LINUX.ORG.RU
ФорумAdmin

IPTABLES: что нужно для FTP?


0

0

Настраиваю сервер
Добавляю различные сервисы, для кажого дописываю правило, например:
SSH:
$IPTABLES -A INPUT -i $INT -p tcp -s $LAN --dport 22 -j ACCEPT
где:
INT - eth0,
LAN - 192.168.1.0/24 при условии, что -P OUTPUT ACCEPT, -P INPUT DROP
Но почему-то для FTP такое правило не работает, а именно:
$IPTABLES -A INPUT -i $INT -p tcp -s $LAN --dport 21 -j ACCEPT
Вроде, ему еше 20-й порт нужен, я добавил:
$IPTABLES -A INPUT -i $INT -p tcp -s $LAN --dport 20 -j ACCEPT
все равно не работает
По логам посмотрел, он вроде еще какой-то сокет открывает с нестандартным номером порта
Вопрос: какие правила нужны для FTP?
ftp естественно работает, когда -P INPUT ACCEPT, то проблем нет
Спасибо

anonymous

или юзай ФТП в пассивном режиме или открывай UDP трафик

desperado
()

iptables -A INPUT -i eth0 -p tcp -s $LAN -d $IP --dport 20:21 -j ACCEPT

iptables -A INPUT -i eth0 -p tcp -s $LAN --sport 113 -d $IP -j ACCEPT

anonymous
()

iptables -A INPUT -i eth0 -p tcp ! --syn -s $LAN --sport 1024:65535 -d $IP --dport 1024:65535 -j ACCEPT

туда же

anonymous
()

2desperado: Головушкой е..нулся? FTP _не_использует_ UDP. 2anonymous: В пассивном режиме (как я понял, ты говоришь про этот случай) data connection устанавливает client с непривилегированного порта на непривилегированный порт ftp сервера. Номера портов выбираются случайно из некоторого диапазона. Вообще, какой смысл закрывать непривилегированные порты? Прикрой службы, который висят на портах выше 1023, а все остальные порты выше 1023 оставь открытыми. Passive mode будет работать. Если не хочешь так, можно использоать active. При active, data connection устанавливает сервер с порта 20 на непривилегированный порт клиента. При этом будет достаточно тех правил, что ты прописал (при условии -P OUTPUT ACCEPT).

abramoff
()

2 last anonymous:
Не правы вы, батенька. Во-первых, зачем сюда путать ident? Может, человек не хочет этого. Во-вторых, "! --syn" означает, что никто не сможет инициировать TCP connect на эти порты (1024:65535), так что passive ftp (именно про него спрашивает человек) работать не будет.

abramoff
()

to вопрошавший аноним:

для организации фтп в нормальном режиме (21 запрос/общение,20 - даные)
необходимо и доcтаточно:
ессно откроем и 20 и 21 и акуратненько так следующим правилом:
<INPUT | FORWARD | OUTPUT - в зависимости от задачь поставленных перед фтп - но если предполагается использования в обоих направлениях да ещё и юзера будут узать - то для всех правил> -m state --state RELATED,ESTABLISHED -j ACCEPT



bass ★★★★★
()

сорри - обшибочка вышла (UDP)...

действительно сначала клиент открывает соединение с 21 портом сервера, потом 20 порт сервера открывает содинение с портом >= 1024 клиента.

desperado
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.