abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 14:00 | Zajímavý projekt

Byl spuštěn Humble Down Under Bundle. Za vlastní cenu lze koupit multiplatformní hry The Warlock of Firetop Mountain, Screencheat, Hand of Fate a Satellite Reign. Při nadprůměrné platbě (aktuálně 3,63 $) také Hacknet, Hacknet Labyrinths, Crawl a Hurtworld. Při platbě 12 $ a více lze získat navíc Armello.

Ladislav Hagara | Komentářů: 0
dnes 13:00 | Nová verze

Google Chrome 62 byl prohlášen za stabilní (YouTube). Nejnovější stabilní verze 62.0.3202.62 tohoto webového prohlížeče přináší řadu oprav a vylepšení. Vylepšeny byly také nástroje pro vývojáře (YouTube). Opraveno bylo 35 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 1
dnes 11:00 | Zajímavý článek

Článek (en) na Mozilla.cz je věnován vykreslování stránek ve Firefoxu. V průběhu roku 2018 by se ve Firefoxu měl objevit WebRender, jenž by měl vykreslování stránek urychlit díky využití GPU.

Ladislav Hagara | Komentářů: 0
dnes 08:22 | Bezpečnostní upozornění

NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) informuje o zranitelnosti ROCA v procesu generování RSA klíčů, který se odehrává v softwarové knihovně implementované například v kryptografických čipových kartách, bezpečnostních tokenech a dalších hardwarových čipech vyrobených společností Infineon Technologies AG. Zranitelnost umožňuje praktický faktorizační útok, při kterém útočník dokáže vypočítat

… více »
Ladislav Hagara | Komentářů: 1
dnes 01:23 | Zajímavý software

Příspěvek na blogu otevřené certifikační autority Let's Encrypt informuje o začlenění podpory protokolu ACME (Automatic Certificate Management Environment) přímo do webového serveru Apache. Klienty ACME lze nahradit novým modulem Apache mod_md. Na vývoj tohoto modulu bylo uvolněno 70 tisíc dolarů z programu Mozilla Open Source Support (MOSS). K rozchození HTTPS na Apache stačí nově přidat do konfiguračního souboru řádek s ManagedDomain. Minutový videonávod na YouTube [reddit].

Ladislav Hagara | Komentářů: 1
včera 14:15 | Komunita

Daniel Stenberg, autor nástroje curl, na svém blogu oznámil, že obdržel letošní Polhemovu cenu, kterou uděluje Švédská inženýrská asociace za „technologickou inovaci nebo důvtipné řešení technického problému“.

marbu | Komentářů: 9
včera 13:40 | Pozvánky

Cílem Social Good Hackathonu, který se uskuteční 21. a 22. října v Brně, je vymyslet a zrealizovat projekty, které pomůžou zlepšit svět kolem nás. Je to unikátní příležitost, jak představit nejrůznější sociální projekty a zrealizovat je, propojit aktivní lidi, zástupce a zástupkyně nevládních organizací a lidi z prostředí IT a designu. Hackathon pořádá brněnská neziskovka Nesehnutí.

… více »
Barbora | Komentářů: 1
včera 00:44 | Pozvánky

V sobotu 21. října 2017 se na půdě Elektrotechnické fakulty ČVUT v Praze uskuteční RT-Summit – setkání vývojářů linuxového jádra a uživatelů jeho real-time verze označované jako preempt-rt.

… více »
Pavel Píša | Komentářů: 8
16.10. 23:44 | Bezpečnostní upozornění

V Linuxu byla nalezena bezpečnostní chyba CVE-2017-15265 zneužitelná k lokální eskalaci práv. Jedná se o chybu v části ALSA (Advanced Linux Sound Architecture).

Ladislav Hagara | Komentářů: 1
16.10. 22:44 | Komunita

Greg Kroah-Hartman informuje na svém blogu, že do zdrojových kódu linuxového jádra bylo přidáno (commit) prohlášení Linux Kernel Enforcement Statement. Zdrojové kódy Linuxu jsou k dispozici pod licencí GPL-2.0. Prohlášení přidává ustanovení z GPL-3.0. Cílem je chránit Linux před patentovými trolly, viz například problém s bývalým vedoucím týmu Netfilter Patrickem McHardym. Více v často kladených otázkách (FAQ).

Ladislav Hagara | Komentářů: 4
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (18%)
 (0%)
 (0%)
 (3%)
 (71%)
 (8%)
Celkem 38 hlasů
 Komentářů: 1, poslední dnes 11:21
    Rozcestník

    Dotaz: Pasivní FTP neprojde přes iptables

    6.6.2008 12:45 Eršin
    Pasivní FTP neprojde přes iptables
    Přečteno: 1140×
    Ahoj,

    Já vím, že už se to mnohokrát řešilo. Vím, jak to funguje, a proto jsem v koncích. Potřebuju zprovoznit pasivní FTP na můj stroj. A iptables samozřejmě nepovolí datové spojení.


    Kernel 2.6.24 (TuxOnIce, Gentoo) byl zkompilován s parametry:

    CONFIG_NF_CONNTRACK_ENABLED=y
    CONFIG_NF_CONNTRACK=y
    # CONFIG_NF_CONNTRACK_MARK is not set
    # CONFIG_NF_CONNTRACK_EVENTS is not set
    # CONFIG_NF_CONNTRACK_AMANDA is not set
    CONFIG_NF_CONNTRACK_FTP=y
    # CONFIG_NF_CONNTRACK_SANE is not set
    # CONFIG_NF_CONNTRACK_TFTP is not set
    CONFIG_NETFILTER_XT_MATCH_CONNTRACK=y
    CONFIG_NF_CONNTRACK_IPV4=y
    # CONFIG_NF_CONNTRACK_PROC_COMPAT is not set
    CONFIG_IP_NF_IPTABLES=y

    A iptables samozřejmě obsahují tento řádek:

    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

    Nemáte někdo nápad, proč datové pasivní FTP spojení přes firewall neprojde?


    Díky moc...

    Odpovědi

    6.6.2008 13:40 chytracek
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    modprobe ip_conntrack_ftp ?
    6.6.2008 14:42 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Jaképa modprobe, však má CONFIG_NF_CONNTRACK_FTP=y
    6.6.2008 15:27 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Jo pravda, on to bude asi jiný extra modul :) A za natem vyžaduje ten ip_nat_ftp.
    6.6.2008 15:31 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Nevyžaduje, stačí to bez něj (alespoň mně :)
    6.6.2008 14:18 artec | skóre: 24
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    modprobe ip_nat_ftp

    modprobe ip_conntrack_ftp

    Pak ti pujde aktivni i pasivni spojeni.... Pouze FTP, ne FTPs (FTP over SSL)
    9.6.2008 18:42 tezkatlipoka | skóre: 35
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    vzheldem k tomu ze mu nejde ani pasivni FTP, tak mu nahrani modulu pro aktivni FTP urcite udela radost :-D
    Vaše řeč budiž ano, ano, ne, ne. Co je nad to, je od ďábla.
    6.6.2008 16:43 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Páni.. díky za reakce.

    modprobe mi samozřejmě nepomůže - nemám ty moduly, když je to v jádře. Spíš mě překvapuje modul ip_nat_ftp. Co přesně tenhle modul dělá? Která volba způsobí, že se zkompiluje? Stroj běží na veřejné IP, ale nepřijde mi to podstatné.

    Myslíte si, že bych měl zakompilovat do kernelu i podporu pro NAT? Nechápu, proč by to s tím mělo souviset...

    6.6.2008 17:03 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Já to zkoušel a ip_nat_ftp jsem nepotřeboval (ani ho nemám), stačilo modprobe ip_conntrack_ftp (neb mám moduly).
    6.6.2008 17:06 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Jinak jste si jist, že to brzdí iptables? Bez iptables to jde? Nechybí jen třeba uvednený rozsah portů v *fptd.conf? (Asi hloupé otázky, ale nic jiného mne v souvislosti s iptables nenapadá, v iptables mi stačilo dát povolení příchozích RELATED a bylo).
    6.6.2008 17:15 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables

    Brzdí to samozřejmě iptables - jakmile je vypnu, vše funguje.

    Když zkusím připojení z telnetu, tak vše funguje dle očekávání - přihlásím se, pošlu PASV paket, na ten mi přijde odpověd, ale iptables neotevřou port pro ono datové spojení. Přitom server poslouchá - v netstat jde otevřený port vidět.

    7.6.2008 09:57 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Práce toho conntrack modulu by měla jít také někde zkontrolovat, koukl bych se asi do /proc/net/nf_conntrack* neboo tak přibližně, jestli tam není něco vidět.
    8.6.2008 00:14 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Hm... diky za napad. Jsou zde dva soubory: nf_conntrack a nf_conntrack_expect, oba dva jsou prazde. Zrejme to signalizuje, ze a) neco nefunguje, nebo b) neni zapnute logovani. Zkusim zapnout logovani v kernelu.
    8.6.2008 00:27 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    No tak to je problém. S logováním to řeklbych nesouvisí, pokud vám funguje connection tracking tak se v souborech ip_conntrack resp. nf_conntrack objevují informace o daných spojeních, a podle nich se pak mohou řídit další spojení (a zjistit si jestli náhodou nejsou RELATED či ESTABLISHED). Jak vidno vám to nefunguje, takže nemůže fungovat ani rozpoznávání related/established spojení. Víceméně to ale jen potvrzuje že vám opravdu nefunguje connection tracking :/ Žel mne napadají jen samé hloupé otázky jako jestli nebootujete do nějakého jiného kernelu a podobně :/ jinak mne nenapadá co tomu chybí.
    8.6.2008 00:30 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Také by byla možnost (opět lamerská) zkompilovat conntrack jako modul a zkusit to modulárně. Ne že bych čekal zázrak, ale jeden nikdy neví.
    9.6.2008 10:35 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Diky za ten link na connection tracking. Opravdu zrejme jedina sance, ktera mi zbyva, je zkompilovat conntrack jako modul a zkusit, jestli to bude fungovat. Zkusim jeste zapnout v kernelu CONFIG_NETFILTER_NETLINK_LOG=y.
    stativ avatar 9.6.2008 16:18 stativ | skóre: 54 | blog: SlaNé roury
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Já bych to určitě zkusil. Věci co používám neustále mám v jádře natvrdo zakompilované s výjimkou modulů pro iptables což znamená, že jsem pro to musel nejspíš mít dobrý důvod. Už si nepamatuju jaký, ale taky mi něco nefungovalo.
    Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk
    9.6.2008 10:39 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables

    Ha! Tady doslo ke zmene! V souboru /proc/net/nf_conntrack se nahle objevilo nekolik radku zhruba tehle podoby:

    ipv4 2 tcp 6 431912 ESTABLISHED src=my.beauty.ip.addr dst=86.49.93.28 sport=46541 dport=6667 packets=118 bytes=7137 src=86.49.93.28 dst=and.a.gain.ip sport=6667 dport=46541 packets=114 bytes=13148 [ASSURED] use=1

    U vsech radku je napsano ESTABLISHED, jen u dvou je TIME_WAIT. Ja jsem si rikal, ze ESTABLISHED mi asi funguje, kdyz muzu vesele brouzdat po webu... Jinak bootuju spravny kernel.

    9.6.2008 11:06 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Když se přihlásíte na svůj ftp server (přes vnější veřejnou ip) tak by tam mělo být vidět ESTABLISHED spojení na port 21, podle toho by iptables měly poznat že spojení na port 20 které jde ze serveru, je related ke spojení které je s tím serverem už established. Dobrý nápad je to logování zahozených paketů, osobně mám iptables nastavené tak, že se explicitně povolí rozličné služby, co nepovolí některý z filtrů a je tedy "neočekávané" se zaloguje a zahodí. Postupně na co jsem zapomněl, toho jsem si v logu všimnul a služby přidal. Předpokládám, že to máte nějak podobně, možná si tam přidejte nějaké konkrétní logovací pravidla, třeba že za to INPUT ... RELATED, ESTABLISHED -j ACCEPT si dejte pravidlo které nějak pozná a zaloguje to vaše spojení kterým to testujete (oba porty jsou větší než 1024, případně cílový je v rozmezí nastaveném v ftpd.conf, nebo třeba podle srcip), ať máte jistotu že to datové spojení došlo až tam a nebylo povoleno tím vaším pravidlem pro povolení ESTABLISHED,RELATED.
    9.6.2008 11:08 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Oprava, "spojení na port 20 které jde ze serveru", eh, řešíme pasivní spojení že, čili opravuji na "spojení které jde z klienta nejspíš z portu>1024 na server na nejspíš port>1024 v rozsahu uvedeném v ftpd.conf" :)
    9.6.2008 13:01 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables

    Diky... Ano, ESTABLISHED spojeni na port 21 v souboru nf_conntrack je. Prikazove spojeni funguje naprosto bez problemu.

    Zapnout logovani je urcite dobry napad - pokud pridam pravidlo, ktere zaloguje a zahodi vsechny spojeni na port >1024. Ted mam samozrejme vsechno zahazovane implicitnim pravidlem. Nevite nekdo, jak toto logovani zapnout?

    Jen se bojim, ze v pripadnem logu uvidim presne to, co se da cekat - iptables zakazaly spojeni, protoze jim nedoslo, ze se jedna o RELATED spojeni, ale mysli si, ze je NEW.

    Vsiml jsem si ale, ze v iptables existuji krome match state (RELATED, ESTABLISHED) jeste match conntrack (RELATED, ESTABLISHED). Nevite nekdo, jaky je mezi nimi rozdil? Pro jistotu uvedu cely radek iptables:

    iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    9.6.2008 18:17 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Věci ohledně ftp mám nastavené takto:
    # ftpd chain
    -N S_FTP
    -F S_FTP
    -A S_FTP -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
    # ftpd (passive)
    -A S_FTP -p tcp -m state --state ESTABLISHED,RELATED -m multiport --dports 49152:49162 -j ACCEPT
    
    -------------
    
    # ftpd
    -A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j S_FTP
    # ftpd (passive, data)
    #-A INPUT -p tcp -m state --state NEW -m multiport -m multiport --sports 1024: --dports 49152:49162 -j S_FTP
    -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -m multiport --dports 49152:49162 -j S_FTP
    
    # ftp (pasive, data)
    -A INPUT -p tcp -m state --state ESTABLISHED -m tcp --sport 1024: --dport 1024: -j ACCEPT
    
    -----------------
    
    # ftpd (active, data)
    -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -m tcp --sport 20 --dport 1024: -j ACCEPT
    
    # ftp
    -A OUTPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
    # ftp (active, data)
    -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -m tcp --dport 20 -j ACCEPT
    # ftp (passive, data)
    -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED --sport 1024: --dport 1024: -j ACCEPT
    
    -----------------
    
    #ftpd jsou pravidla týkající se serveru, #ftp týkající se klienta. Filtruji i output, ale to se dá vyhodit.

    Pokud chcete nějakou informaci lognout, tak před to pravidlo napíšete dané pravidlo ještě jednou, pričemž místo
     -j ACCEPT_OR_SO
    dáte

    -j LOG -m limit --limit 1/minute --limit-burst 1 --log-level debug --log-prefix "iptables: ftp: wtf "
    a následovat bude to pravidlo. Pozor, délka textu prefixu je omezená (asi 16 znaků nebo tak nějak, už nevím).

    Pokud si pak dáte tail -f /var/log/messages tak se vám objeví informace že nějaký paket dorazil v iptables až "tam" (jen jeden paket za minutu, ale to lze změnit), případně pokud je těch logů více, tak se vám objeví v pořadí v jakém paket lezl...

    To zakomentované pravidlo (tedy NEW místo RELATED/ESTABLISHED) mi tuším fungovalo právě pro pasivní spojení ještě než jsem tam dal právě conntracking.
    9.6.2008 18:24 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Ten S_FTP chain se jeví nadbytečněj, protože porty a tak jsou i dole, no já tam měl omezení počtu spojení ale to jsem vymazal aby to nemátlo :) Mohl jsem ho už smazat celý -- místé -j S_FTP dát -j ACCEPT a S_FTP chain dát celkově pryč. Ale podstatné je stejně to logování samozř. a to tam je.
    9.6.2008 18:21 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Na konci všeho mám
    # LOG
    
    -A INPUT -m limit --limit 5/minute --limit-burst 5 -j LOG --log-level debug --log-prefix "iptables: undefined input: "
    -A FORWARD -m limit --limit 5/minute --limit-burst 5 -j LOG --log-level debug --log-prefix "iptables: undefined forward: "
    -A OUTPUT -m limit --limit 5/minute --limit-burst 5 -j LOG --log-level debug --log-prefix "iptables: undefined output: "
    
    # input
    #-A INPUT -j REJECT --reject-with icmp-port-unreachable
    #-A INPUT -j DROP
    
    # output
    -A OUTPUT -j ACCEPT
    #-A OUTPUT -j DROP
    
    Přičemž neznámý output explicitně povoluji, neznámý input po lognutí neřeším, protože mám na začátku default policy jako DROP...
    7.6.2008 10:23 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    jeste potrebujes :
    modprobe capability
    Never give up ! Stay ATARI !
    7.6.2008 10:25 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    a samozrejme:
    iptables -A INPUT -i ${WAN} -p tcp --dport 21 -j ACCEPT
    
    Never give up ! Stay ATARI !
    8.6.2008 00:16 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Jak jsem psal, problem je s DATOVYM spojenim. Prikazove spojeni samozrejme projde, takze port 21(respektive jiny) je otevreny a FTP server se se mnou bavi. Prihlasim se, poslu mu prikaz PASV, on mi posle port, ale na ten uz se nepripojim, protoze iptables jej blokuji.
    8.6.2008 10:25 Miška | skóre: 30 | Praha
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Kdyz sem si nastavoval svoje ftp, rek sem ftp serveru, ktery rozsah portu ma pouzivat a ty pak explicitne povolil na firewallu...
    9.6.2008 00:18 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT je obecnější než třeba -A INPUT -m state --state RELATED,ESTABLISHED -m multiport --sports 1024: --dports 65500:65535 -j ACCEPT a než otevření portů bez vazby na conntrack je přecejen lepší ten conntrack rozchodit, on se hodí i pro další nastavení v iptables...
    pavlix avatar 9.6.2008 01:12 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Prikazove spojeni samozrejme projde
    Neviděl bych to jako samozřejmost. Zvlášť pokud se někde vyskytuje NAT.

    Pokud nejde conntrack (nebo je conntrack tabulka prázdná), nebude celkem logicky fungovat nic, co na conntracku závisí. Ještě se docela hodí nechat iptables pakety nejen zahazovat ale i logovat, tím se přijde na další případné probémy (a případné hyby v iptables).

    Ještě je dobré vidět výstup z firewall skriptu s příkazama iptables, jestli některý neselhal. Případně použít přepínač -L.
    9.6.2008 10:45 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables

    NAT se nade mnou nevyskytuje, dokonce mam verejnou IP.

    Prikazove spojeni zkratka projde - ve firewallu je povoleny port 21, a kdyby neproslo, tak uz bych se sel asi obesit...

    Prave me zarazilo, jaktoze mi funguje detekce ESTABLISHED spojeni (muzu brouzdat po webu), kdyz soubor /proc/net/nf_conntrack byl prazdny. Podival jsem se tam znovu, a, jak uz jsem psal drive, ted je v nem nekolik ESTABLISHED spojeni.

    Netusite, kde bych mohl zapnout logovani paketu v iptables? Porad premyslim jeste nad volbou CONFIG_NETFILTER_NETLINK_LOG v kernelu, kterou mam zatim vypnutou.

    iptables -L vypisou presne ta pravidla, ktera bych cekal - tedy povoleny port 21 a RELATED i ESTABLISHED spojeni.

    pavlix avatar 13.6.2008 15:38 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Ty máš vždycky veřejnou IP na serveru i u klienta?
    pavlix avatar 13.6.2008 15:39 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    O logování už tu někdo psal.... prostě než něco zahodíš, tak to loguješ.
    8.6.2008 00:17 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Vzhledem k tomu, ze mam v kernelu temer vsechno, nemam ani tento modul. Co by presne mel delat? Ktera volba jej vyrobi, abych mohl zkontrolovat, jestli jej mam v kernelu? Diky...
    8.6.2008 20:15 Begleiter | skóre: 47 | blog: muj_blog | Doma
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables

    Jenom taková poznámka. Kdysi jsem kompiloval jádro a dal nějakou "věc" přímo do jádra a ona překvapivě nefungovala. Jako modul fungovala v pohodě. :-) Přeju hodně štěstí.

    9.6.2008 00:19 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Ano něco podobného se mi už také stalo (i když možná to bylo obráceně:) ...
    12.6.2008 11:31 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables - solved

    Tak, problém je snad vyřešen.

    Samozřejmě byl problém v conntrack - nevěděl jsem, co musím do kernelu zakompilovat, aby fungoval. Jedná se primárně o moduly nf(ip)_conntrack_ftp a nf_nat_ftp. Protože modul nf_conntrack_ftp sleduje spojení implicitně jen na portu 21, je nutné jej zkompilovat jako modul a do /etc/modules.conf(či snad jako parametr jádra) mu předat jako parametr port, na kterém FTP server běží.

    Modul nf_nat_ftp asi potřeba není.

    Díky všem za reakce.

    pavlix avatar 13.6.2008 15:41 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables - solved
    Aha....

    Ale fuj :).

    Tak hodně štěstí a rychlou cestu ke zbavení se FTP.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.