abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
včera 22:44 | Komunita

Joinup informuje, že Mnichov používá open source groupware Kolab. V srpnu byl dokončen dvouletý přechod na toto řešení. V provozu je asi 60 000 poštovních schránek. Nejenom Kolabu se věnoval Georg Greve ve své přednášce Open Source: the future for the European institutions (SlideShare) na konferenci DIGITEC 2016, jež proběhla v úterý 29. listopadu v Bruselu. Videozáznam přednášek z hlavního sálu je ke zhlédnutí na Livestreamu.

Ladislav Hagara | Komentářů: 1
včera 15:30 | Zajímavý projekt

Společnost Jolla oznámila v příspěvku Case study: Sailfish Watch na svém blogu, že naportovala Sailfish OS na chytré hodinky. Využila a inspirovala se otevřeným operačním systémem pro chytré hodinky AsteroidOS. Použita je knihovna libhybris. Ukázka ovládání hodinek na YouTube.

Ladislav Hagara | Komentářů: 5
včera 14:15 | Nová verze

Byla vydána verze 7.1.0 skriptovacího jazyka PHP používaného zejména k vývoji dynamických webových stránek. Jedná se o první stabilní verzi nejnovější větvě 7.1. Přehled novinek v dokumentaci. Podrobnosti v ChangeLogu. K dispozici je také příručka pro přechod z PHP 7.0.x na PHP 7.1.x.

Ladislav Hagara | Komentářů: 0
včera 12:55 | Nová verze

Google Chrome 55 byl prohlášen za stabilní. Nejnovější stabilní verze 55.0.2883.75 tohoto webového prohlížeče přináší řadu oprav a vylepšení (YouTube). Opraveno bylo také 36 bezpečnostních chyb. Mariusz Mlynski si například vydělal 22 500 dolarů za 3 nahlášené chyby (Universal XSS in Blink).

Ladislav Hagara | Komentářů: 4
včera 11:55 | Pozvánky

Máte rádi svobodný software a hardware nebo se o nich chcete něco dozvědět? Přijďte na 135. sraz spolku OpenAlt, který se bude konat ve čtvrtek 8. prosince od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Sraz bude tentokrát tématický. Bude retro! K vidění budou přístroje jako Psion 5mx nebo Palm Z22. Ze svobodného hardwaru pak Openmoko nebo čtečka WikiReader. Přijďte se i vy pochlubit svými legendami, nebo alespoň na pivo. Moderní hardware má vstup samozřejmě také povolen.

xkucf03 | Komentářů: 0
včera 00:10 | Nová verze

Byla vydána verze 3.2 svobodného systému pro detekci a prevenci průniků a monitorování bezpečnosti počítačových sítí Suricata. Z novinek lze zmínit například podporu protokolů DNP3 a CIP/ENIP, vylepšenou podporu TLS a samozřejmě také aktualizovanou dokumentaci.

Ladislav Hagara | Komentářů: 0
1.12. 21:00 | Nová verze

Byla vydána beta verze Linux Mintu 18.1 s kódovým jménem Serena. Na blogu Linux Mintu jsou hned dvě oznámení. První o vydání Linux Mintu s prostředím MATE a druhé o vydání Linux Mintu s prostředím Cinnamon. Stejným způsobem jsou rozděleny také poznámky k vydání (MATE, Cinnamon) a přehled novinek s náhledy (MATE, Cinnamon). Linux Mint 18.1 bude podporován až do roku 2021.

Ladislav Hagara | Komentářů: 0
1.12. 16:42 | Nová verze

Byl vydán Devuan Jessie 1.0 Beta 2. Jedná se o druhou beta verzi forku Debianu bez systemd představeného v listopadu 2014 (zprávička). První beta verze byla vydána v dubnu letošního roku (zprávička). Jedna z posledních přednášek věnovaných Devuanu proběhla v listopadu na konferenci FSCONS 2016 (YouTube, pdf).

Ladislav Hagara | Komentářů: 0
1.12. 15:16 | Komunita

Na GOG.com začal zimní výprodej. Řada zlevněných her běží oficiálně také na Linuxu. Hru Neverwinter Nights Diamond lze dva dny získat zdarma. Hra dle stránek GOG.com na Linuxu neběží. Pomocí návodu ji lze ale rozběhnout také na Linuxu [Gaming On Linux].

Ladislav Hagara | Komentářů: 1
1.12. 13:14 | Bezpečnostní upozornění

Byla vydána verze 2.7.1 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Řešeno je několik bezpečnostních problémů. Aktualizován byl především Tor Browser na verzi 6.0.7. Tor Browser je postaven na Firefoxu ESR (Extended Support Release) a právě ve Firefoxu byla nalezena a opravena vážná bezpečnostní chyba MFSA 2016-92 (CVE-2016-9079, Firefox SVG Animation

… více »
Ladislav Hagara | Komentářů: 0
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 759 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: Pasivní FTP neprojde přes iptables

6.6.2008 12:45 Eršin
Pasivní FTP neprojde přes iptables
Přečteno: 1133×
Ahoj,

Já vím, že už se to mnohokrát řešilo. Vím, jak to funguje, a proto jsem v koncích. Potřebuju zprovoznit pasivní FTP na můj stroj. A iptables samozřejmě nepovolí datové spojení.


Kernel 2.6.24 (TuxOnIce, Gentoo) byl zkompilován s parametry:

CONFIG_NF_CONNTRACK_ENABLED=y
CONFIG_NF_CONNTRACK=y
# CONFIG_NF_CONNTRACK_MARK is not set
# CONFIG_NF_CONNTRACK_EVENTS is not set
# CONFIG_NF_CONNTRACK_AMANDA is not set
CONFIG_NF_CONNTRACK_FTP=y
# CONFIG_NF_CONNTRACK_SANE is not set
# CONFIG_NF_CONNTRACK_TFTP is not set
CONFIG_NETFILTER_XT_MATCH_CONNTRACK=y
CONFIG_NF_CONNTRACK_IPV4=y
# CONFIG_NF_CONNTRACK_PROC_COMPAT is not set
CONFIG_IP_NF_IPTABLES=y

A iptables samozřejmě obsahují tento řádek:

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Nemáte někdo nápad, proč datové pasivní FTP spojení přes firewall neprojde?


Díky moc...

Odpovědi

6.6.2008 13:40 chytracek
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
modprobe ip_conntrack_ftp ?
6.6.2008 14:42 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
Jaképa modprobe, však má CONFIG_NF_CONNTRACK_FTP=y
6.6.2008 15:27 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
Jo pravda, on to bude asi jiný extra modul :) A za natem vyžaduje ten ip_nat_ftp.
6.6.2008 15:31 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
Nevyžaduje, stačí to bez něj (alespoň mně :)
6.6.2008 14:18 artec | skóre: 24
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
modprobe ip_nat_ftp

modprobe ip_conntrack_ftp

Pak ti pujde aktivni i pasivni spojeni.... Pouze FTP, ne FTPs (FTP over SSL)
9.6.2008 18:42 tezkatlipoka | skóre: 35
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
vzheldem k tomu ze mu nejde ani pasivni FTP, tak mu nahrani modulu pro aktivni FTP urcite udela radost :-D
Vaše řeč budiž ano, ano, ne, ne. Co je nad to, je od ďábla.
6.6.2008 16:43 Eršin
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
Páni.. díky za reakce.

modprobe mi samozřejmě nepomůže - nemám ty moduly, když je to v jádře. Spíš mě překvapuje modul ip_nat_ftp. Co přesně tenhle modul dělá? Která volba způsobí, že se zkompiluje? Stroj běží na veřejné IP, ale nepřijde mi to podstatné.

Myslíte si, že bych měl zakompilovat do kernelu i podporu pro NAT? Nechápu, proč by to s tím mělo souviset...

6.6.2008 17:03 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
Já to zkoušel a ip_nat_ftp jsem nepotřeboval (ani ho nemám), stačilo modprobe ip_conntrack_ftp (neb mám moduly).
6.6.2008 17:06 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
Jinak jste si jist, že to brzdí iptables? Bez iptables to jde? Nechybí jen třeba uvednený rozsah portů v *fptd.conf? (Asi hloupé otázky, ale nic jiného mne v souvislosti s iptables nenapadá, v iptables mi stačilo dát povolení příchozích RELATED a bylo).
6.6.2008 17:15 Eršin
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables

Brzdí to samozřejmě iptables - jakmile je vypnu, vše funguje.

Když zkusím připojení z telnetu, tak vše funguje dle očekávání - přihlásím se, pošlu PASV paket, na ten mi přijde odpověd, ale iptables neotevřou port pro ono datové spojení. Přitom server poslouchá - v netstat jde otevřený port vidět.

7.6.2008 09:57 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
Práce toho conntrack modulu by měla jít také někde zkontrolovat, koukl bych se asi do /proc/net/nf_conntrack* neboo tak přibližně, jestli tam není něco vidět.
8.6.2008 00:14 Eršin
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
Hm... diky za napad. Jsou zde dva soubory: nf_conntrack a nf_conntrack_expect, oba dva jsou prazde. Zrejme to signalizuje, ze a) neco nefunguje, nebo b) neni zapnute logovani. Zkusim zapnout logovani v kernelu.
8.6.2008 00:27 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
No tak to je problém. S logováním to řeklbych nesouvisí, pokud vám funguje connection tracking tak se v souborech ip_conntrack resp. nf_conntrack objevují informace o daných spojeních, a podle nich se pak mohou řídit další spojení (a zjistit si jestli náhodou nejsou RELATED či ESTABLISHED). Jak vidno vám to nefunguje, takže nemůže fungovat ani rozpoznávání related/established spojení. Víceméně to ale jen potvrzuje že vám opravdu nefunguje connection tracking :/ Žel mne napadají jen samé hloupé otázky jako jestli nebootujete do nějakého jiného kernelu a podobně :/ jinak mne nenapadá co tomu chybí.
8.6.2008 00:30 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
Také by byla možnost (opět lamerská) zkompilovat conntrack jako modul a zkusit to modulárně. Ne že bych čekal zázrak, ale jeden nikdy neví.
9.6.2008 10:35 Eršin
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
Diky za ten link na connection tracking. Opravdu zrejme jedina sance, ktera mi zbyva, je zkompilovat conntrack jako modul a zkusit, jestli to bude fungovat. Zkusim jeste zapnout v kernelu CONFIG_NETFILTER_NETLINK_LOG=y.
stativ avatar 9.6.2008 16:18 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
Já bych to určitě zkusil. Věci co používám neustále mám v jádře natvrdo zakompilované s výjimkou modulů pro iptables což znamená, že jsem pro to musel nejspíš mít dobrý důvod. Už si nepamatuju jaký, ale taky mi něco nefungovalo.
Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk
9.6.2008 10:39 Eršin
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables

Ha! Tady doslo ke zmene! V souboru /proc/net/nf_conntrack se nahle objevilo nekolik radku zhruba tehle podoby:

ipv4 2 tcp 6 431912 ESTABLISHED src=my.beauty.ip.addr dst=86.49.93.28 sport=46541 dport=6667 packets=118 bytes=7137 src=86.49.93.28 dst=and.a.gain.ip sport=6667 dport=46541 packets=114 bytes=13148 [ASSURED] use=1

U vsech radku je napsano ESTABLISHED, jen u dvou je TIME_WAIT. Ja jsem si rikal, ze ESTABLISHED mi asi funguje, kdyz muzu vesele brouzdat po webu... Jinak bootuju spravny kernel.

9.6.2008 11:06 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
Když se přihlásíte na svůj ftp server (přes vnější veřejnou ip) tak by tam mělo být vidět ESTABLISHED spojení na port 21, podle toho by iptables měly poznat že spojení na port 20 které jde ze serveru, je related ke spojení které je s tím serverem už established. Dobrý nápad je to logování zahozených paketů, osobně mám iptables nastavené tak, že se explicitně povolí rozličné služby, co nepovolí některý z filtrů a je tedy "neočekávané" se zaloguje a zahodí. Postupně na co jsem zapomněl, toho jsem si v logu všimnul a služby přidal. Předpokládám, že to máte nějak podobně, možná si tam přidejte nějaké konkrétní logovací pravidla, třeba že za to INPUT ... RELATED, ESTABLISHED -j ACCEPT si dejte pravidlo které nějak pozná a zaloguje to vaše spojení kterým to testujete (oba porty jsou větší než 1024, případně cílový je v rozmezí nastaveném v ftpd.conf, nebo třeba podle srcip), ať máte jistotu že to datové spojení došlo až tam a nebylo povoleno tím vaším pravidlem pro povolení ESTABLISHED,RELATED.
9.6.2008 11:08 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
Oprava, "spojení na port 20 které jde ze serveru", eh, řešíme pasivní spojení že, čili opravuji na "spojení které jde z klienta nejspíš z portu>1024 na server na nejspíš port>1024 v rozsahu uvedeném v ftpd.conf" :)
9.6.2008 13:01 Eršin
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables

Diky... Ano, ESTABLISHED spojeni na port 21 v souboru nf_conntrack je. Prikazove spojeni funguje naprosto bez problemu.

Zapnout logovani je urcite dobry napad - pokud pridam pravidlo, ktere zaloguje a zahodi vsechny spojeni na port >1024. Ted mam samozrejme vsechno zahazovane implicitnim pravidlem. Nevite nekdo, jak toto logovani zapnout?

Jen se bojim, ze v pripadnem logu uvidim presne to, co se da cekat - iptables zakazaly spojeni, protoze jim nedoslo, ze se jedna o RELATED spojeni, ale mysli si, ze je NEW.

Vsiml jsem si ale, ze v iptables existuji krome match state (RELATED, ESTABLISHED) jeste match conntrack (RELATED, ESTABLISHED). Nevite nekdo, jaky je mezi nimi rozdil? Pro jistotu uvedu cely radek iptables:

iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
9.6.2008 18:17 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
Věci ohledně ftp mám nastavené takto:
# ftpd chain
-N S_FTP
-F S_FTP
-A S_FTP -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
# ftpd (passive)
-A S_FTP -p tcp -m state --state ESTABLISHED,RELATED -m multiport --dports 49152:49162 -j ACCEPT

-------------

# ftpd
-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j S_FTP
# ftpd (passive, data)
#-A INPUT -p tcp -m state --state NEW -m multiport -m multiport --sports 1024: --dports 49152:49162 -j S_FTP
-A INPUT -p tcp -m state --state ESTABLISHED,RELATED -m multiport --dports 49152:49162 -j S_FTP

# ftp (pasive, data)
-A INPUT -p tcp -m state --state ESTABLISHED -m tcp --sport 1024: --dport 1024: -j ACCEPT

-----------------

# ftpd (active, data)
-A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -m tcp --sport 20 --dport 1024: -j ACCEPT

# ftp
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
# ftp (active, data)
-A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -m tcp --dport 20 -j ACCEPT
# ftp (passive, data)
-A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED --sport 1024: --dport 1024: -j ACCEPT

-----------------
#ftpd jsou pravidla týkající se serveru, #ftp týkající se klienta. Filtruji i output, ale to se dá vyhodit.

Pokud chcete nějakou informaci lognout, tak před to pravidlo napíšete dané pravidlo ještě jednou, pričemž místo
 -j ACCEPT_OR_SO
dáte

-j LOG -m limit --limit 1/minute --limit-burst 1 --log-level debug --log-prefix "iptables: ftp: wtf "
a následovat bude to pravidlo. Pozor, délka textu prefixu je omezená (asi 16 znaků nebo tak nějak, už nevím).

Pokud si pak dáte tail -f /var/log/messages tak se vám objeví informace že nějaký paket dorazil v iptables až "tam" (jen jeden paket za minutu, ale to lze změnit), případně pokud je těch logů více, tak se vám objeví v pořadí v jakém paket lezl...

To zakomentované pravidlo (tedy NEW místo RELATED/ESTABLISHED) mi tuším fungovalo právě pro pasivní spojení ještě než jsem tam dal právě conntracking.
9.6.2008 18:24 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
Ten S_FTP chain se jeví nadbytečněj, protože porty a tak jsou i dole, no já tam měl omezení počtu spojení ale to jsem vymazal aby to nemátlo :) Mohl jsem ho už smazat celý -- místé -j S_FTP dát -j ACCEPT a S_FTP chain dát celkově pryč. Ale podstatné je stejně to logování samozř. a to tam je.
9.6.2008 18:21 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
Na konci všeho mám
# LOG

-A INPUT -m limit --limit 5/minute --limit-burst 5 -j LOG --log-level debug --log-prefix "iptables: undefined input: "
-A FORWARD -m limit --limit 5/minute --limit-burst 5 -j LOG --log-level debug --log-prefix "iptables: undefined forward: "
-A OUTPUT -m limit --limit 5/minute --limit-burst 5 -j LOG --log-level debug --log-prefix "iptables: undefined output: "

# input
#-A INPUT -j REJECT --reject-with icmp-port-unreachable
#-A INPUT -j DROP

# output
-A OUTPUT -j ACCEPT
#-A OUTPUT -j DROP
Přičemž neznámý output explicitně povoluji, neznámý input po lognutí neřeším, protože mám na začátku default policy jako DROP...
7.6.2008 10:23 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
jeste potrebujes :
modprobe capability
Never give up ! Stay ATARI !
7.6.2008 10:25 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
a samozrejme:
iptables -A INPUT -i ${WAN} -p tcp --dport 21 -j ACCEPT
Never give up ! Stay ATARI !
8.6.2008 00:16 Eršin
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
Jak jsem psal, problem je s DATOVYM spojenim. Prikazove spojeni samozrejme projde, takze port 21(respektive jiny) je otevreny a FTP server se se mnou bavi. Prihlasim se, poslu mu prikaz PASV, on mi posle port, ale na ten uz se nepripojim, protoze iptables jej blokuji.
8.6.2008 10:25 Miška | skóre: 30 | Praha
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
Kdyz sem si nastavoval svoje ftp, rek sem ftp serveru, ktery rozsah portu ma pouzivat a ty pak explicitne povolil na firewallu...
9.6.2008 00:18 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT je obecnější než třeba -A INPUT -m state --state RELATED,ESTABLISHED -m multiport --sports 1024: --dports 65500:65535 -j ACCEPT a než otevření portů bez vazby na conntrack je přecejen lepší ten conntrack rozchodit, on se hodí i pro další nastavení v iptables...
pavlix avatar 9.6.2008 01:12 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
Prikazove spojeni samozrejme projde
Neviděl bych to jako samozřejmost. Zvlášť pokud se někde vyskytuje NAT.

Pokud nejde conntrack (nebo je conntrack tabulka prázdná), nebude celkem logicky fungovat nic, co na conntracku závisí. Ještě se docela hodí nechat iptables pakety nejen zahazovat ale i logovat, tím se přijde na další případné probémy (a případné hyby v iptables).

Ještě je dobré vidět výstup z firewall skriptu s příkazama iptables, jestli některý neselhal. Případně použít přepínač -L.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
9.6.2008 10:45 Eršin
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables

NAT se nade mnou nevyskytuje, dokonce mam verejnou IP.

Prikazove spojeni zkratka projde - ve firewallu je povoleny port 21, a kdyby neproslo, tak uz bych se sel asi obesit...

Prave me zarazilo, jaktoze mi funguje detekce ESTABLISHED spojeni (muzu brouzdat po webu), kdyz soubor /proc/net/nf_conntrack byl prazdny. Podival jsem se tam znovu, a, jak uz jsem psal drive, ted je v nem nekolik ESTABLISHED spojeni.

Netusite, kde bych mohl zapnout logovani paketu v iptables? Porad premyslim jeste nad volbou CONFIG_NETFILTER_NETLINK_LOG v kernelu, kterou mam zatim vypnutou.

iptables -L vypisou presne ta pravidla, ktera bych cekal - tedy povoleny port 21 a RELATED i ESTABLISHED spojeni.

pavlix avatar 13.6.2008 15:38 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
Ty máš vždycky veřejnou IP na serveru i u klienta?
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
pavlix avatar 13.6.2008 15:39 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
O logování už tu někdo psal.... prostě než něco zahodíš, tak to loguješ.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
8.6.2008 00:17 Eršin
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
Vzhledem k tomu, ze mam v kernelu temer vsechno, nemam ani tento modul. Co by presne mel delat? Ktera volba jej vyrobi, abych mohl zkontrolovat, jestli jej mam v kernelu? Diky...
8.6.2008 20:15 Begleiter | skóre: 47 | blog: muj_blog | Doma
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables

Jenom taková poznámka. Kdysi jsem kompiloval jádro a dal nějakou "věc" přímo do jádra a ona překvapivě nefungovala. Jako modul fungovala v pohodě. :-) Přeju hodně štěstí.

9.6.2008 00:19 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
Ano něco podobného se mi už také stalo (i když možná to bylo obráceně:) ...
12.6.2008 11:31 Eršin
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables - solved

Tak, problém je snad vyřešen.

Samozřejmě byl problém v conntrack - nevěděl jsem, co musím do kernelu zakompilovat, aby fungoval. Jedná se primárně o moduly nf(ip)_conntrack_ftp a nf_nat_ftp. Protože modul nf_conntrack_ftp sleduje spojení implicitně jen na portu 21, je nutné jej zkompilovat jako modul a do /etc/modules.conf(či snad jako parametr jádra) mu předat jako parametr port, na kterém FTP server běží.

Modul nf_nat_ftp asi potřeba není.

Díky všem za reakce.

pavlix avatar 13.6.2008 15:41 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables - solved
Aha....

Ale fuj :).

Tak hodně štěstí a rychlou cestu ke zbavení se FTP.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.