infoyankes Napisano Grudzień 21, 2009 Zgłoszenie Share Napisano Grudzień 21, 2009 Witam. Mam problem z połączeniem z lokalnym ftp-em z poziomu XP w sieci lokalnej. Po wyłączeniu iptables wszystko się łączy cacy, ale po włączeniu już nie, więc oczywiście to sprawa zapory. Adres mojego ftpa to 192.168.0.20. W XP, po uruchomieniu linii poleceń cmd po wywołaniu klienta ftp i połączeniu otrzymuję: Połączony z 192.168.0.20. (czeka ze 30 sekund i zrywa) Połączenie przerwane przez hosta zdalnego. Dodawałem już różne reguły i nadal nic: iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.0.20 --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp -s 192.168.0.20 --sport 21 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.0.20 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p tcp -s 192.168.0.20 --sport 1024:65535 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp -s 192.168.0.20 --sport 20 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.0.20 --dport 20 -m state --state ESTABLISHED -j ACCEPT Do pliku konfiguracyjnego iptables dodałem również: -A INPUT -i eth0 -p tcp -m tcp --dport 20 -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -i eth0 -p udp -m udp --dport 20 -j ACCEPT -A INPUT -i eth0 -p udp -m udp --dport 21 -j ACCEPT i też bez efektu. W /etc/sysconfig/iptables-config mam dodaną następującą linię: IPTABLES_MODULES="ip_conntrack_ftp ip_nat_ftp" Czy to, że nie mogę się połączyć, jest winą braku ip_conntrack? # modprobe ip_conntrack_ftp Tutaj ok, bez błędu # modprobe ip_conntrack FATAL: Module ip_conntrack not found. Pierwszy z modułów zapory (ip_conntrack_ftp) startuje w trakcie uruchomienia systemu, natomiast drugiego nie widzę iptables: wczytywanie dodatkowych modułów: ip_conntrack_ftp[ OK ]ftp Proszę o pomoc. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
stepien86 Napisano Luty 16, 2010 Zgłoszenie Share Napisano Luty 16, 2010 Pokaz kolego całego firewalla :] Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rysio Napisano Październik 30, 2018 Zgłoszenie Share Napisano Październik 30, 2018 Cóż, mam obecnie podobny problem, FEDORA 25 uruchomiony serwer vsftpd ale działa prawidłowo dopiero po wyłączeniu zapory. Zatrzymałem ten domyślny ogniomurek i zastosowałem stary iptables. Gdy nie zatrzymam iptables to połączenie z serwerem następuje natomiast po przejściu w tryb pasywny niestety nie może pobrać listy katalogów i plików. Poniżej iptables # Generated by iptables-save v1.6.0 on Thu Sep 6 21:20:59 2018 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [9:18736] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p udp -m udp --sport 5353 -j ACCEPT -A INPUT -p udp -m udp --sport 427 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 20 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT -A INPUT -p udp -m state --state NEW -m udp --dport 69 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 3000 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 4180:4700 -j ACCEPT # kde connect -A INPUT -p tcp -m state --state NEW -m tcp --dport 1714:1764 -j ACCEPT -A INPUT -p udp -m state --state NEW -m udp --dport 1714:1764 -j ACCEPT -A INPUT -p udp -m state --state NEW -m udp --dport 4072:4680 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 5001 -j ACCEPT -A INPUT -p udp -m state --state NEW -m udp --dport 5001 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 6066 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 7433 -j ACCEPT -A INPUT -p udp -m state --state NEW -m udp --dport 7433 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 9176 -j ACCEPT -A INPUT -p udp -m state --state NEW -m udp --dport 9176 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 19176 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 51413 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 6066 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 7433 -j ACCEPT -A INPUT -p udp -m state --state NEW -m udp --dport 4444 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 1714:1764 -j ACCEPT -A INPUT -p udp -m state --state NEW -m udp --dport 1714:1764 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited -A OUTPUT -d 159.253.131.128/25 -j DROP COMMIT # Completed on Thu Sep 6 21:20:59 2018 Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Październik 30, 2018 Zgłoszenie Share Napisano Październik 30, 2018 4 godziny temu, Rysio napisał: Gdy nie zatrzymam iptables to połączenie z serwerem następuje natomiast po przejściu w tryb pasywny niestety nie może pobrać listy katalogów i plików. Chyba nie całkiem rozumiem co napisałeś, ale u mnie działa z taką konfiguracją. Mniej więcej - usunąłem klika reguł, ale to jest takie minimum, które działa (chociaż nie jestem w stanie ocenić na ile to bezpieczna opcja). :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -i lo -m comment --comment "allow loopback" -j ACCEPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp --dport 21 -j ACCEPT -A INPUT -p tcp --dport 15000:15500 -j ACCEPT -A INPUT -j DROP -A OUTPUT -o lo -m comment --comment "allow loopback" -j ACCEPT -A OUTPUT -m conntrack --ctstate NEW -j ACCEPT -A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -p tcp --sport 20 -j ACCEPT -A OUTPUT -j LOG --log-prefix "OUTPUT DROP:" -A OUTPUT -j DROP Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się