LINUX.ORG.RU
ФорумAdmin

iptables настройки для proftpd

 , ,


0

1

Приветствую, Уважаемые!

Конфигурация вебмин и proftpd на стандартных портах.

Возник вопрос, как правильно в инпут прописать разрешения для lo,

чтобы вебмин и его терминал работали, и lo не

задваивал обращения к proftpd.

Что посоветуете?

Сейчас работает такое и в таком прорядке:

# Generated by iptables-save v1.8.7 on Mon Jul  1 19:01:05 2024
*mangle
:PREROUTING ACCEPT [2988:648365]
:INPUT ACCEPT [2957:645796]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1993:679002]
:POSTROUTING ACCEPT [1993:679002]
COMMIT
# Completed on Mon Jul  1 19:01:05 2024
# Generated by iptables-save v1.8.7 on Mon Jul  1 19:01:05 2024
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1981:678570]
:f2b-proftpd - [0:0]
-A INPUT -p tcp -m multiport --dports 21,20,990,989 -j f2b-proftpd
-A INPUT -i lo -p tcp -m tcp ! --dport 21 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 49200:54000 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 3/sec --limit-burst 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 12/0 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
-A OUTPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 12/0 -j ACCEPT
-A OUTPUT -p icmp -j DROP
-A f2b-proftpd -s 59.46.124.38/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 58.226.181.97/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 40.71.29.110/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 35.205.205.158/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 211.149.132.198/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 194.71.217.74/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 177.54.147.173/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 119.28.71.111/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 104.199.31.214/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 103.6.223.149/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -j RETURN
COMMIT
# Completed on Mon Jul  1 19:01:05 2024
# Generated by iptables-save v1.8.7 on Mon Jul  1 19:01:05 2024
*nat
:PREROUTING ACCEPT [950:109886]
:INPUT ACCEPT [173:8540]
:OUTPUT ACCEPT [17:1344]
:POSTROUTING ACCEPT [17:1344]
COMMIT
# Completed on Mon Jul  1 19:01:05 2024


Последнее исправление: AlexZander (всего исправлений: 3)
DHCP KEA - отказоустойчивый сервер с двумя мастерами
systemd: гонка и дедлок зависимостей служб?

Возник вопрос, как правильно в инпут прописать разрешения для lo

У тебя уже есть -A INPUT -i lo -j ACCEPT. Все остальные правила с -i lo бессмысленны.

чтобы вебмин и его терминал работали

Сомневаюсь, что тут найдутся специались по этому

lo не задваивал обращения к proftpd

Разверни мысль. Этот набор слов не несет смысла.

BOOBLIK ★★★★
()
Ответ на: комментарий от BOOBLIK

Да ну))))) Если бы это было так, то я бы не задал вопрос)))

Все что до, работает. Данная конфигурация по ло выключает тср порт 21, остальное можно.

AlexZander
() автор топика
Ответ на: комментарий от vel

в auth.log proftpd на 21 порт было обращение не только с внешних адресов, а и со своего адреса. Убрал выключение 21 порта для ло, повтора нет. Ничего не понимаю, то есть, то нет.

AlexZander
() автор топика
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.
DHCP KEA - отказоустойчивый сервер с двумя мастерами
Admin
systemd: гонка и дедлок зависимостей служб?