abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 19:33 | Bezpečnostní upozornění

    Training Solo (Paper, GitHub) je nejnovější bezpečnostní problém procesorů Intel s eIBRS a některých procesorů ARM. Intel vydal opravnou verzi 20250512 mikrokódů pro své procesory.

    Ladislav Hagara | Komentářů: 0
    včera 11:44 | Nová verze

    Byla vydána nová verze 25.05.11 svobodného multiplatformního video editoru Shotcut (Wikipedie) postaveného nad multimediálním frameworkem MLT. Nejnovější Shotcut je již vedle zdrojových kódů k dispozici také ve formátech AppImage, Flatpak a Snap.

    Ladislav Hagara | Komentářů: 0
    včera 11:11 | Nová verze

    Svobodný elektronický platební systém GNU Taler (Wikipedie, cgit) byl vydán ve verzi 1.0. GNU Taler chrání soukromí plátců a zároveň zajišťuje, aby byl příjem viditelný pro úřady. S vydáním verze 1.0 byl systém spuštěn ve Švýcarsku.

    Ladislav Hagara | Komentářů: 5
    včera 00:55 | Pozvánky

    Spolek OpenAlt zve příznivce otevřených řešení a přístupu na 209. brněnský sraz, který proběhne tento pátek 16. května od 18:00 ve studentském klubu U Kachničky na Fakultě informačních technologií Vysokého učení technického na adrese Božetěchova 2/1. Jelikož se Brno stalo jedním z hlavních míst, kde se vyvíjí open source knihovna OpenSSL, tentokrát se OpenAlt komunita potká s komunitou OpenSSL. V rámci srazu Anton Arapov z OpenSSL

    … více »
    Ladislav Hagara | Komentářů: 0
    včera 00:22 | Komunita

    GNOME Foundation má nového výkonného ředitele. Po deseti měsících skončil dočasný výkonný ředitel Richard Littauer. Vedení nadace převzal Steven Deobald.

    Ladislav Hagara | Komentářů: 4
    10.5. 15:00 | Zajímavý článek

    Byl publikován přehled vývoje renderovacího jádra webového prohlížeče Servo (Wikipedie) za uplynulé dva měsíce. Servo zvládne už i Gmail. Zakázány jsou příspěvky generované pomocí AI.

    Ladislav Hagara | Komentářů: 23
    9.5. 17:22 | Nová verze

    Raspberry Pi Connect, tj. oficiální služba Raspberry Pi pro vzdálený přístup k jednodeskovým počítačům Raspberry Pi z webového prohlížeče, byla vydána v nové verzi 2.5. Nejedná se už o beta verzi.

    Ladislav Hagara | Komentářů: 6
    9.5. 15:22 | Komunita

    Google zveřejnil seznam 1272 projektů (vývojářů) od 185 organizací přijatých do letošního, již jednadvacátého, Google Summer of Code. Plánovaným vylepšením v grafických a multimediálních aplikacích se věnuje článek na Libre Arts.

    Ladislav Hagara | Komentářů: 0
    8.5. 19:22 | Nová verze

    Byla vydána (𝕏) dubnová aktualizace aneb nová verze 1.100 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.100 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

    Ladislav Hagara | Komentářů: 0
    8.5. 18:00 | Nová verze

    Open source platforma Home Assistant (Demo, GitHub, Wikipedie) pro monitorování a řízení inteligentní domácnosti byla vydána v nové verzi 2025.5.

    Ladislav Hagara | Komentářů: 0
    Jaký filesystém primárně používáte?
     (57%)
     (1%)
     (8%)
     (22%)
     (4%)
     (2%)
     (3%)
     (1%)
     (1%)
     (3%)
    Celkem 595 hlasů
     Komentářů: 26, poslední 8.5. 09:58
    Rozcestník

    Dotaz: Jak nastavit firewall pro pasivni FTP

    20.11.2014 10:50 slackware
    Jak nastavit firewall pro pasivni FTP
    Přečteno: 416×
    Preji pekny den vespolek, mam na serveru (centos) pasivni ftp (pureftp). Peru se s nastavenim stavoveho firewallu. Pokud mam zadano pro prichozi pripojeni jednoduse:
    
    iptables -A INPUT -p tcp -m tcp --dport 30000:50000 -m comment --comment "pasive ftp" -j ACCEPT 
    iptables -A INPUT -p tcp -m tcp --dport 21 -m state --state NEW -m comment --comment "ftp" -j ACCEPT 
    
    
    Tak vsechno funguje.
    Jenze prvni pravidlo se mi nelibi a chtel bych, aby komunikace, ktera se realizuje po autorizaci probihala ve firewallu jako neco co souvisi s jiz navazanym autorizovanym spojenim (ESTABLISHED, RELATED). Takze sem se snazil pomoci ruznych vychytavek (-m helper) co sem vygooglil nejak rozchodi a bohuzel. Zkousel jsem ruzne kombinace NEW, ESTABLISHED, RELATED - a nic. Proste porad jsem nenasel nahradu za prvni radek firewallu, ktery plosne povoluje pristup na rozsah portu. Modul nf_conntrack_ftp mam zaveden.
    Nejaky napad?

    Řešení dotazu:


    Odpovědi

    20.11.2014 11:22 GeorgeWH | skóre: 42
    Rozbalit Rozbalit vše Re: Jak nastavit firewall pro pasivni FTP
    20.11.2014 12:03 slackware
    Rozbalit Rozbalit vše Re: Jak nastavit firewall pro pasivni FTP
    Tento navod jsem zkousel bohuzel CentOS v6.5. Vsimni si pise ze mu pomoho pridani NEW spojeni a v tomto radku
     -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 20:65535 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT 
    povoluje vsechna spojeni tzn i nova na porty 20: dela to co ja ve zminenem (pominu-li jine rozsahy)
    iptables -A INPUT -p tcp -m tcp --dport 30000:50000 -m comment --comment "pasive ftp" -j ACCEPT 
    tim chci rict ze pravidlo nevychazi z predpokladu aplikuju se az je spojeni navazano. resenim by bylo kdyby toto pravidlo bylo bez NEW. Jenze v tom pripade nefunguje a spojeni se navaze-neprijimaji se vsak data.
    20.11.2014 15:38 GeorgeWH | skóre: 42
    Rozbalit Rozbalit vše Re: Jak nastavit firewall pro pasivni FTP
    skusil som to na cistej instalaciu ubuntu 12.04.5 a fungovalo mi to:
    modprobe nf_conntrack_ftp
    
    iptables -F
    
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT
    
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    iptables -A INPUT -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
    bez modulu nf_conntrack_ftp to neslo...
    20.11.2014 14:33 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: Jak nastavit firewall pro pasivni FTP
    Nějak mě nenapadá proč to děláš složitější a složitější?

    Já mám v firewallu:
    $IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 21 -j ACCEPT  #FTP server
    A tím to hasne.

    Samozřejmě jsou povolená navázaná spojení.
    # Pakety od navazanych spojeni jsou v poradku
    $IPTABLES -A INPUT -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
    20.11.2014 14:52 slackware
    Rozbalit Rozbalit vše Re: Jak nastavit firewall pro pasivni FTP
    V pripade active ftp nemam namitek. Ale toto ti vazne funguje na passive ftp? Pred nasazenim passive jsem mel active a tam tato kombinace pravidel sla bez problemu, ale po nasazeni passive nee (coz si myslim je zrejme uz z rozdilnosti active/passive). Proto se pidim po reseni.
    20.11.2014 15:01 NN
    Rozbalit Rozbalit vše Re: Jak nastavit firewall pro pasivni FTP
    Mas zapnuty i nf_conntrack jako takovy?
    21.11.2014 11:53 Sten
    Rozbalit Rozbalit vše Re: Jak nastavit firewall pro pasivni FTP
    Asi tam nemáte nf_conntrack_ftp, který označuje datová spojení jako RELATED, ale samozřejmě to funguje jen pro nešifrovaná spojení.
    21.11.2014 09:24 R
    Rozbalit Rozbalit vše Re: Jak nastavit firewall pro pasivni FTP
    Najlepsie riesenie je zrusit FTP. Ked sa niekde tento protokol vyskytuje, tak je to indikacia, ze tam budu problemy.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.