abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 13:44 | Zajímavý software

Evropská komise vydala novou verzi 1.4.0.1 svého open source v Javě naprogramovaného softwaru pro online průzkumy EUSurvey. Online dotazníky lze vytvářet na stránkách Evropské komise nebo si lze software stáhnout (zip a war) a nainstalovat lokálně. Zdrojové kódy jsou k dispozici pod licencí EUPL (European Union Public Licence).

Ladislav Hagara | Komentářů: 0
včera 23:55 | Komunita

Ubuntu 17.10 (Artful Aardvark) bude ve výchozím stavu zobrazovat Dok (Launcher). Jedná se o rozšíření GNOME Shellu Ubuntu Dock. To bylo forknuto z rozšíření Dash to Dock. Ukázka na YouTube [reddit].

Ladislav Hagara | Komentářů: 0
17.8. 15:33 | Nová verze

Byla vydána verze 17.08.0 KDE Aplikací (KDE Applications). Přehled novinek v kompletním seznamu změn a na stránce s dalšími informacemi. Aplikace kmag, kmousetool, kgoldrunner, kigo, konquest, kreversi, ksnakeduel, kspaceduel, ksudoku, kubrick, lskat a umbrello byly portovány na KDE Frameworks 5.

Ladislav Hagara | Komentářů: 0
17.8. 15:11 | Nová verze

Simon Long představil na blogu Raspberry Pi novou verzi 2017-08-16 linuxové distribuce Raspbian určené především pro jednodeskové miniaturní počítače Raspberry Pi. Společně s Raspbianem byl aktualizován také instalační nástroj NOOBS (New Out Of the Box Software). Nejnovější Raspbian je založen na Debianu 9 Stretch. Přehled novinek v poznámkách k vydání. Řešena je také bezpečnostní chyba Broadpwn (CVE-2017-9417).

Ladislav Hagara | Komentářů: 1
17.8. 12:33 | Nová verze

Byla vydána verze 3.2.0 programu pro skicování, malování a úpravu obrázků Krita. Přehled novinek v poznámkách k vydání a na YouTube.

Ladislav Hagara | Komentářů: 0
17.8. 11:44 | IT novinky

Minulý týden na šampionátu The International 2017 byl představen bot, který poráží profesionální hráče počítačové hry Dota 2. V nejnovějším příspěvku na blogu se organizace OpenAI o projektu více rozepsala a zveřejnila videozáznamy několika soubojů.

Ladislav Hagara | Komentářů: 7
16.8. 17:11 | Komunita

Byly zveřejněny videozáznamy přednášek z Fedora 26 Release Party konané 10. srpna v Praze.

Ladislav Hagara | Komentářů: 0
16.8. 15:33 | Komunita

Přesně před čtyřiadvaceti lety, 16. srpna 1993, oznámil Ian Murdock vydání "Debian Linux Release".

Ladislav Hagara | Komentářů: 8
16.8. 06:00 | Bezpečnostní upozornění

Ve virtualizačním softwaru Xen bylo nalezeno a opraveno 5 bezpečnostních chyb XSA-226 až XSA-230. Nejzávažnější z nich XSA-227 (CVE-2017-12137) umožňuje eskalaci privilegií a ovládnutí celého systému, tj. správce hostovaného systému se může stát správcem hostitelského systému.

Ladislav Hagara | Komentářů: 1
15.8. 22:00 | Zajímavý projekt

V roce 2013 proběhla na Kickstarteru úspěšná kampaň na podporu otevřeného Dobře temperovaného klavíru (Well-Tempered Clavier). Stejný tým s Kimiko Išizaka spustil před týdnem na Kickstarteru kampaň Libre Art of the Fugue na podporu svobodného Umění fugy.

Ladislav Hagara | Komentářů: 2
Těžíte nějakou kryptoměnu?
 (4%)
 (2%)
 (17%)
 (76%)
Celkem 358 hlasů
 Komentářů: 21, poslední 13.8. 09:57
    Rozcestník

    Dotaz: Pasivní FTP neprojde přes iptables

    6.6.2008 12:45 Eršin
    Pasivní FTP neprojde přes iptables
    Přečteno: 1139×
    Ahoj,

    Já vím, že už se to mnohokrát řešilo. Vím, jak to funguje, a proto jsem v koncích. Potřebuju zprovoznit pasivní FTP na můj stroj. A iptables samozřejmě nepovolí datové spojení.


    Kernel 2.6.24 (TuxOnIce, Gentoo) byl zkompilován s parametry:

    CONFIG_NF_CONNTRACK_ENABLED=y
    CONFIG_NF_CONNTRACK=y
    # CONFIG_NF_CONNTRACK_MARK is not set
    # CONFIG_NF_CONNTRACK_EVENTS is not set
    # CONFIG_NF_CONNTRACK_AMANDA is not set
    CONFIG_NF_CONNTRACK_FTP=y
    # CONFIG_NF_CONNTRACK_SANE is not set
    # CONFIG_NF_CONNTRACK_TFTP is not set
    CONFIG_NETFILTER_XT_MATCH_CONNTRACK=y
    CONFIG_NF_CONNTRACK_IPV4=y
    # CONFIG_NF_CONNTRACK_PROC_COMPAT is not set
    CONFIG_IP_NF_IPTABLES=y

    A iptables samozřejmě obsahují tento řádek:

    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

    Nemáte někdo nápad, proč datové pasivní FTP spojení přes firewall neprojde?


    Díky moc...

    Odpovědi

    6.6.2008 13:40 chytracek
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    modprobe ip_conntrack_ftp ?
    6.6.2008 14:42 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Jaképa modprobe, však má CONFIG_NF_CONNTRACK_FTP=y
    6.6.2008 15:27 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Jo pravda, on to bude asi jiný extra modul :) A za natem vyžaduje ten ip_nat_ftp.
    6.6.2008 15:31 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Nevyžaduje, stačí to bez něj (alespoň mně :)
    6.6.2008 14:18 artec | skóre: 24
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    modprobe ip_nat_ftp

    modprobe ip_conntrack_ftp

    Pak ti pujde aktivni i pasivni spojeni.... Pouze FTP, ne FTPs (FTP over SSL)
    9.6.2008 18:42 tezkatlipoka | skóre: 35
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    vzheldem k tomu ze mu nejde ani pasivni FTP, tak mu nahrani modulu pro aktivni FTP urcite udela radost :-D
    Vaše řeč budiž ano, ano, ne, ne. Co je nad to, je od ďábla.
    6.6.2008 16:43 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Páni.. díky za reakce.

    modprobe mi samozřejmě nepomůže - nemám ty moduly, když je to v jádře. Spíš mě překvapuje modul ip_nat_ftp. Co přesně tenhle modul dělá? Která volba způsobí, že se zkompiluje? Stroj běží na veřejné IP, ale nepřijde mi to podstatné.

    Myslíte si, že bych měl zakompilovat do kernelu i podporu pro NAT? Nechápu, proč by to s tím mělo souviset...

    6.6.2008 17:03 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Já to zkoušel a ip_nat_ftp jsem nepotřeboval (ani ho nemám), stačilo modprobe ip_conntrack_ftp (neb mám moduly).
    6.6.2008 17:06 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Jinak jste si jist, že to brzdí iptables? Bez iptables to jde? Nechybí jen třeba uvednený rozsah portů v *fptd.conf? (Asi hloupé otázky, ale nic jiného mne v souvislosti s iptables nenapadá, v iptables mi stačilo dát povolení příchozích RELATED a bylo).
    6.6.2008 17:15 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables

    Brzdí to samozřejmě iptables - jakmile je vypnu, vše funguje.

    Když zkusím připojení z telnetu, tak vše funguje dle očekávání - přihlásím se, pošlu PASV paket, na ten mi přijde odpověd, ale iptables neotevřou port pro ono datové spojení. Přitom server poslouchá - v netstat jde otevřený port vidět.

    7.6.2008 09:57 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Práce toho conntrack modulu by měla jít také někde zkontrolovat, koukl bych se asi do /proc/net/nf_conntrack* neboo tak přibližně, jestli tam není něco vidět.
    8.6.2008 00:14 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Hm... diky za napad. Jsou zde dva soubory: nf_conntrack a nf_conntrack_expect, oba dva jsou prazde. Zrejme to signalizuje, ze a) neco nefunguje, nebo b) neni zapnute logovani. Zkusim zapnout logovani v kernelu.
    8.6.2008 00:27 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    No tak to je problém. S logováním to řeklbych nesouvisí, pokud vám funguje connection tracking tak se v souborech ip_conntrack resp. nf_conntrack objevují informace o daných spojeních, a podle nich se pak mohou řídit další spojení (a zjistit si jestli náhodou nejsou RELATED či ESTABLISHED). Jak vidno vám to nefunguje, takže nemůže fungovat ani rozpoznávání related/established spojení. Víceméně to ale jen potvrzuje že vám opravdu nefunguje connection tracking :/ Žel mne napadají jen samé hloupé otázky jako jestli nebootujete do nějakého jiného kernelu a podobně :/ jinak mne nenapadá co tomu chybí.
    8.6.2008 00:30 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Také by byla možnost (opět lamerská) zkompilovat conntrack jako modul a zkusit to modulárně. Ne že bych čekal zázrak, ale jeden nikdy neví.
    9.6.2008 10:35 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Diky za ten link na connection tracking. Opravdu zrejme jedina sance, ktera mi zbyva, je zkompilovat conntrack jako modul a zkusit, jestli to bude fungovat. Zkusim jeste zapnout v kernelu CONFIG_NETFILTER_NETLINK_LOG=y.
    stativ avatar 9.6.2008 16:18 stativ | skóre: 54 | blog: SlaNé roury
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Já bych to určitě zkusil. Věci co používám neustále mám v jádře natvrdo zakompilované s výjimkou modulů pro iptables což znamená, že jsem pro to musel nejspíš mít dobrý důvod. Už si nepamatuju jaký, ale taky mi něco nefungovalo.
    Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk
    9.6.2008 10:39 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables

    Ha! Tady doslo ke zmene! V souboru /proc/net/nf_conntrack se nahle objevilo nekolik radku zhruba tehle podoby:

    ipv4 2 tcp 6 431912 ESTABLISHED src=my.beauty.ip.addr dst=86.49.93.28 sport=46541 dport=6667 packets=118 bytes=7137 src=86.49.93.28 dst=and.a.gain.ip sport=6667 dport=46541 packets=114 bytes=13148 [ASSURED] use=1

    U vsech radku je napsano ESTABLISHED, jen u dvou je TIME_WAIT. Ja jsem si rikal, ze ESTABLISHED mi asi funguje, kdyz muzu vesele brouzdat po webu... Jinak bootuju spravny kernel.

    9.6.2008 11:06 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Když se přihlásíte na svůj ftp server (přes vnější veřejnou ip) tak by tam mělo být vidět ESTABLISHED spojení na port 21, podle toho by iptables měly poznat že spojení na port 20 které jde ze serveru, je related ke spojení které je s tím serverem už established. Dobrý nápad je to logování zahozených paketů, osobně mám iptables nastavené tak, že se explicitně povolí rozličné služby, co nepovolí některý z filtrů a je tedy "neočekávané" se zaloguje a zahodí. Postupně na co jsem zapomněl, toho jsem si v logu všimnul a služby přidal. Předpokládám, že to máte nějak podobně, možná si tam přidejte nějaké konkrétní logovací pravidla, třeba že za to INPUT ... RELATED, ESTABLISHED -j ACCEPT si dejte pravidlo které nějak pozná a zaloguje to vaše spojení kterým to testujete (oba porty jsou větší než 1024, případně cílový je v rozmezí nastaveném v ftpd.conf, nebo třeba podle srcip), ať máte jistotu že to datové spojení došlo až tam a nebylo povoleno tím vaším pravidlem pro povolení ESTABLISHED,RELATED.
    9.6.2008 11:08 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Oprava, "spojení na port 20 které jde ze serveru", eh, řešíme pasivní spojení že, čili opravuji na "spojení které jde z klienta nejspíš z portu>1024 na server na nejspíš port>1024 v rozsahu uvedeném v ftpd.conf" :)
    9.6.2008 13:01 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables

    Diky... Ano, ESTABLISHED spojeni na port 21 v souboru nf_conntrack je. Prikazove spojeni funguje naprosto bez problemu.

    Zapnout logovani je urcite dobry napad - pokud pridam pravidlo, ktere zaloguje a zahodi vsechny spojeni na port >1024. Ted mam samozrejme vsechno zahazovane implicitnim pravidlem. Nevite nekdo, jak toto logovani zapnout?

    Jen se bojim, ze v pripadnem logu uvidim presne to, co se da cekat - iptables zakazaly spojeni, protoze jim nedoslo, ze se jedna o RELATED spojeni, ale mysli si, ze je NEW.

    Vsiml jsem si ale, ze v iptables existuji krome match state (RELATED, ESTABLISHED) jeste match conntrack (RELATED, ESTABLISHED). Nevite nekdo, jaky je mezi nimi rozdil? Pro jistotu uvedu cely radek iptables:

    iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    9.6.2008 18:17 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Věci ohledně ftp mám nastavené takto:
    # ftpd chain
    -N S_FTP
    -F S_FTP
    -A S_FTP -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
    # ftpd (passive)
    -A S_FTP -p tcp -m state --state ESTABLISHED,RELATED -m multiport --dports 49152:49162 -j ACCEPT
    
    -------------
    
    # ftpd
    -A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j S_FTP
    # ftpd (passive, data)
    #-A INPUT -p tcp -m state --state NEW -m multiport -m multiport --sports 1024: --dports 49152:49162 -j S_FTP
    -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -m multiport --dports 49152:49162 -j S_FTP
    
    # ftp (pasive, data)
    -A INPUT -p tcp -m state --state ESTABLISHED -m tcp --sport 1024: --dport 1024: -j ACCEPT
    
    -----------------
    
    # ftpd (active, data)
    -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -m tcp --sport 20 --dport 1024: -j ACCEPT
    
    # ftp
    -A OUTPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
    # ftp (active, data)
    -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -m tcp --dport 20 -j ACCEPT
    # ftp (passive, data)
    -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED --sport 1024: --dport 1024: -j ACCEPT
    
    -----------------
    
    #ftpd jsou pravidla týkající se serveru, #ftp týkající se klienta. Filtruji i output, ale to se dá vyhodit.

    Pokud chcete nějakou informaci lognout, tak před to pravidlo napíšete dané pravidlo ještě jednou, pričemž místo
     -j ACCEPT_OR_SO
    dáte

    -j LOG -m limit --limit 1/minute --limit-burst 1 --log-level debug --log-prefix "iptables: ftp: wtf "
    a následovat bude to pravidlo. Pozor, délka textu prefixu je omezená (asi 16 znaků nebo tak nějak, už nevím).

    Pokud si pak dáte tail -f /var/log/messages tak se vám objeví informace že nějaký paket dorazil v iptables až "tam" (jen jeden paket za minutu, ale to lze změnit), případně pokud je těch logů více, tak se vám objeví v pořadí v jakém paket lezl...

    To zakomentované pravidlo (tedy NEW místo RELATED/ESTABLISHED) mi tuším fungovalo právě pro pasivní spojení ještě než jsem tam dal právě conntracking.
    9.6.2008 18:24 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Ten S_FTP chain se jeví nadbytečněj, protože porty a tak jsou i dole, no já tam měl omezení počtu spojení ale to jsem vymazal aby to nemátlo :) Mohl jsem ho už smazat celý -- místé -j S_FTP dát -j ACCEPT a S_FTP chain dát celkově pryč. Ale podstatné je stejně to logování samozř. a to tam je.
    9.6.2008 18:21 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Na konci všeho mám
    # LOG
    
    -A INPUT -m limit --limit 5/minute --limit-burst 5 -j LOG --log-level debug --log-prefix "iptables: undefined input: "
    -A FORWARD -m limit --limit 5/minute --limit-burst 5 -j LOG --log-level debug --log-prefix "iptables: undefined forward: "
    -A OUTPUT -m limit --limit 5/minute --limit-burst 5 -j LOG --log-level debug --log-prefix "iptables: undefined output: "
    
    # input
    #-A INPUT -j REJECT --reject-with icmp-port-unreachable
    #-A INPUT -j DROP
    
    # output
    -A OUTPUT -j ACCEPT
    #-A OUTPUT -j DROP
    
    Přičemž neznámý output explicitně povoluji, neznámý input po lognutí neřeším, protože mám na začátku default policy jako DROP...
    7.6.2008 10:23 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    jeste potrebujes :
    modprobe capability
    Never give up ! Stay ATARI !
    7.6.2008 10:25 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    a samozrejme:
    iptables -A INPUT -i ${WAN} -p tcp --dport 21 -j ACCEPT
    
    Never give up ! Stay ATARI !
    8.6.2008 00:16 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Jak jsem psal, problem je s DATOVYM spojenim. Prikazove spojeni samozrejme projde, takze port 21(respektive jiny) je otevreny a FTP server se se mnou bavi. Prihlasim se, poslu mu prikaz PASV, on mi posle port, ale na ten uz se nepripojim, protoze iptables jej blokuji.
    8.6.2008 10:25 Miška | skóre: 30 | Praha
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Kdyz sem si nastavoval svoje ftp, rek sem ftp serveru, ktery rozsah portu ma pouzivat a ty pak explicitne povolil na firewallu...
    9.6.2008 00:18 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT je obecnější než třeba -A INPUT -m state --state RELATED,ESTABLISHED -m multiport --sports 1024: --dports 65500:65535 -j ACCEPT a než otevření portů bez vazby na conntrack je přecejen lepší ten conntrack rozchodit, on se hodí i pro další nastavení v iptables...
    pavlix avatar 9.6.2008 01:12 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Prikazove spojeni samozrejme projde
    Neviděl bych to jako samozřejmost. Zvlášť pokud se někde vyskytuje NAT.

    Pokud nejde conntrack (nebo je conntrack tabulka prázdná), nebude celkem logicky fungovat nic, co na conntracku závisí. Ještě se docela hodí nechat iptables pakety nejen zahazovat ale i logovat, tím se přijde na další případné probémy (a případné hyby v iptables).

    Ještě je dobré vidět výstup z firewall skriptu s příkazama iptables, jestli některý neselhal. Případně použít přepínač -L.
    9.6.2008 10:45 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables

    NAT se nade mnou nevyskytuje, dokonce mam verejnou IP.

    Prikazove spojeni zkratka projde - ve firewallu je povoleny port 21, a kdyby neproslo, tak uz bych se sel asi obesit...

    Prave me zarazilo, jaktoze mi funguje detekce ESTABLISHED spojeni (muzu brouzdat po webu), kdyz soubor /proc/net/nf_conntrack byl prazdny. Podival jsem se tam znovu, a, jak uz jsem psal drive, ted je v nem nekolik ESTABLISHED spojeni.

    Netusite, kde bych mohl zapnout logovani paketu v iptables? Porad premyslim jeste nad volbou CONFIG_NETFILTER_NETLINK_LOG v kernelu, kterou mam zatim vypnutou.

    iptables -L vypisou presne ta pravidla, ktera bych cekal - tedy povoleny port 21 a RELATED i ESTABLISHED spojeni.

    pavlix avatar 13.6.2008 15:38 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Ty máš vždycky veřejnou IP na serveru i u klienta?
    pavlix avatar 13.6.2008 15:39 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    O logování už tu někdo psal.... prostě než něco zahodíš, tak to loguješ.
    8.6.2008 00:17 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Vzhledem k tomu, ze mam v kernelu temer vsechno, nemam ani tento modul. Co by presne mel delat? Ktera volba jej vyrobi, abych mohl zkontrolovat, jestli jej mam v kernelu? Diky...
    8.6.2008 20:15 Begleiter | skóre: 47 | blog: muj_blog | Doma
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables

    Jenom taková poznámka. Kdysi jsem kompiloval jádro a dal nějakou "věc" přímo do jádra a ona překvapivě nefungovala. Jako modul fungovala v pohodě. :-) Přeju hodně štěstí.

    9.6.2008 00:19 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables
    Ano něco podobného se mi už také stalo (i když možná to bylo obráceně:) ...
    12.6.2008 11:31 Eršin
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables - solved

    Tak, problém je snad vyřešen.

    Samozřejmě byl problém v conntrack - nevěděl jsem, co musím do kernelu zakompilovat, aby fungoval. Jedná se primárně o moduly nf(ip)_conntrack_ftp a nf_nat_ftp. Protože modul nf_conntrack_ftp sleduje spojení implicitně jen na portu 21, je nutné jej zkompilovat jako modul a do /etc/modules.conf(či snad jako parametr jádra) mu předat jako parametr port, na kterém FTP server běží.

    Modul nf_nat_ftp asi potřeba není.

    Díky všem za reakce.

    pavlix avatar 13.6.2008 15:41 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Pasivní FTP neprojde přes iptables - solved
    Aha....

    Ale fuj :).

    Tak hodně štěstí a rychlou cestu ke zbavení se FTP.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.