Portál AbcLinuxu, 20. června 2025 23:22


Dotaz: Problem s ftp v iptables

25.7.2007 15:44 Mirekh
Problem s ftp v iptables
Přečteno: 1045×
Odpovědět | Admin
DD

Na debian routeru se snazim omezit (pomoci qouta) mnozstvi dat, ktera se mohou stahnout pres ftp. Ale nejak se mi nedari. Proste dejme tomu ze chci povolit jen 50 MB stahnute pres ftp.

Mam 2 rozhrani - vnitrni eth1 - vnejsi eth0 a pouzivam PAT

iptables -A FORWARD -i eth1 -j ACCEPT

iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE

- timto se kazde PC z vntrni site dostane na internet (OK)

Problem je v tom, ze ted nedokazu napsat pravidlo aby se mi matchovali ftp-data pakety stahovane do vnitrni site. Jde mi jen o pruchozi provoz (Forward) ne o INPUT ci OUTPUT.

Kdyz pridam napr.

iptables -I FORWARD -p tcp --dport ftp-data -m quota --quota 50000000 -j ACCEPT

nebo

iptables -I FORWARD -p tcp --sport ftp-data -m quota --quota 50000000 -j ACCEPT

zadne matche nedostavam (PC stahuje pres ftp, ale quota se nesnizuje). Samozrejme, ze kdyz tam necham jen -p tcp tak to funguje, ale tim se pak neomezuji pouze na ftp.

Zkousim to s ftp servrem v pasivnim rezimu.

Zrejme to bude souviset s problematikou stavoveho firewall.

Muze mi nekdo poradit, jak ve forward chainu rozeznat ftp-data provoz ?

Dekuji.
Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

25.7.2007 16:02 outsider
Rozbalit Rozbalit vše Re: Problem s ftp v iptables
Odpovědět | | Sbalit | Link | Blokovat | Admin
Podle --dport nebo --sport normalne FTP datovy provoz u pasivniho FTP serveru nepoznate.

Nejjednodussi cesta je resit aplikacni protokoly (FTP, HTTP) na aplikacni urovni a pouzit proxy...
25.7.2007 16:10 outsider
Rozbalit Rozbalit vše Re: Problem s ftp v iptables
Odpovědět | | Sbalit | Link | Blokovat | Admin
Jinak prvni paket toho nove otevreneho datoveho FTP spojeni poznate tak, ze je ve stavu RELATED (pokud je zaveden modul ip_conntrack_ftp)...

http://iptables-tutorial.frozentux.net/iptables-tutorial.html#COMPLEXPROTOCOLS
25.7.2007 19:06 Mirekh
Rozbalit Rozbalit vše Re: Problem s ftp v iptables
OK

Dekuji za odpoved. Podivam se ...
25.7.2007 21:47 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Problem s ftp v iptables
Pros omezujes FTP na iPtables ??? Kdyz kazdy normalni ftp server (proftpd, vsftpd) ma omezovani primo v sobe a funguje to skvele ? Nebylo by to jednodussi ?
Never give up ! Stay ATARI !
25.7.2007 21:48 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Problem s ftp v iptables
ftp-data provoz bezi na portu 20 defaultne. Zkus omezit ten, kdyz to chces honit pres to iptables.
Never give up ! Stay ATARI !
26.7.2007 09:26 Mirekh
Rozbalit Rozbalit vše Re: Problem s ftp v iptables
Asi malo chapes. Ja nechci omezovat data, ktere jdou z/do meho ftp serveru.

Chci omezit obecne ftp, ktere leze pres router z Internetu. Jako by treba chtel nekdo omezovat jine protokoly (smtp, http....-to je jednoduche), tak ja chci ftp. Bohuzel problem je, ze se ftp tezko detekuje, zvlaste pokud se jedna o pasivni rezim.

Nejde mi vylozene o omezovani ftp - nakonec je jedno co udelam s timto provozem (jestli budu zahazovat, nebo snizovat rychlost - to je druha vec.) Co chci je detekce ftp-provozu (aktivni i pasivniho), ktery leze pres router -jen radek prikazu v iptables - nic vic - iptables to neumi ?
26.7.2007 09:30 Mirekh
Rozbalit Rozbalit vše Re: Problem s ftp v iptables
S tim 20 portem bych si nebyl moc jisty - mozna, pokud se jedna o aktivni FTP. Pokud se jedna o pasivni ftp, tak se mozna budes divit na jakych portech se data prenaseji. Ale tyto rozdily znam.

Bohuzel nevim jak pasivni FTP napsat do stavoveho firewal iptables.
26.7.2007 09:47 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Problem s ftp v iptables
Ano jestli se jedna o pasivni lita to vsude. To vim , ale myslel jsem, ze to zacina u prtu 20 - nezacina. Tak zkus vygoogkiva na jakem rozmezi portu se pasiv pohybuje s zkrouhni vsechny ty porty, tim nic nezkazis a ten rozsah bude pevne dany.
Never give up ! Stay ATARI !
26.7.2007 09:48 outsider
Rozbalit Rozbalit vše Re: Problem s ftp v iptables
Bohuzel nevim jak pasivni FTP napsat do stavoveho firewal iptables.
Je to popsane v tom odkazu vyse (tj. pozna se to podle stavu RELATED u prvniho paketu).

IMHO ale neni zadny duvod (krome connection trackingu, teda :-) ), aby paketovy filtr umel rozpoznavat aplikacni protokoly (jako je napr. FTP)...
26.7.2007 09:53 outsider
Rozbalit Rozbalit vše Re: Problem s ftp v iptables
Ale abych uplne nekecal, ze to nejde, tak iptables to umi s l7 patchem...

http://l7-filter.sourceforge.net/
26.7.2007 09:59 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Problem s ftp v iptables
Ten zapis s tou quota je spravne ? Zkousels ho na jinem portu ? Jestli je spravne (tento patch zase neznm ja) tak na FTP to bude to same, jen tam nastavis rozsach portu. 
-p tcp --dport 1000:20000
Never give up ! Stay ATARI !
26.7.2007 10:05 Mirekh
Rozbalit Rozbalit vše Re: Problem s ftp v iptables
Na ten odkaz jsem se dival - je to dobre.

Akorat ze mi to nejak nejde. Schvalne jsem si zkousel odchytnout pasivni ftp. Komunikace na ridicim kanalu probiha na portu 21, vcetne dohody na PASV a pak to bezi na vysokych portech.

Zkousel jsem pridat

iptables -A Forward -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT

i

iptables -A FORWARD -p tcp --dport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT

ale zadne matche nemam (krome uvodni komunikace ktera vezma nekolik kB) - vlastni data se nematchuji. Mozna delam neco spatne.

Vim, ze paketovy filtr nezvladne rozlisovat aplikacni protokoly, ale u stavoveho bych to cekal. V iptables nemam problem s filtrovani p2p (to je take aplikacni protokol - lita take na ruznych portech), protoze mam nahrany modul ipp2p.

Obdobne bych to cekal u ftp, kdyz mam zavedeny modul ip_conntrack_ftp. Mozna ze to jde, akorat nevim jak.

Samozrejme bych mohl dat iptables -A FORWARD -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT

- pak to machuje ftp-data ale take do toho spadnou i treba p2p pakety. Nechci si vymyslet, ale ftp bych rekl ze je celkem bezny aplikacni protokol
26.7.2007 10:12 outsider
Rozbalit Rozbalit vše Re: Problem s ftp v iptables
1. Povazuju to za "ideologicky spatne" reseni, nekde na levelu 3&4 filtrovat level 7 :-)

2. Jde to tim l7 filterem vyse (i kdyz nepouzivam, ale verim ze to funguje)
26.7.2007 10:49 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Problem s ftp v iptables
Nevim, pripada mi to cele slozite a jeste "patchovane" jadro, tose mi nelibi... To mi pripada lepsi pouzit HTB nebo CBQ ... Vic asi nepomuzu, musel bych vyukouset ten patch. Necmene, jestli to chapu spravne, trapi te ted hlavne to FTP, ale to se da samozrejme hlidat primo preve tim FTP serverem a funguje to spolehlive. NEmusis se takto trapit.
Never give up ! Stay ATARI !
26.7.2007 11:42 Mirekh
Rozbalit Rozbalit vše Re: Problem s ftp v iptables
Dobre, ale kdo tady mluvi o mem ftp serveru. Proste mam uzivatele, kteri maji pristup na Internet a krome toho stahuji (nebo odesilaji) data pres ftp. Ale z jakych ftp serveru stahuji ( treba i z japonskych... nevim ) to nemohu vedet a uz vubec asi k nim nebudu mit pristup, abych si nastavoval quotyci neco podobneho..

Dulezite je, ze jiz jsem schopen detekovat tento provoz a tim padem si s tim mohu delat co chci
26.7.2007 12:23 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Problem s ftp v iptables
Jo sorry, to jsem porad nejak mimo .. jasne. Uplnej debil....
Never give up ! Stay ATARI !
26.7.2007 11:01 Mirekh
Rozbalit Rozbalit vše Re: Problem s ftp v iptables
s l7-filtrem to funguje v pohode, aspon pasivni ftp, aktivni nejspis pujde take.

Dobre, takze na aplikacni protokoly budu pouzivat l7-filtr.

Diky

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.