Skocz do zawartości

Problem Z Ftp


koralm

Rekomendowane odpowiedzi

w momencie kiedy lacze sie z serwerem kumpla, czy np. ftp.lublin.pl, lub ftp.biuro.fen.pl. <- przykladowe.

 

bez znaczenia jaki tryb ustawie to nie moge sie polaczyc: dostaje komunikat: "500 illegal PORT command"

ale bajer jest taki ze z ftpem na routerze laczy sie bez problemu, przy obu przypadkach ustawienia iptables.

 

regulki w iptables probowalem tak:

iptables -F
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE

 

a teraz mam ustawione tak i tez nic. i (_niemam_ → nie mam) ORT pomyslow co ustawic.

echo "1" > /proc/sys/net/ipv4/ip_forward

#czysci i blokuje caly ruch
iptables -F
iptables -t nat -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#wlaczamy ruch na lo
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#dostep z zew przez ssh i odpytywanie dns
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p udp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -d 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#wpuszczamy ssh port 22 z LAN
iptables -A INPUT -i eth1 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth2 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT


#wpuszczamy ftp
iptables -A INPUT -i eth1 -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -i eth2 -p tcp --dport 20:21 -j ACCEPT

# akceptujemy caly ruch wychodzacy z sieci lokalnej po tcp
iptables -A FORWARD -p tcp -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#zapytania z LAN do DNS
iptables -A FORWARD -p udp -o eth0 --dport 53 -j ACCEPT

#akceptujemy odpowiedzi na ruch wychodzacy z LAN
iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT

#akceptujemy pingi z zewnatrz
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

#pozwalamy pingowac siebie
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

#pozwalamy pingowac hostom z LAN
iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-reply -j ACCEPT

#translacja adresow z sieci lokalnej
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 10.1.1.0/24 -j MASQUERADE

 

co robie zle? moze cos zle ustawilem?

Odnośnik do komentarza
Udostępnij na innych stronach

Od takich rzeczy jest /etc/syctl.conf

 

wiem napisalem zeby wiadomo bylo ze to ustawilem.

 

passiv dziala na ftp.lublin i ftp.fen.

natomiast dalej nie idzie do kumpla. on twierdzi ze loguje sie z kilku niezaleznych miejsc i dziala.

 

pozatym musi sie dac jakos ustawic zeby dzialalo bez ustawiania trybu passiv

Odnośnik do komentarza
Udostępnij na innych stronach

natomiast dalej nie idzie do kumpla. on twierdzi ze loguje sie z kilku niezaleznych miejsc i dziala.

Jakiego kumpla tzn. skąd dokąd się łączysz?

 

pozatym musi sie dac jakos ustawic zeby dzialalo bez ustawiania trybu passiv

 

W trybie active możesz się tylko łaczyć, jeśli nie jesteś za maskaradą. Passive nie działa, gdy na serwerze, który udostępnia usługę ftp, poblokowane są wysokie porty albo nie jest załadowany moduł ip_conntrack_ftp.

 

/edit/

Umieściłeś wątek w złym dziale...

 

poprawione

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
×
×
  • Dodaj nową pozycję...