есть один непонятный момент с passive ftp
создал такие правила iptables на ip-шлюзе, где два интерфейса - серый и реальный.
( через него ходим в инет и реальную сеть )
сама цепочка FORWARD по умолчанию идет как ACCEPT

Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
iptables -F
iptables -X
iptables -N ivanov

# весь ip транзит с данного серого адреса направляем на Иванова
# будем ставить ограничения только на трафик, идущий из серой сети в реальную
iptables -A FORWARD -p all -s  192 . 168 . 30 . 21  -j ivanov

iptables -A ivanov -p tcp -m multiport --dport 20,21 -j ACCEPT # allow ftp-connect and active ftp-data

iptables -A ivanov -p tcp --dport 1024:65534 -m state --state ESTABLISHED,RELATED  -j ACCEPT # passive ftp
# iptables -A ivanov -p tcp --syn --dport 1024:65534 -j ACCEPT

# все что непролезло - сначала в лог, затем дроп
iptables -A ivanov -p tcp -j LOG --log-prefix "OTH packets"
iptables -A ivanov -p tcp -j DROP

При этом соединение с ftp-сервером ( адрес которого XXX.XXX.XX.X реальный ) устанавливается, однако при перемещении по каталогам в логе начинают появляться такого рода записи

Feb 22 12:00:28 uis kernel: OTH packetsIN=eth1 OUT=eth0 SRC=192.168.30.21 DST= XXX.XXX.XX.X LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=2316 DF PROTO=TCP SPT=33087 DPT=55163 WINDOW=5840 RES=0x00 SYN URGP=0

и как бы общение с ftp сервером подвисает
Что несовсем понятно, что это за SYN такой шлется?

Ну лечится это добавлением правила, которое закомментировано у меня в примере, тогда работает.

И еще вопрос, как то нехорошо тогда все это получается, для того чтоб пропустить passive ftp, посуществу приходится полностью разрешать проход всего tcp по незарезервированным портам!

Я все верно понимаю или где то заблуждаюсь?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
22.02.2005, 14:31
    #32928536
Yet another cat
Yet another cat
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
iptables и passive ftp
Ну правильно в общем и целом понимаешь. Так оно все и происходит. А SYN этот не левый, это попытка соединения для ftp data transfer. Когда его не происходит ftp-клиент вешается у тебя. Можешь попробовать active ftp и разрешить входящие на 20-й порт с ftp-сервера. А красивого решения науке неизвестно. На эту тему дофига уже всякой херни написано без толку. Поищи в гугле по словам ftp и firewall и подивись)
=====
Cat и его покойный друг Chicago
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
22.02.2005, 16:01
    #32928776
sanek842
sanek842
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
iptables и passive ftp
:) ясно
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / iptables и passive ftp / 3 сообщений из 3, страница 1 из 1
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]