abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 17:33 | IT novinky

    Apple oznámil, že iPhone a iPad jako první a jediná zařízení pro koncové uživatele splňují požadavky členských států NATO na zabezpečení informací. Díky tomu je možné je používat pro práci s utajovanými informacemi až do stupně „NATO Restricted“, a to bez nutnosti instalovat speciální software nebo měnit nastavení. Žádné jiné běžně dostupné mobilní zařízení tak vysokou úroveň státní certifikace dosud nezískalo.

    Ladislav Hagara | Komentářů: 11
    včera 13:00 | IT novinky

    Americký provozovatel streamovací platformy Netflix odmítl zvýšit nabídku na převzetí filmových studií a streamovací divize konglomerátu Warner Bros. Discovery (WBD). Netflix to ve čtvrtek oznámil v tiskové zprávě. Jeho krok po několikaměsíčním boji o převzetí otevírá dveře k akvizici WBD mediální skupině Paramount Skydance, a to zhruba za 111 miliard dolarů (2,28 bilionu Kč).

    Ladislav Hagara | Komentářů: 5
    včera 12:44 | IT novinky

    Americká společnosti Apple přesune část výroby svého malého stolního počítače Mac mini z Asie do Spojených států. Výroba v závodě v Houstonu by měla začít ještě v letošním roce, uvedla firma na svém webu. Apple také plánuje rozšířit svůj závod v Houstonu o nové školicí centrum pro pokročilou výrobu. V Houstonu by měly vzniknout tisíce nových pracovních míst.

    Ladislav Hagara | Komentářů: 19
    včera 12:11 | Zajímavý článek

    Vědci Biotechnologické společnosti Cortical Labs vytvořili biopočítač nazvaný CL1, který využívá živé lidské mozkové buňky vypěstované z kmenových buněk na čipu. Po úspěchu se hrou PONG se ho nyní snaží naučit hrát DOOM. Neurony přijímají signály podle toho, co se ve hře děje, a jejich reakce jsou převáděny na akce jako pohyb nebo střelba. V tuto chvíli systém hraje velmi špatně, ale dokáže reagovat, trochu se učit a v reálném čase se hrou

    … více »
    karkar | Komentářů: 8
    včera 01:55 | Nová verze Ladislav Hagara | Komentářů: 0
    26.2. 21:33 | Nová verze

    Ben Sturmfels oznámil vydání MediaGoblinu 0.15.0. Přehled novinek v poznámkách k vydání. MediaGoblin (Wikipedie) je svobodná multimediální publikační platforma a decentralizovaná alternativa ke službám jako Flickr, YouTube, SoundCloud atd. Ukázka například na LibrePlanet.

    Ladislav Hagara | Komentářů: 0
    26.2. 15:44 | Zajímavý software

    TerminalPhone (png) je skript v Bashi pro push-to-talk hlasovou a textovou komunikaci přes Tor využívající .onion adresy.

    Ladislav Hagara | Komentářů: 6
    26.2. 12:22 | IT novinky

    Před dvěma lety zavedli operátoři ochranu proti podvrženým hovorům, kdy volající falšuje čísla anebo se vydává za někoho jiného. Nyní v roce 2026 blokují operátoři díky nasazeným technologiím v průměru 3 miliony pokusů o podvodný hovor měsíčně (tzn., že k propojení na zákazníka vůbec nedojde). Ochrana před tzv. spoofingem je pro zákazníky a zákaznice všech tří operátorů zdarma, ať už jde o mobilní čísla nebo pevné linky.

    Ladislav Hagara | Komentářů: 10
    26.2. 03:44 | Komunita

    Společnost Meta (Facebook) předává React, React Native a související projekty jako JSX nadaci React Foundation patřící pod Linux Foundation. Zakládajícími členy React Foundation jsou Amazon, Callstack, Expo, Huawei, Meta, Microsoft, Software Mansion a Vercel.

    Ladislav Hagara | Komentářů: 3
    26.2. 01:22 | IT novinky

    Samsung na akci Galaxy Unpacked February 2026 (YouTube) představil své nové telefony Galaxy S26, S26+ a S26 Ultra a sluchátka Galaxy Buds4 a Buds4 Pro. Telefon Galaxy S26 Ultra má nový typ displeje (Privacy Display) chránící obsah na obrazovce před zvědavými pohledy (YouTube).

    Ladislav Hagara | Komentářů: 13
    Které desktopové prostředí na Linuxu používáte?
     (17%)
     (6%)
     (0%)
     (11%)
     (27%)
     (2%)
     (5%)
     (2%)
     (13%)
     (26%)
    Celkem 972 hlasů
     Komentářů: 25, poslední 3.2. 19:50
    Rozcestník

    Dotaz: Pasivní FTP - ip_conntrack_ftp nechce fungovat

    18.6.2008 20:03 Jiří J. | skóre: 34 | blog: Poutník | Brno
    Pasivní FTP - ip_conntrack_ftp nechce fungovat
    Přečteno: 1793×
    Zdravím,
    předem bych chtěl říci, že jsem hledal všude možně (i zde - viz. podobný problém), našel spoustu "řešení", ale svůj problém jsem nevyřešil..

    Situace:
    "Internet" <---> router (forwardující porty 13000-14000) <---> server
    
    Používám proftp a v configu mám (mimo jiné)
    Port                            13021
    
    MasqueradeAddress               6.7.8.9
    PassivePorts                    13900 13949
    
    (kde 6.7.8.9 je vnější IP routeru).

    Vše fungovalo v pořádku až do chvíle, kdy jsem se rozhodl server trochu zabezpečit (včetně port knockingu) a nastavil netfilter do přibližně následující podoby:
    # iptables -L -n
    Chain INPUT (policy DROP)
    target     prot opt source               destination         
    ACCEPT     all  --  127.0.0.0/8          127.0.0.0/8         
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
    ANTIFLOOD  all  --  0.0.0.0/0            0.0.0.0/0           
    FTP_KNOCK  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:13021 
    FTP_KNOCK  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpts:13900:13949 
    SSH_KNOCK  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:13022 
    
    Chain FORWARD (policy ACCEPT)
    target     prot opt source               destination         
    
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination         
    
    Chain ANTIFLOOD (1 references)
    target     prot opt source               destination         
    DROP       all  --  0.0.0.0/0            0.0.0.0/0           recent: UPDATE seconds: 1 name: icmp_ping side: source 
    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8 recent: SET name: icmp_ping side: source 
    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:!0x17/0x02 state NEW 
    
    Chain FTP_KNOCK (2 references)
    target     prot opt source               destination         
    ACCEPT     all  --  1.2.3.4              0.0.0.0/0           
    
    Chain SSH_KNOCK (1 references)
    target     prot opt source               destination         
    
    (kde 1.2.3.4 je adresa FTP klienta) a 5. řádek v INPUT je jen pro test (v praxi by neměl být potřeba, pokud bude connection jako RELATED).

    Dle rad Google a zdejších diskuzí jsem jsem zkoušel všemožně rožnit ip_conntrack_ftp / nf_conntrack_ftp, poté i s optionem ports=13021 u modprobe, nic nepomohlo.
    # cat .config |grep FTP
    CONFIG_NF_CONNTRACK_FTP=m
    CONFIG_NF_CONNTRACK_TFTP=m
    CONFIG_NF_NAT_FTP=m
    CONFIG_NF_NAT_TFTP=m
    
    # modprobe ip_nat_ftp
    FATAL: Module ip_nat_ftp not found.
    
    # ls /lib/modules/2.6.24-gentoo-r2/kernel/net/netfilter/ |grep ftp
    nf_conntrack_ftp.ko
    nf_conntrack_tftp.ko
    
    FTP klient:
    $ ftp -v 6.7.8.9 13021
    Connected to dns-name-for-6.7.8.9.
    220 ProFTPD 1.3.1rc2 Server (ProFTPD testftp) [6.7.8.9]
    Name (6.7.8.9:user): user
    331 Password required for user
    Password:
    230 User user logged in
    Remote system type is UNIX.
    Using binary mode to transfer files.
    ftp> passive
    Passive mode on.
    ftp> ls
    227 Entering Passive Mode (1,2,3,4,54,159).
    ftp: connect: Connection timed out
    ftp> 
    
    /proc/net/nf_conntrack:
    ipv4 2 tcp 6 109 SYN_SENT src=192.168.1.1 dst=1.2.3.4 sport=57680 dport=113 packets=3 bytes=180 [UNREPLIED] src=1.2.3.4 dst=192.168.1.1 sport=113 dport=57680 packets=0 bytes=0 mark=0 use=1
    (kde 192.168.1.1 je síťovka samotného routeru).

    Doopravdy nevím, na co jsem zapomněl, je ip_nat_ftp tím kritickým bodem a měl bych zkusit jiné jádro? Anebo proč vlastně ip_conntrack_ftp nehodí spojení do RELATED stavu? Je jen pro aktivní FTP? Není problém právě na routeru? (ip_conntrack_ftp asi netuší, že se klient připojuje na 6.7.8.9 a ne na 192.168.1.1)

    (pokud někdo víte o nějakém zdejším zapadlém threadu, kde je tohle již vyřešeno, prosím o link, při hledání "pasivní ftp" jsem toho moc užitečného nenašel)

    Děkuji.

    Odpovědi

    18.6.2008 20:07 Jiří J. | skóre: 34 | blog: Poutník | Brno
    Rozbalit Rozbalit vše Re: Pasivní FTP - ip_conntrack_ftp nechce fungovat
    ehrm, chyba "maskování":
    227 Entering Passive Mode (1,2,3,4,54,159).
    
    má být samozřejmě
    227 Entering Passive Mode (6,7,8,9,54,159).
    
    18.6.2008 21:10 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Pasivní FTP - ip_conntrack_ftp nechce fungovat
    Předně ten záznam z conntrack tabulky je ident dotaz serveru na klienta. Za další očekáváná datová spojení se nachází v /proc/net/nf_conntrack_expect a nakonec modul s FTP pomocníkem se jmenuje nf_conntrack_ftp, jak jste si vygrepoval, a taky si jej musíte sám natáhnout.
    18.6.2008 21:31 Jiří J. | skóre: 34 | blog: Poutník | Brno
    Rozbalit Rozbalit vše Re: Pasivní FTP - ip_conntrack_ftp nechce fungovat
    Díky.
    Vím, že je to záznam o poslaném SYN packetu klientovi, ale expect byl prázdný (myslím) a řekl bych, že ta část za [UNREPLIED] vypadá na strukturu, kterou conntrack očekává.
    Pri modprobech ip_conntrack_ftp mi to nahrávalo nf_conntrack_ftp, takže jsem z toho vydedukoval alias, ale zkusím jej modprobovat přímo, jakmile se k tomu časově dostanu.
    18.6.2008 22:27 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP - ip_conntrack_ftp nechce fungovat
    Nezkoumám to podrobně, ale možná jestli není problém právě v tom

    ipv4 2 tcp 6 109 SYN_SENT src=192.168.1.1 dst=1.2.3.4 sport=57680 dport=113 packets=3 bytes=180 [UNREPLIED] src=1.2.3.4 dst=192.168.1.1 sport=113 dport=57680 packets=0 bytes=0 mark=0 use=1

    čili jestli vám router nezahazuje pakety směřující ze serveru na klieta:113, které by se měl klient mít šanci odmítnout (reject), nebo by to za něj měl udělat router. Teoreticky by kvůli tomu mohl i úplně vytimeoutovat. Kakžopádně bych zkusil iptables -A INPUT -p udp --dport 113 -j REJECT --reject-with icmp-port-unreachable a nebo povolit na routeru forward i portu 113 na klienta (předpokládám že spojení na server zkoušíte z lokální sítě přes vnější rozhraní routeru).
    18.6.2008 22:34 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP - ip_conntrack_ftp nechce fungovat
    Asi jsem to napsal zmateně, ale zkrátka jestli ze serveru není směrem na klienta otevřená cesta na port 113 o němž se server dozví že tam nic neběží, ale pakety mu místo toho zahodíte (třeba na routeru nebo ve fw klienta) tak to může být problém (server čeká a případně se předčasně ukončí komunikace).
    18.6.2008 22:36 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP - ip_conntrack_ftp nechce fungovat
    Koukám že na tu 113ku směruje tcp, ne udp jak jsem to uvedl ve svém příkladě, čili rejectovat raději všechno :)
    18.6.2008 22:56 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP - ip_conntrack_ftp nechce fungovat
    Nebo do proftpd.conf IdentLookups off a restart proftpd bude asi nejrychlejší vyzkoušení jestli je to tím.
    19.6.2008 00:12 Jiří J. | skóre: 34 | blog: Poutník | Brno
    Rozbalit Rozbalit vše Re: Pasivní FTP - ip_conntrack_ftp nechce fungovat
    O portu 113 ("auth") vím, hodlám to ošetřit časem s dolazením nastavení firewallu, ale tam asi problém nebude... protože do teď nebyl z routeru 113 forwardovaný a FTP fungovalo .. pokud dám něco jako
    iptables -I INPUT 1 -s 1.2.3.4 -j ACCEPT
    
    tak FTP zase funguje...
    Router není momentálně pod mou plnou kontrolou, ale budu tam snad v brzké době nahazovat nějaké "embedded distro" (asi Slackware) s Webminem (současná krabička již nedostačuje), přesto bych to ale rád vyřešil bez dalších port forwardů.

    IdentLookups direktivu zkusím, díky.
    19.6.2008 00:19 Jiří J. | skóre: 34 | blog: Poutník | Brno
    Rozbalit Rozbalit vše Re: Pasivní FTP - ip_conntrack_ftp nechce fungovat
    IdentLookups funguje ... takže se na FTP server připojím, pokud mu nechám povolené porty 13900 - 13949.
    Už jen nějak donutit nf_conntrack_ftp, aby datová spojení registroval jako RELATED.
    19.6.2008 00:30 Jiří J. | skóre: 34 | blog: Poutník | Brno
    Rozbalit Rozbalit vše Re: Pasivní FTP - ip_conntrack_ftp nechce fungovat
    Basically, ip_conntack_ftp enables your firewall to identify packets relating to ftp, and ip_nat_ftp modifies ftp packets for computers behind a firewall running nat. ip_nat_ftp requires ip_conntrack_ftp to be loaded, so it loads that module automatically for you. Thats why loading either of them works for you. It looks as if you should be able to just load ip_conntrack_ftp to get everything to work, and ignore ip_nat_ftp.

    I hope this helps a bit.

    --James Cooley
    A jelikož v /proc/config.gz podpora pro netfilter-NAT vůbec není a jelikož jsem mezitím provedl make clean, asi brzy naconfiguruji nové jádro i s ip_nat_ftp a uvidím...

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.