Problem Z Vsftpd I Iptables

[infoyankes]

Witam.

 

Mam problem z połączeniem z lokalnym ftp-em z poziomu XP w sieci lokalnej. Po wyłączeniu iptables wszystko się łączy cacy, ale

po włączeniu już nie, więc oczywiście to sprawa zapory.

Adres mojego ftpa to 192.168.0.20.

 

 

W XP, po uruchomieniu linii poleceń cmd po wywołaniu klienta ftp i połączeniu otrzymuję:

 

Połączony z 192.168.0.20.
(czeka ze 30 sekund i zrywa)
Połączenie przerwane przez hosta zdalnego.

 

 

Dodawałem już różne reguły i nadal nic:

 

 

iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.0.20 --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.0.20 --sport 21 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

 

iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.0.20 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.0.20 --sport 1024:65535 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

 

iptables -A OUTPUT -p tcp -s 192.168.0.20 --sport 20 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.0.20 --dport 20 -m state --state ESTABLISHED -j ACCEPT

 

 

Do pliku konfiguracyjnego iptables dodałem również:

 

-A INPUT -i eth0 -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 20 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 21 -j ACCEPT

 

i też bez efektu.

 

W /etc/sysconfig/iptables-config mam dodaną następującą linię:

 

IPTABLES_MODULES="ip_conntrack_ftp ip_nat_ftp"

 

 

 

Czy to, że nie mogę się połączyć, jest winą braku ip_conntrack?

 

# modprobe ip_conntrack_ftp
Tutaj ok, bez błędu

# modprobe ip_conntrack
FATAL: Module ip_conntrack not found.

 

Pierwszy z modułów zapory (ip_conntrack_ftp) startuje w trakcie uruchomienia systemu, natomiast drugiego nie widzę

 

iptables: wczytywanie dodatkowych modułów: ip_conntrack_ftp[  OK  ]ftp

 

 

Proszę o pomoc.

[stepien86]

Pokaz kolego całego firewalla :]

[Rysio]

Cóż, mam obecnie podobny problem, FEDORA 25 uruchomiony serwer vsftpd ale działa prawidłowo dopiero po wyłączeniu zapory.

Zatrzymałem ten domyślny ogniomurek i zastosowałem stary iptables.  Gdy nie zatrzymam iptables to połączenie z serwerem następuje natomiast po przejściu w tryb pasywny niestety

nie może pobrać listy katalogów i plików.
Poniżej iptables

# Generated by iptables-save v1.6.0 on Thu Sep  6 21:20:59 2018
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [9:18736]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p udp -m udp --sport 5353 -j ACCEPT
-A INPUT -p udp -m udp --sport 427 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 69 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 3000 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 4180:4700 -j ACCEPT
# kde connect
-A INPUT -p tcp -m state --state NEW -m tcp --dport 1714:1764 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 1714:1764 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 4072:4680 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 5001 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 5001 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 6066 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 7433 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 7433 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 9176 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 9176 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 19176 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 51413 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 6066 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 7433 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 4444 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 1714:1764 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 1714:1764 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -d 159.253.131.128/25 -j DROP
COMMIT
# Completed on Thu Sep  6 21:20:59 2018

 

[@WalDo]

4 godziny temu, Rysio napisał:

Gdy nie zatrzymam iptables to połączenie z serwerem następuje natomiast po przejściu w tryb pasywny niestety

nie może pobrać listy katalogów i plików.

Chyba nie całkiem rozumiem co napisałeś, ale u mnie działa z taką konfiguracją. Mniej więcej - usunąłem klika reguł, ale to jest takie minimum, które działa (chociaż nie jestem w stanie ocenić na ile to bezpieczna opcja).

:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -m comment --comment "allow loopback" -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp --dport 21 -j ACCEPT
-A INPUT -p tcp --dport 15000:15500 -j ACCEPT
-A INPUT -j DROP
-A OUTPUT -o lo -m comment --comment "allow loopback" -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW -j ACCEPT
-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp --sport 20 -j ACCEPT
-A OUTPUT -j LOG --log-prefix "OUTPUT DROP:"
-A OUTPUT -j DROP