abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 17:50 | Komunita

Nadace The Document Foundation (TDF) zastřešující vývoj svobodného kancelářského balíku LibreOffice slaví 5 let od svého oficiálního vzniku. Nadace byla představena 28. září 2010. Formálně byla založena ale až 17. února 2012.

Ladislav Hagara | Komentářů: 0
dnes 12:50 | Komunita

Mozilla.cz informuje, že dosud experimentální funkce Page Shot z programu Firefox Test Pilot (zprávička) se stane součástí Firefoxu. Page Shot je nástroj pro vytváření snímků webových stránek. Umí výběr oblasti, prvku stránky (např. odstavce), nebo uložení snímku celé stránky. Snímky lze ukládat na disk nebo nahrávat na server Mozilly. Nedávno bylo oznámeno, že se součástí Firefoxu stane Activity Stream.

Ladislav Hagara | Komentářů: 2
dnes 04:10 | Nová verze

Po 10 týdnech vývoje od vydání Linuxu 4.9 (zprávička) oznámil Linus Torvalds, mj. již 20 let žijící v USA, vydání Linuxu 4.10 (LKML). Přehled nových vlastností a vylepšení například na Kernel Newbies a v Jaderných novinách (1, 2 a 3). Kódové jméno Linuxu 4.10 je Fearless Coyote.

Ladislav Hagara | Komentářů: 1
včera 15:55 | Zajímavý projekt

Vyzkoušet si příkazy a vyřešit několik úkolů lze na stránkách Commandline Challenge (CMD Challenge). Úkoly lze řešit různými způsoby, důležitý je výsledek. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

Ladislav Hagara | Komentářů: 16
18.2. 17:35 | Bezpečnostní upozornění

Německá Bundesnetzagentur (obdoba českého ČTU) zakázala na německém území prodej panenky Cayla kvůli „špionáži“ dětí. Tato elektronická hračka obsahuje mikrofon, reproduktor a kameru a bezdrátové komunikační rozhraní, pomocí kterého se hračka připojuje na servery výrobce. Takovýmto způsobem může hračka pomocí umělé inteligence „odpovídat“ na dotazy dítěte. Hlavní problém bude ale asi někde jinde, podle prvotních zpráv může

… více »
Petr Tomášek | Komentářů: 28
17.2. 15:30 | Bezpečnostní upozornění

CSIRT.CZ upozorňuje, že bezpečnostní experti objevili nový typ malwaru, jenž cílí na open source e-commerce platformu Magento. Malware je zajímavý tím, že se jedná o první svého druhu, jehož kód zůstává skrytý v SQL databázi zasaženého e-shopu. Škodlivý kód je volán pomocí tzv. SQL trigerru, který je spouštěn při každém vytvoření objednávky v systému.

Ladislav Hagara | Komentářů: 3
17.2. 09:00 | Nová verze

Bylo vydáno Ubuntu 16.04.2 LTS, tj. druhé opravné vydání Ubuntu 16.04 LTS s kódovým názvem Xenial Xerus. Přehled novinek v poznámkách k vydání a v přehledu změn.

Ladislav Hagara | Komentářů: 56
17.2. 06:00 | Zajímavý článek

Pavel Tišnovský se v dvoudílném článku na MojeFedora.cz věnuje tvorbě pluginů (modulů) pro bitmapový grafický editor GIMP. Pomocí pluginů lze GIMP rozšiřovat o další funkce. Implementovat lze například nové filtry nebo pomocné utility pro tvorbu animací či poloautomatickou retuš snímků.

Ladislav Hagara | Komentářů: 6
16.2. 23:32 | Komunita

Do 30. března se lze přihlásit do dalšího kola programu Outreachy, jehož cílem je přitáhnout do světa svobodného a otevřeného softwaru lidi ze skupin, jež jsou ve světě svobodného a otevřeného softwaru málo zastoupeny. Za 3 měsíce práce, od 30. května do 30. srpna 2017, v participujících organizacích lze vydělat 5 500 USD. Jedná se již o 14. kolo tohoto programu.

Ladislav Hagara | Komentářů: 11
16.2. 23:13 | Nová verze

Byla vydána verze 0.92.1 svobodného multiplatformního vektorového grafického editoru Inkscape. Přehled novinek v poznámkách k vydání. Řešen je mimo jiné problém s verzí 0.92, jež rozbíjí dokumenty vytvořené v předchozích verzích Inkscape. Více v příspěvku na blogu Davida Revoye, autora open source webového komiksu Pepper&Carrot nebo portrétu GNU/Linuxu.

Ladislav Hagara | Komentářů: 0
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (13%)
 (2%)
 (72%)
 (3%)
 (10%)
Celkem 666 hlasů
 Komentářů: 53, poslední dnes 18:38
Rozcestník
Reklama

Dotaz: iptables a explicitní FTP přes TLS

8.2.2016 08:21 bobo
iptables a explicitní FTP přes TLS
Přečteno: 219×

pokouším se o spojení na FTP ale spojení proběhne následovně:

Připojení navázáno, čekání na uvítací zprávu...

Stav: Inicializace TLS... Stav: Ověřování certifikátu...

Stav: TLS připojení navázáno.

Stav: Logged in

Stav: Načítání výpisu složky...

Chyba: Nezdařilo se získat výpis složky

potom vyprší časový limit a spojení je ukončeno, pokud použiji nešifrované spojení tak se naváže normálně

iptables:

-A FORWARD -s 192.168.0.1 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A FORWARD -s 192.168.0.1 -p tcp -m tcp --dport 21 -j ACCEPT

povolené moduly v iptables-config: IPTABLES_MODULES="ip_conntrack_ftp" IPTABLES_MODULES="ip_nat_ftp"

nevíte někdo kde dělám chybu?


Řešení dotazu:


Odpovědi

Jendа avatar 8.2.2016 08:52 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: iptables a explicitní FTP přes TLS
Nepřiložil jsi packet capture spojení a dump FTP příkazů. Z nich by problém měl být zjevný (klient snaží navázat další TCP spojení na nový port, ale forwardující počítač o tom nemůže vědět, protože je spojení šifrováno).
Vox agroferti, vox Dei.
8.2.2016 09:08 bobo
Rozbalit Rozbalit vše Re: iptables a explicitní FTP přes TLS
asi jem trochu natvrdlý ale nevím jak získat paket capture spojeni a dump FTP příkazů - mohl by jsi mě trochu navést?
Jendа avatar 8.2.2016 09:31 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: iptables a explicitní FTP přes TLS
asi jem trochu natvrdlý ale nevím jak získat paket capture spojeni
tcpdump
a dump FTP příkazů
Použitím FTP klienta, který je vypisuje (řádkové FTP, filezilla…)
Vox agroferti, vox Dei.
8.2.2016 08:55 NN
Rozbalit Rozbalit vše Re: iptables a explicitní FTP přes TLS
Řešení 1× (fish)
8.2.2016 09:00 j
Rozbalit Rozbalit vše Re: iptables a explicitní FTP přes TLS
Mam ti cece takovej divnej pocit ... ze sifrovany ftp jaksi pres NAT nedostanes, kupodivu prave proto, ze je sifrovany, a tudiz ten modul jaksi nema kde vzit tu IP adresu, kterou vysava prave z toho nesifrovanyho spojeni.

Takze, pokud mas za tim NATem server, musis mu nastavit rozsah portu ktery smi pouzivat a vsechny tyhle porty forwardnout. Pokud je to klient, tak samo musi bezet v pasivnim rezimu. Ten modul muzes vyhodit, je ti knicemu.

A jestly ty IP minis jako priklad, tak i ten priklad mas blbe.
8.2.2016 09:23 bobo
Rozbalit Rozbalit vše Re: iptables a explicitní FTP přes TLS
pokud upravím pravidlo na:

-A FORWARD -s 192.168.0.1 -p tcp -m tcp --dport 1024:65535 -j ACCEPT

tak se spojení naváže ale nevím jestli je to dobré z hlediska bezpečnosti
Jendа avatar 8.2.2016 09:32 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: iptables a explicitní FTP přes TLS
Pokud ti tam neposlouchá žádná služba, kterou potřebuješ firewallem chránit (což je až na některé speciální případy problém sám o sobě), tak ne.
Vox agroferti, vox Dei.
8.2.2016 10:17 fish | skóre: 22
Rozbalit Rozbalit vše Re: iptables a explicitní FTP přes TLS
Pro klid duse si ten rozsah portu muzes zmensit, podle ocekavaneho poctu klientu. Snad vsechny bezne ftp servery umoznuji nastavit rozsah portu pro pasivni spojeni - vsftpd napriklad pasv_min_port a pasv_max_port.
8.2.2016 15:50 Filip Jirsák
Rozbalit Rozbalit vše Re: iptables a explicitní FTP přes TLS
Z hlediska bezpečnosti musíte přesně vědět, která pravidla firewallu tam proč máte a čemu mají bránit. Pokud to nevíte, firewall je zbytečný, protože vám stejně bude komunikaci propouštět nebo blokovat víceméně náhodně. Normálně na počítači nepotřebujete žádný firewall, cpát firewally všude je zlozvyk z Windows, kde dříve ve výchozím nastavení běžela spousta děravých služeb, takže firewall byla jediná možnost, jak to aspoň trochu zabezpečit.
8.2.2016 10:18 Filip Jirsák
Rozbalit Rozbalit vše Re: iptables a explicitní FTP přes TLS
Používáte u FTP pasivní režim? Výpis složky se myslím přenáší datovým spojením, a to se u klasického FTP navazuje ze serveru na klienta. Když použijete pasivní režim, navazuje se i datové spojení směrem z klienta na server. Aktivní FTP potřebuje v případě NATu podporu na straně NATu (musí správně upravit i obsah FTP komunikace, ve které se přenášejí IP adresy). Když je spojení šifrované, NAT dovnitř nevidí ani to nemůže modifikovat, takže lze použít jedině pasivní FTP.
8.2.2016 11:15 bobo
Rozbalit Rozbalit vše Re: iptables a explicitní FTP přes TLS
používám pasivní režim a je to komunikace z clienta na vzdálený FTP server
8.2.2016 15:47 Filip Jirsák
Rozbalit Rozbalit vše Re: iptables a explicitní FTP přes TLS
Teď koukám, že tam máte omezení na port 21. To je problém, v pasivním režimu se datové spojení na server nenavazuje na port 21, ale na libovolný port určený serverem. Potřebujete tedy nechat na firewallu povolený přístup na libovolný port toho serveru.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.