abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

    včera 15:22 | Nová verze

    Tento týden byla vydána nová verze 1.52 webového prohlížeče Brave (Wikipedie, GitHub). Postavena je na Chromiu 114. Z novinek lze vypíchnout možnost povolit vertikální karty (vertical tabs). Také bylo představeno Brave Search API k vyhledávači Brave Search.

    Ladislav Hagara | Komentářů: 0
    2.6. 19:55 | Komunita

    Matthias Clasen z Red Hatu oznámil v diskusním listu vývojářů Fedora Linuxu, že tým Red Hat Display Systems se zaměří na Wayland a podporu HDR na Linuxu a přestane spravovat RPM balíčky pro LibreOffice. V další major verzi RHELu už LibreOffice nebude. Pokud se nenajde správce balíčků pro Fedora Linux, zůstane pouze LibreOffice ve Flatpaku.

    Ladislav Hagara | Komentářů: 24
    2.6. 17:33 | IT novinky

    Na Steamu lze získat zdarma počítačovou hru Tell Me Why (ProtonDB). Na Epic Games Storu počítačovou hru Midnight Ghost Hunt (ProtonDB).

    Ladislav Hagara | Komentářů: 3
    2.6. 14:11 | IT novinky

    Společnost Meta představila (YouTube) brýle pro virtuální realitu Meta Quest 3. V prodeji budou na podzim a stát budou od 499,99 dolarů.

    Ladislav Hagara | Komentářů: 0
    2.6. 13:44 | Nová verze

    Byla vydána nová verze 2.41.0 distribuovaného systému správy verzí Git. Přispělo 95 vývojářů, z toho 29 nových. Přehled novinek v příspěvku na blogu GitHubu a v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    2.6. 09:00 | Nová verze

    Organizace Apache Software Foundation (ASF) vydala verzi 18 integrovaného vývojového prostředí a vývojové platformy napsané v Javě NetBeans (Wikipedie). Přehled novinek na GitHubu. Instalovat lze také ze Snapcraftu a Flathubu.

    Ladislav Hagara | Komentářů: 0
    2.6. 00:11 | Nová verze

    Byla vydána verze 1.70.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example. Jako reakce na rostoucí obavy z vlivu korporací na vývoj Rustu a předložený návrh restriktivních zásad používání ochranných známek Rustu, byl nedávno představen komunitní fork Rustu se 100 % méně byrokracie: Crab (CrabLang).

    Ladislav Hagara | Komentářů: 8
    1.6. 21:55 | Zajímavý článek

    Oliver Smith z Canonicalu shrnuje základní vlastnosti „neměnné“ distribuce Ubuntu Core také ve srovnání s protějšky Chrome OS, Fedora Silverblue a MicroOS. Canonical připravuje desktopovou variantu Ubuntu Core vedle dosavadní serverové/embedded.

    Fluttershy, yay! | Komentářů: 0
    1.6. 13:33 | Upozornění

    Z aktualizovaného seznamu chyb (pdf) procesoru AMD EPYC 7002: #1474 - procesor se po 1044 dnech od posledního resetu zasekne [reddit].

    Ladislav Hagara | Komentářů: 23
    1.6. 13:00 | Nová verze

    Fossil (Wikipedie) byl vydán ve verzi 2.22. Jedná se o distribuovaný systém správy verzí propojený se správou chyb, wiki stránek a blogů s integrovaným webovým rozhraním. Vše běží z jednoho jediného spustitelného souboru a uloženo je v SQLite databázi.

    Ladislav Hagara | Komentářů: 0
    Twitter (nejen pro příležitostné čtení)
     (86%)
     (3%)
     (11%)
    Celkem 63 hlasů
     Komentářů: 4, poslední včera 21:29
    Rozcestník

    Dotaz: Pasivní FTP - ip_conntrack_ftp nechce fungovat

    18.6.2008 20:03 Jiří J. | skóre: 34 | blog: Poutník | Brno
    Pasivní FTP - ip_conntrack_ftp nechce fungovat
    Přečteno: 1682×
    Zdravím,
    předem bych chtěl říci, že jsem hledal všude možně (i zde - viz. podobný problém), našel spoustu "řešení", ale svůj problém jsem nevyřešil..

    Situace:
    "Internet" <---> router (forwardující porty 13000-14000) <---> server
    
    Používám proftp a v configu mám (mimo jiné)
    Port                            13021
    
    MasqueradeAddress               6.7.8.9
    PassivePorts                    13900 13949
    
    (kde 6.7.8.9 je vnější IP routeru).

    Vše fungovalo v pořádku až do chvíle, kdy jsem se rozhodl server trochu zabezpečit (včetně port knockingu) a nastavil netfilter do přibližně následující podoby:
    # iptables -L -n
    Chain INPUT (policy DROP)
    target     prot opt source               destination         
    ACCEPT     all  --  127.0.0.0/8          127.0.0.0/8         
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
    ANTIFLOOD  all  --  0.0.0.0/0            0.0.0.0/0           
    FTP_KNOCK  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:13021 
    FTP_KNOCK  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpts:13900:13949 
    SSH_KNOCK  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:13022 
    
    Chain FORWARD (policy ACCEPT)
    target     prot opt source               destination         
    
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination         
    
    Chain ANTIFLOOD (1 references)
    target     prot opt source               destination         
    DROP       all  --  0.0.0.0/0            0.0.0.0/0           recent: UPDATE seconds: 1 name: icmp_ping side: source 
    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8 recent: SET name: icmp_ping side: source 
    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:!0x17/0x02 state NEW 
    
    Chain FTP_KNOCK (2 references)
    target     prot opt source               destination         
    ACCEPT     all  --  1.2.3.4              0.0.0.0/0           
    
    Chain SSH_KNOCK (1 references)
    target     prot opt source               destination         
    
    (kde 1.2.3.4 je adresa FTP klienta) a 5. řádek v INPUT je jen pro test (v praxi by neměl být potřeba, pokud bude connection jako RELATED).

    Dle rad Google a zdejších diskuzí jsem jsem zkoušel všemožně rožnit ip_conntrack_ftp / nf_conntrack_ftp, poté i s optionem ports=13021 u modprobe, nic nepomohlo.
    # cat .config |grep FTP
    CONFIG_NF_CONNTRACK_FTP=m
    CONFIG_NF_CONNTRACK_TFTP=m
    CONFIG_NF_NAT_FTP=m
    CONFIG_NF_NAT_TFTP=m
    
    # modprobe ip_nat_ftp
    FATAL: Module ip_nat_ftp not found.
    
    # ls /lib/modules/2.6.24-gentoo-r2/kernel/net/netfilter/ |grep ftp
    nf_conntrack_ftp.ko
    nf_conntrack_tftp.ko
    
    FTP klient:
    $ ftp -v 6.7.8.9 13021
    Connected to dns-name-for-6.7.8.9.
    220 ProFTPD 1.3.1rc2 Server (ProFTPD testftp) [6.7.8.9]
    Name (6.7.8.9:user): user
    331 Password required for user
    Password:
    230 User user logged in
    Remote system type is UNIX.
    Using binary mode to transfer files.
    ftp> passive
    Passive mode on.
    ftp> ls
    227 Entering Passive Mode (1,2,3,4,54,159).
    ftp: connect: Connection timed out
    ftp> 
    
    /proc/net/nf_conntrack:
    ipv4 2 tcp 6 109 SYN_SENT src=192.168.1.1 dst=1.2.3.4 sport=57680 dport=113 packets=3 bytes=180 [UNREPLIED] src=1.2.3.4 dst=192.168.1.1 sport=113 dport=57680 packets=0 bytes=0 mark=0 use=1
    (kde 192.168.1.1 je síťovka samotného routeru).

    Doopravdy nevím, na co jsem zapomněl, je ip_nat_ftp tím kritickým bodem a měl bych zkusit jiné jádro? Anebo proč vlastně ip_conntrack_ftp nehodí spojení do RELATED stavu? Je jen pro aktivní FTP? Není problém právě na routeru? (ip_conntrack_ftp asi netuší, že se klient připojuje na 6.7.8.9 a ne na 192.168.1.1)

    (pokud někdo víte o nějakém zdejším zapadlém threadu, kde je tohle již vyřešeno, prosím o link, při hledání "pasivní ftp" jsem toho moc užitečného nenašel)

    Děkuji.

    Odpovědi

    18.6.2008 20:07 Jiří J. | skóre: 34 | blog: Poutník | Brno
    Rozbalit Rozbalit vše Re: Pasivní FTP - ip_conntrack_ftp nechce fungovat
    ehrm, chyba "maskování":
    227 Entering Passive Mode (1,2,3,4,54,159).
    
    má být samozřejmě
    227 Entering Passive Mode (6,7,8,9,54,159).
    
    18.6.2008 21:10 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Pasivní FTP - ip_conntrack_ftp nechce fungovat
    Předně ten záznam z conntrack tabulky je ident dotaz serveru na klienta. Za další očekáváná datová spojení se nachází v /proc/net/nf_conntrack_expect a nakonec modul s FTP pomocníkem se jmenuje nf_conntrack_ftp, jak jste si vygrepoval, a taky si jej musíte sám natáhnout.
    18.6.2008 21:31 Jiří J. | skóre: 34 | blog: Poutník | Brno
    Rozbalit Rozbalit vše Re: Pasivní FTP - ip_conntrack_ftp nechce fungovat
    Díky.
    Vím, že je to záznam o poslaném SYN packetu klientovi, ale expect byl prázdný (myslím) a řekl bych, že ta část za [UNREPLIED] vypadá na strukturu, kterou conntrack očekává.
    Pri modprobech ip_conntrack_ftp mi to nahrávalo nf_conntrack_ftp, takže jsem z toho vydedukoval alias, ale zkusím jej modprobovat přímo, jakmile se k tomu časově dostanu.
    18.6.2008 22:27 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP - ip_conntrack_ftp nechce fungovat
    Nezkoumám to podrobně, ale možná jestli není problém právě v tom

    ipv4 2 tcp 6 109 SYN_SENT src=192.168.1.1 dst=1.2.3.4 sport=57680 dport=113 packets=3 bytes=180 [UNREPLIED] src=1.2.3.4 dst=192.168.1.1 sport=113 dport=57680 packets=0 bytes=0 mark=0 use=1

    čili jestli vám router nezahazuje pakety směřující ze serveru na klieta:113, které by se měl klient mít šanci odmítnout (reject), nebo by to za něj měl udělat router. Teoreticky by kvůli tomu mohl i úplně vytimeoutovat. Kakžopádně bych zkusil iptables -A INPUT -p udp --dport 113 -j REJECT --reject-with icmp-port-unreachable a nebo povolit na routeru forward i portu 113 na klienta (předpokládám že spojení na server zkoušíte z lokální sítě přes vnější rozhraní routeru).
    18.6.2008 22:34 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP - ip_conntrack_ftp nechce fungovat
    Asi jsem to napsal zmateně, ale zkrátka jestli ze serveru není směrem na klienta otevřená cesta na port 113 o němž se server dozví že tam nic neběží, ale pakety mu místo toho zahodíte (třeba na routeru nebo ve fw klienta) tak to může být problém (server čeká a případně se předčasně ukončí komunikace).
    18.6.2008 22:36 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP - ip_conntrack_ftp nechce fungovat
    Koukám že na tu 113ku směruje tcp, ne udp jak jsem to uvedl ve svém příkladě, čili rejectovat raději všechno :)
    18.6.2008 22:56 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Pasivní FTP - ip_conntrack_ftp nechce fungovat
    Nebo do proftpd.conf IdentLookups off a restart proftpd bude asi nejrychlejší vyzkoušení jestli je to tím.
    19.6.2008 00:12 Jiří J. | skóre: 34 | blog: Poutník | Brno
    Rozbalit Rozbalit vše Re: Pasivní FTP - ip_conntrack_ftp nechce fungovat
    O portu 113 ("auth") vím, hodlám to ošetřit časem s dolazením nastavení firewallu, ale tam asi problém nebude... protože do teď nebyl z routeru 113 forwardovaný a FTP fungovalo .. pokud dám něco jako
    iptables -I INPUT 1 -s 1.2.3.4 -j ACCEPT
    
    tak FTP zase funguje...
    Router není momentálně pod mou plnou kontrolou, ale budu tam snad v brzké době nahazovat nějaké "embedded distro" (asi Slackware) s Webminem (současná krabička již nedostačuje), přesto bych to ale rád vyřešil bez dalších port forwardů.

    IdentLookups direktivu zkusím, díky.
    19.6.2008 00:19 Jiří J. | skóre: 34 | blog: Poutník | Brno
    Rozbalit Rozbalit vše Re: Pasivní FTP - ip_conntrack_ftp nechce fungovat
    IdentLookups funguje ... takže se na FTP server připojím, pokud mu nechám povolené porty 13900 - 13949.
    Už jen nějak donutit nf_conntrack_ftp, aby datová spojení registroval jako RELATED.
    19.6.2008 00:30 Jiří J. | skóre: 34 | blog: Poutník | Brno
    Rozbalit Rozbalit vše Re: Pasivní FTP - ip_conntrack_ftp nechce fungovat
    Basically, ip_conntack_ftp enables your firewall to identify packets relating to ftp, and ip_nat_ftp modifies ftp packets for computers behind a firewall running nat. ip_nat_ftp requires ip_conntrack_ftp to be loaded, so it loads that module automatically for you. Thats why loading either of them works for you. It looks as if you should be able to just load ip_conntrack_ftp to get everything to work, and ignore ip_nat_ftp.

    I hope this helps a bit.

    --James Cooley
    A jelikož v /proc/config.gz podpora pro netfilter-NAT vůbec není a jelikož jsem mezitím provedl make clean, asi brzy naconfiguruji nové jádro i s ip_nat_ftp a uvidím...

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.