SlawekM. Napisano Październik 9, 2004 Zgłoszenie Share Napisano Październik 9, 2004 Szukam i szukam (a podobno google moim przyjacielem- ja wright) ... wie ktos moze jak ustawic iptables zeby mi dzialalo ftp na moim serwerze w trybie passive. Znaczy ja serweruje na vsftp na porcie 1800 w trybie passive i chce zeby sie do mnie mozna bylo laczyc z pewnej podsieci. z gory dzieki p.s. dziala cos takiego: /sbin/iptables -A INPUT -i eth0 -p tcp -d moje_ip --dport 1024:65535 -s ip_podsieci/maska --sport 1024:65535 -m state --state NEW -j ACCEPT ale czy mozna to zrobić jakos inaczej? w sumie niewiele wiemy jesli jest polaczenie passive, a porty otwiera tylko vsftp, wiec to chyba bezpieczne ? Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
mynus Napisano Październik 9, 2004 Zgłoszenie Share Napisano Październik 9, 2004 iptables -A INPUT -p tcp --dport 1800 -i eth0 -s ip_podsieci/maska -m state --state NEW -j ACCEPT Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
SlawekM. Napisano Październik 10, 2004 Autor Zgłoszenie Share Napisano Październik 10, 2004 To niestety nie dziala, ta regula otworzy tylko wejscie na polecenia do ftp-a, a zeby otworzyc polaczenia z danymi(jako passive) potrzebne są jeszcze dynamiczne porty z nieuprzywilejowanego zakresu na te polaczenia. p.s. Wszystkie polityki mam domyslnie na DROP Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
mynus Napisano Październik 10, 2004 Zgłoszenie Share Napisano Październik 10, 2004 modprobe ip_conntrack_ftp iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --dport 1800 -i eth0 -s ip_podsieci/maska -m state --state NEW -j ACCEPT czy regułke output też masz domyślnie na drop? Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
SlawekM. Napisano Październik 10, 2004 Autor Zgłoszenie Share Napisano Październik 10, 2004 Tak, domyslnie OUTPUT tez mam na DROP, wiem hardcore jak na zwykly komp, ale tak sie wiecej naucze o iptables Regulki ktore podales mam i to nie wystarcza, bo owszem lacze sie, ale jak dam polecenie listowania katalogu (lacze sie z kompa z tej podsieci) to zwisa na przechodzeniu w tryb passive. Ponizej to zrzutka: 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp> passive Passive mode on. ftp> ls 227 Entering Passive Mode (157,158,182,15,125,187) i czeka na timeout. To wyglada jakby polaczenie z danymi passive nie bylo RELATED. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
mynus Napisano Październik 10, 2004 Zgłoszenie Share Napisano Październik 10, 2004 /sbin/iptables -A INPUT -i eth0 -p tcp -d moje_ip --dport 1024:65535 -s ip_podsieci/maska --sport 1024:65535 -m state --state NEW -j ACCEPT no to musisz miec ta linijke a na pytanie czy to bezpieczne, to tak, bo zezwalasz na laczenie sie tylko z dana siecia, Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
SlawekM. Napisano Październik 10, 2004 Autor Zgłoszenie Share Napisano Październik 10, 2004 dzieki, w porzadku, takie cos mam i to dziala, tylko szukalem czy mozna to zrobic inaczej, chyba sie nie da, w sumie bezpieczniej jest miec passive ftp z taka regula na firewallu, czy active ftp ? pozdrawiam Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się