abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 02:20 | Zajímavý článek

David Revoy, autor open source webového komiksu Pepper&Carrot nebo portrétu GNU/Linuxu, upozorňuje na svém blogu, že nový Inkscape 0.92 rozbíjí dokumenty vytvořené v předchozích verzích Inkscape. Problém by měl být vyřešen v Inkscape 0.92.2 [reddit].

Ladislav Hagara | Komentářů: 0
dnes 02:02 | Komunita

Øyvind Kolås, hlavní vývojář grafických knihoven GEGL a babl, které využívá grafický program GIMP, žádá o podporu na Patreonu. Díky ní bude moci pracovat na vývoji na plný úvazek. Milník 1000 $, který by stačil na holé přežití, se již téměř podařilo vybrat, dalším cílem je dosažení 2500 $, které mu umožní běžně fungovat ve společnosti.

xkomczax | Komentářů: 7
včera 23:54 | Pozvánky

DevConf.cz 2017, již devátý ročník jedné z největších akcí zaměřených na Linux a open source ve střední Evropě, proběhne od pátku 27. ledna do neděle 29. ledna v prostorách Fakulty informačních technologií Vysokého učení technického v Brně. Na programu je celá řada zajímavých přednášek a workshopů. Letos je povinná registrace.

Ladislav Hagara | Komentářů: 0
včera 22:11 | Nová verze

Byla vydána verze 1.0.0 emulátoru terminálu Terminology postaveného nad EFL (Enlightenment Foundation Libraries). Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
20.1. 17:00 | Nová verze

Byl vydán Docker 1.13. Přehled novinek na YouTube a v poznámkách k vydání na GitHubu. Docker umožňuje běh aplikací v softwarových kontejnerech (Wikipedia).

Ladislav Hagara | Komentářů: 4
20.1. 15:51 | Komunita

Mozilla.cz informuje, že nástroje pro webové vývojáře se možná oddělí od Firefoxu a stanou doplňkem. Nástroje pro webové vývojáře prošly velkým přepisem a tým, který se stará o jejich vývoj, by uvítal možnost jejich častějších aktualizacích nezávisle na vydávání nových verzí Firefoxu.

Ladislav Hagara | Komentářů: 8
20.1. 07:00 | Humor

Čtenářům AbcLinuxu vše nejlepší k dnešnímu Dni zvýšení povědomí o tučňácích (Penguin Awareness Day).

Ladislav Hagara | Komentářů: 0
20.1. 06:00 | Komunita

Bylo spuštěno hlasování o přednáškách a workshopech pro letošní InstallFest, jenž proběhne o víkendu 4. a 5. března v Praze. Současně byla oznámena změna místa. InstallFest se letos vrací zpět na Karlovo náměstí do budovy E.

Ladislav Hagara | Komentářů: 0
20.1. 02:48 | Komunita

Greg Kroah-Hartman potvrdil, že Linux 4.9 je jádrem s prodlouženou upstream podporou (LTS, Long Term Support). Podpora je plánována do ledna 2019. Aktuální jádra s prodlouženou podporou jsou tedy 3.2, 3.4, 3.10, 3.12, 3.16, 3.18, 4.1, 4.4 a 4.9.

Ladislav Hagara | Komentářů: 0
20.1. 00:11 | Zajímavý článek

Výrobce síťových prvků, společnost Netgear, spustila nový program, který slibuje vývojářům, expertům, ale i běžným uživatelům vyplacení finanční odměny za nalezení bezpečnostních chyby v jejich produktech. Za nalezení zranitelnosti v hardware, API nebo mobilní aplikaci nabízí odměnu od 150 do 15 tisíc dolarů (dle závažnosti).

Michal Makovec | Komentářů: 0
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (10%)
 (2%)
 (74%)
 (3%)
 (10%)
Celkem 358 hlasů
 Komentářů: 25, poslední včera 13:34
    Rozcestník
    Reklama

    Dotaz: Pasivní FTP neprojde přes iptables

    6.6.2008 12:45 Eršin
    Pasivní FTP neprojde přes iptables
    Přečteno: 1134×
    Ahoj,

    Já vím, že už se to mnohokrát řešilo. Vím, jak to funguje, a proto jsem v koncích. Potřebuju zprovoznit pasivní FTP na můj stroj. A iptables samozřejmě nepovolí datové spojení.


    Kernel 2.6.24 (TuxOnIce, Gentoo) byl zkompilován s parametry:

    CONFIG_NF_CONNTRACK_ENABLED=y
    CONFIG_NF_CONNTRACK=y
    # CONFIG_NF_CONNTRACK_MARK is not set
    # CONFIG_NF_CONNTRACK_EVENTS is not set
    # CONFIG_NF_CONNTRACK_AMANDA is not set
    CONFIG_NF_CONNTRACK_FTP=y
    # CONFIG_NF_CONNTRACK_SANE is not set
    # CONFIG_NF_CONNTRACK_TFTP is not set
    CONFIG_NETFILTER_XT_MATCH_CONNTRACK=y
    CONFIG_NF_CONNTRACK_IPV4=y
    # CONFIG_NF_CONNTRACK_PROC_COMPAT is not set
    CONFIG_IP_NF_IPTABLES=y

    A iptables samozřejmě obsahují tento řádek:

    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

    Nemáte někdo nápad, proč datové pasivní FTP spojení přes firewall neprojde?


    Díky moc...

    Odpovědi

    6.6.2008 13:40 chytracek
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    modprobe ip_conntrack_ftp ?
    6.6.2008 14:42 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Jaképa modprobe, však má CONFIG_NF_CONNTRACK_FTP=y
    6.6.2008 15:27 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Jo pravda, on to bude asi jiný extra modul :) A za natem vyžaduje ten ip_nat_ftp.
    6.6.2008 15:31 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Nevyžaduje, stačí to bez něj (alespoň mně :)
    6.6.2008 14:18 artec | skóre: 24
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    modprobe ip_nat_ftp

    modprobe ip_conntrack_ftp

    Pak ti pujde aktivni i pasivni spojeni.... Pouze FTP, ne FTPs (FTP over SSL)
    9.6.2008 18:42 tezkatlipoka | skóre: 35
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    vzheldem k tomu ze mu nejde ani pasivni FTP, tak mu nahrani modulu pro aktivni FTP urcite udela radost :-D
    Vaše řeč budiž ano, ano, ne, ne. Co je nad to, je od ďábla.
    6.6.2008 16:43 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Páni.. díky za reakce.

    modprobe mi samozřejmě nepomůže - nemám ty moduly, když je to v jádře. Spíš mě překvapuje modul ip_nat_ftp. Co přesně tenhle modul dělá? Která volba způsobí, že se zkompiluje? Stroj běží na veřejné IP, ale nepřijde mi to podstatné.

    Myslíte si, že bych měl zakompilovat do kernelu i podporu pro NAT? Nechápu, proč by to s tím mělo souviset...

    6.6.2008 17:03 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Já to zkoušel a ip_nat_ftp jsem nepotřeboval (ani ho nemám), stačilo modprobe ip_conntrack_ftp (neb mám moduly).
    6.6.2008 17:06 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Jinak jste si jist, že to brzdí iptables? Bez iptables to jde? Nechybí jen třeba uvednený rozsah portů v *fptd.conf? (Asi hloupé otázky, ale nic jiného mne v souvislosti s iptables nenapadá, v iptables mi stačilo dát povolení příchozích RELATED a bylo).
    6.6.2008 17:15 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables

    Brzdí to samozřejmě iptables - jakmile je vypnu, vše funguje.

    Když zkusím připojení z telnetu, tak vše funguje dle očekávání - přihlásím se, pošlu PASV paket, na ten mi přijde odpověd, ale iptables neotevřou port pro ono datové spojení. Přitom server poslouchá - v netstat jde otevřený port vidět.

    7.6.2008 09:57 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Práce toho conntrack modulu by měla jít také někde zkontrolovat, koukl bych se asi do /proc/net/nf_conntrack* neboo tak přibližně, jestli tam není něco vidět.
    8.6.2008 00:14 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Hm... diky za napad. Jsou zde dva soubory: nf_conntrack a nf_conntrack_expect, oba dva jsou prazde. Zrejme to signalizuje, ze a) neco nefunguje, nebo b) neni zapnute logovani. Zkusim zapnout logovani v kernelu.
    8.6.2008 00:27 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    No tak to je problém. S logováním to řeklbych nesouvisí, pokud vám funguje connection tracking tak se v souborech ip_conntrack resp. nf_conntrack objevují informace o daných spojeních, a podle nich se pak mohou řídit další spojení (a zjistit si jestli náhodou nejsou RELATED či ESTABLISHED). Jak vidno vám to nefunguje, takže nemůže fungovat ani rozpoznávání related/established spojení. Víceméně to ale jen potvrzuje že vám opravdu nefunguje connection tracking :/ Žel mne napadají jen samé hloupé otázky jako jestli nebootujete do nějakého jiného kernelu a podobně :/ jinak mne nenapadá co tomu chybí.
    8.6.2008 00:30 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Také by byla možnost (opět lamerská) zkompilovat conntrack jako modul a zkusit to modulárně. Ne že bych čekal zázrak, ale jeden nikdy neví.
    9.6.2008 10:35 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Diky za ten link na connection tracking. Opravdu zrejme jedina sance, ktera mi zbyva, je zkompilovat conntrack jako modul a zkusit, jestli to bude fungovat. Zkusim jeste zapnout v kernelu CONFIG_NETFILTER_NETLINK_LOG=y.
    stativ avatar 9.6.2008 16:18 stativ | skóre: 54 | blog: SlaNé roury
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Já bych to určitě zkusil. Věci co používám neustále mám v jádře natvrdo zakompilované s výjimkou modulů pro iptables což znamená, že jsem pro to musel nejspíš mít dobrý důvod. Už si nepamatuju jaký, ale taky mi něco nefungovalo.
    Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk
    9.6.2008 10:39 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables

    Ha! Tady doslo ke zmene! V souboru /proc/net/nf_conntrack se nahle objevilo nekolik radku zhruba tehle podoby:

    ipv4 2 tcp 6 431912 ESTABLISHED src=my.beauty.ip.addr dst=86.49.93.28 sport=46541 dport=6667 packets=118 bytes=7137 src=86.49.93.28 dst=and.a.gain.ip sport=6667 dport=46541 packets=114 bytes=13148 [ASSURED] use=1

    U vsech radku je napsano ESTABLISHED, jen u dvou je TIME_WAIT. Ja jsem si rikal, ze ESTABLISHED mi asi funguje, kdyz muzu vesele brouzdat po webu... Jinak bootuju spravny kernel.

    9.6.2008 11:06 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Když se přihlásíte na svůj ftp server (přes vnější veřejnou ip) tak by tam mělo být vidět ESTABLISHED spojení na port 21, podle toho by iptables měly poznat že spojení na port 20 které jde ze serveru, je related ke spojení které je s tím serverem už established. Dobrý nápad je to logování zahozených paketů, osobně mám iptables nastavené tak, že se explicitně povolí rozličné služby, co nepovolí některý z filtrů a je tedy "neočekávané" se zaloguje a zahodí. Postupně na co jsem zapomněl, toho jsem si v logu všimnul a služby přidal. Předpokládám, že to máte nějak podobně, možná si tam přidejte nějaké konkrétní logovací pravidla, třeba že za to INPUT ... RELATED, ESTABLISHED -j ACCEPT si dejte pravidlo které nějak pozná a zaloguje to vaše spojení kterým to testujete (oba porty jsou větší než 1024, případně cílový je v rozmezí nastaveném v ftpd.conf, nebo třeba podle srcip), ať máte jistotu že to datové spojení došlo až tam a nebylo povoleno tím vaším pravidlem pro povolení ESTABLISHED,RELATED.
    9.6.2008 11:08 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Oprava, "spojení na port 20 které jde ze serveru", eh, řešíme pasivní spojení že, čili opravuji na "spojení které jde z klienta nejspíš z portu>1024 na server na nejspíš port>1024 v rozsahu uvedeném v ftpd.conf" :)
    9.6.2008 13:01 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables

    Diky... Ano, ESTABLISHED spojeni na port 21 v souboru nf_conntrack je. Prikazove spojeni funguje naprosto bez problemu.

    Zapnout logovani je urcite dobry napad - pokud pridam pravidlo, ktere zaloguje a zahodi vsechny spojeni na port >1024. Ted mam samozrejme vsechno zahazovane implicitnim pravidlem. Nevite nekdo, jak toto logovani zapnout?

    Jen se bojim, ze v pripadnem logu uvidim presne to, co se da cekat - iptables zakazaly spojeni, protoze jim nedoslo, ze se jedna o RELATED spojeni, ale mysli si, ze je NEW.

    Vsiml jsem si ale, ze v iptables existuji krome match state (RELATED, ESTABLISHED) jeste match conntrack (RELATED, ESTABLISHED). Nevite nekdo, jaky je mezi nimi rozdil? Pro jistotu uvedu cely radek iptables:

    iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    9.6.2008 18:17 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Věci ohledně ftp mám nastavené takto:
    # ftpd chain
    -N S_FTP
    -F S_FTP
    -A S_FTP -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
    # ftpd (passive)
    -A S_FTP -p tcp -m state --state ESTABLISHED,RELATED -m multiport --dports 49152:49162 -j ACCEPT
    
    -------------
    
    # ftpd
    -A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j S_FTP
    # ftpd (passive, data)
    #-A INPUT -p tcp -m state --state NEW -m multiport -m multiport --sports 1024: --dports 49152:49162 -j S_FTP
    -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -m multiport --dports 49152:49162 -j S_FTP
    
    # ftp (pasive, data)
    -A INPUT -p tcp -m state --state ESTABLISHED -m tcp --sport 1024: --dport 1024: -j ACCEPT
    
    -----------------
    
    # ftpd (active, data)
    -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -m tcp --sport 20 --dport 1024: -j ACCEPT
    
    # ftp
    -A OUTPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
    # ftp (active, data)
    -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -m tcp --dport 20 -j ACCEPT
    # ftp (passive, data)
    -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED --sport 1024: --dport 1024: -j ACCEPT
    
    -----------------
    
    #ftpd jsou pravidla týkající se serveru, #ftp týkající se klienta. Filtruji i output, ale to se dá vyhodit.

    Pokud chcete nějakou informaci lognout, tak před to pravidlo napíšete dané pravidlo ještě jednou, pričemž místo
     -j ACCEPT_OR_SO
    dáte

    -j LOG -m limit --limit 1/minute --limit-burst 1 --log-level debug --log-prefix "iptables: ftp: wtf "
    a následovat bude to pravidlo. Pozor, délka textu prefixu je omezená (asi 16 znaků nebo tak nějak, už nevím).

    Pokud si pak dáte tail -f /var/log/messages tak se vám objeví informace že nějaký paket dorazil v iptables až "tam" (jen jeden paket za minutu, ale to lze změnit), případně pokud je těch logů více, tak se vám objeví v pořadí v jakém paket lezl...

    To zakomentované pravidlo (tedy NEW místo RELATED/ESTABLISHED) mi tuším fungovalo právě pro pasivní spojení ještě než jsem tam dal právě conntracking.
    9.6.2008 18:24 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Ten S_FTP chain se jeví nadbytečněj, protože porty a tak jsou i dole, no já tam měl omezení počtu spojení ale to jsem vymazal aby to nemátlo :) Mohl jsem ho už smazat celý -- místé -j S_FTP dát -j ACCEPT a S_FTP chain dát celkově pryč. Ale podstatné je stejně to logování samozř. a to tam je.
    9.6.2008 18:21 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Na konci všeho mám
    # LOG
    
    -A INPUT -m limit --limit 5/minute --limit-burst 5 -j LOG --log-level debug --log-prefix "iptables: undefined input: "
    -A FORWARD -m limit --limit 5/minute --limit-burst 5 -j LOG --log-level debug --log-prefix "iptables: undefined forward: "
    -A OUTPUT -m limit --limit 5/minute --limit-burst 5 -j LOG --log-level debug --log-prefix "iptables: undefined output: "
    
    # input
    #-A INPUT -j REJECT --reject-with icmp-port-unreachable
    #-A INPUT -j DROP
    
    # output
    -A OUTPUT -j ACCEPT
    #-A OUTPUT -j DROP
    
    Přičemž neznámý output explicitně povoluji, neznámý input po lognutí neřeším, protože mám na začátku default policy jako DROP...
    7.6.2008 10:23 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    jeste potrebujes :
    modprobe capability
    Never give up ! Stay ATARI !
    7.6.2008 10:25 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    a samozrejme:
    iptables -A INPUT -i ${WAN} -p tcp --dport 21 -j ACCEPT
    
    Never give up ! Stay ATARI !
    8.6.2008 00:16 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Jak jsem psal, problem je s DATOVYM spojenim. Prikazove spojeni samozrejme projde, takze port 21(respektive jiny) je otevreny a FTP server se se mnou bavi. Prihlasim se, poslu mu prikaz PASV, on mi posle port, ale na ten uz se nepripojim, protoze iptables jej blokuji.
    8.6.2008 10:25 Miška | skóre: 30 | Praha
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Kdyz sem si nastavoval svoje ftp, rek sem ftp serveru, ktery rozsah portu ma pouzivat a ty pak explicitne povolil na firewallu...
    9.6.2008 00:18 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT je obecnější než třeba -A INPUT -m state --state RELATED,ESTABLISHED -m multiport --sports 1024: --dports 65500:65535 -j ACCEPT a než otevření portů bez vazby na conntrack je přecejen lepší ten conntrack rozchodit, on se hodí i pro další nastavení v iptables...
    pavlix avatar 9.6.2008 01:12 pavlix | skóre: 53 | blog: pavlix
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Prikazove spojeni samozrejme projde
    Neviděl bych to jako samozřejmost. Zvlášť pokud se někde vyskytuje NAT.

    Pokud nejde conntrack (nebo je conntrack tabulka prázdná), nebude celkem logicky fungovat nic, co na conntracku závisí. Ještě se docela hodí nechat iptables pakety nejen zahazovat ale i logovat, tím se přijde na další případné probémy (a případné hyby v iptables).

    Ještě je dobré vidět výstup z firewall skriptu s příkazama iptables, jestli některý neselhal. Případně použít přepínač -L.
    Gentoo – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
    9.6.2008 10:45 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables

    NAT se nade mnou nevyskytuje, dokonce mam verejnou IP.

    Prikazove spojeni zkratka projde - ve firewallu je povoleny port 21, a kdyby neproslo, tak uz bych se sel asi obesit...

    Prave me zarazilo, jaktoze mi funguje detekce ESTABLISHED spojeni (muzu brouzdat po webu), kdyz soubor /proc/net/nf_conntrack byl prazdny. Podival jsem se tam znovu, a, jak uz jsem psal drive, ted je v nem nekolik ESTABLISHED spojeni.

    Netusite, kde bych mohl zapnout logovani paketu v iptables? Porad premyslim jeste nad volbou CONFIG_NETFILTER_NETLINK_LOG v kernelu, kterou mam zatim vypnutou.

    iptables -L vypisou presne ta pravidla, ktera bych cekal - tedy povoleny port 21 a RELATED i ESTABLISHED spojeni.

    pavlix avatar 13.6.2008 15:38 pavlix | skóre: 53 | blog: pavlix
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Ty máš vždycky veřejnou IP na serveru i u klienta?
    Gentoo – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
    pavlix avatar 13.6.2008 15:39 pavlix | skóre: 53 | blog: pavlix
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    O logování už tu někdo psal.... prostě než něco zahodíš, tak to loguješ.
    Gentoo – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
    8.6.2008 00:17 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Vzhledem k tomu, ze mam v kernelu temer vsechno, nemam ani tento modul. Co by presne mel delat? Ktera volba jej vyrobi, abych mohl zkontrolovat, jestli jej mam v kernelu? Diky...
    8.6.2008 20:15 Begleiter | skóre: 47 | blog: muj_blog | Doma
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables

    Jenom taková poznámka. Kdysi jsem kompiloval jádro a dal nějakou "věc" přímo do jádra a ona překvapivě nefungovala. Jako modul fungovala v pohodě. :-) Přeju hodně štěstí.

    9.6.2008 00:19 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Ano něco podobného se mi už také stalo (i když možná to bylo obráceně:) ...
    12.6.2008 11:31 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables - solved

    Tak, problém je snad vyřešen.

    Samozřejmě byl problém v conntrack - nevěděl jsem, co musím do kernelu zakompilovat, aby fungoval. Jedná se primárně o moduly nf(ip)_conntrack_ftp a nf_nat_ftp. Protože modul nf_conntrack_ftp sleduje spojení implicitně jen na portu 21, je nutné jej zkompilovat jako modul a do /etc/modules.conf(či snad jako parametr jádra) mu předat jako parametr port, na kterém FTP server běží.

    Modul nf_nat_ftp asi potřeba není.

    Díky všem za reakce.

    pavlix avatar 13.6.2008 15:41 pavlix | skóre: 53 | blog: pavlix
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables - solved
    Aha....

    Ale fuj :).

    Tak hodně štěstí a rychlou cestu ke zbavení se FTP.
    Gentoo – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.