abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 13:00 | IT novinky

    Jednodeskový počítač Raspberry Pi slaví 12 let. Prodej byl spuštěn 29. února 2012 (Wikipedie, 𝕏).

    Ladislav Hagara | Komentářů: 5
    včera 12:00 | Nová verze

    Byla vydána verze 3.2 multiplatformního integrovaného vývojového prostředí (IDE) pro rychlý vývoj aplikaci (RAD) ve Free Pascalu Lazarus (Wikipedie). Přehled novinek v poznámkách k vydání. Využíván je Free Pascal Compiler (FPC) 3.2.2.

    Ladislav Hagara | Komentářů: 0
    včera 11:44 | Nová verze

    Byla vydána nová verze 1.6.0 grafického správce diskových oddílů GParted (GNOME Partition Editor) a také verze 1.6.0 živé distribuce GParted Live, která obsahuje tohoto správce a další nástroje pro zálohování či obnovu dat. Linux byl povýšen na verzi 6.6.15-2.

    Ladislav Hagara | Komentářů: 1
    včera 06:00 | Nová verze Ladislav Hagara | Komentářů: 0
    28.2. 22:44 | Nová verze

    Byla vydána (𝕏) únorová aktualizace aneb nová verze 1.87 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a animovanými gify v poznámkách k vydání. Ve verzi 1.87 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

    Ladislav Hagara | Komentářů: 10
    28.2. 22:11 | Nová verze

    Byla vydána (Mastodon, 𝕏) nová verze 2024.1 linuxové distribuce navržené pro digitální forenzní analýzu a penetrační testování Kali Linux (Wikipedie). Přehled novinek se seznamem nových nástrojů v oficiálním oznámení.

    Ladislav Hagara | Komentářů: 0
    28.2. 18:44 | Zajímavý software

    Společnost Cloudflare pod licencí Apache 2.0 uvolnila zdrojové kódy svého frameworku Pingora napsaného v Rustu pro vytváření rychlých, spolehlivých a programovatelných síťových systémů.

    Ladislav Hagara | Komentářů: 0
    28.2. 16:55 | IT novinky

    Účet za cloudové služby může nepříjemně překvapit. Například místo obvyklých 0 dolarů se ve vyúčtování může objevit 104 500 dolarů. Uživatel si u Netlify hostoval jednoduchý web a 4 roky nemusel nic platit. Měsíčně se nikdy nepřeneslo více než 10 GB dat. V únoru se to ale změnilo. Během několika dnů to jenom na jedné písničce v mp3 udělalo 164 TB a za každých 100 GB navíc by měl uživatel platit 55 dolarů. V rámci reklamace byla cena snížena na 5 225

    … více »
    Ladislav Hagara | Komentářů: 4
    28.2. 12:44 | Nová verze

    Komunita KDE s hrdostí uvádí Plasma 6, Frameworks 6 a Gear 24.02 postavené na Qt 6. Předchozí velké vydání 5 bylo vydáno téměř před 10 lety (červenec 2014).

    Ladislav Hagara | Komentářů: 13
    27.2. 21:11 | Nová verze

    Byla vydána nová major verze 6.0 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Založena je na Debianu 12 Bookworm a GNOME 43. Přehled změn v příslušném seznamu. Tor Browser byl povýšen na verzi 13.0.10.

    Ladislav Hagara | Komentářů: 0
    Kolik máte nálepek na víku notebooku?
     (18%)
     (60%)
     (5%)
     (3%)
     (5%)
     (9%)
    Celkem 428 hlasů
     Komentářů: 18, poslední 27.2. 20:10
    Rozcestník

    Dotaz: Jak nastavit firewall pro pasivni FTP

    20.11.2014 10:50 slackware
    Jak nastavit firewall pro pasivni FTP
    Přečteno: 405×
    Preji pekny den vespolek, mam na serveru (centos) pasivni ftp (pureftp). Peru se s nastavenim stavoveho firewallu. Pokud mam zadano pro prichozi pripojeni jednoduse:
    
    iptables -A INPUT -p tcp -m tcp --dport 30000:50000 -m comment --comment "pasive ftp" -j ACCEPT 
    iptables -A INPUT -p tcp -m tcp --dport 21 -m state --state NEW -m comment --comment "ftp" -j ACCEPT 
    
    
    Tak vsechno funguje.
    Jenze prvni pravidlo se mi nelibi a chtel bych, aby komunikace, ktera se realizuje po autorizaci probihala ve firewallu jako neco co souvisi s jiz navazanym autorizovanym spojenim (ESTABLISHED, RELATED). Takze sem se snazil pomoci ruznych vychytavek (-m helper) co sem vygooglil nejak rozchodi a bohuzel. Zkousel jsem ruzne kombinace NEW, ESTABLISHED, RELATED - a nic. Proste porad jsem nenasel nahradu za prvni radek firewallu, ktery plosne povoluje pristup na rozsah portu. Modul nf_conntrack_ftp mam zaveden.
    Nejaky napad?

    Řešení dotazu:


    Odpovědi

    20.11.2014 11:22 GeorgeWH | skóre: 42
    Rozbalit Rozbalit vše Re: Jak nastavit firewall pro pasivni FTP
    20.11.2014 12:03 slackware
    Rozbalit Rozbalit vše Re: Jak nastavit firewall pro pasivni FTP
    Tento navod jsem zkousel bohuzel CentOS v6.5. Vsimni si pise ze mu pomoho pridani NEW spojeni a v tomto radku
     -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 20:65535 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT 
    povoluje vsechna spojeni tzn i nova na porty 20: dela to co ja ve zminenem (pominu-li jine rozsahy)
    iptables -A INPUT -p tcp -m tcp --dport 30000:50000 -m comment --comment "pasive ftp" -j ACCEPT 
    tim chci rict ze pravidlo nevychazi z predpokladu aplikuju se az je spojeni navazano. resenim by bylo kdyby toto pravidlo bylo bez NEW. Jenze v tom pripade nefunguje a spojeni se navaze-neprijimaji se vsak data.
    20.11.2014 15:38 GeorgeWH | skóre: 42
    Rozbalit Rozbalit vše Re: Jak nastavit firewall pro pasivni FTP
    skusil som to na cistej instalaciu ubuntu 12.04.5 a fungovalo mi to:
    modprobe nf_conntrack_ftp
    
    iptables -F
    
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT
    
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    iptables -A INPUT -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
    bez modulu nf_conntrack_ftp to neslo...
    20.11.2014 14:33 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: Jak nastavit firewall pro pasivni FTP
    Nějak mě nenapadá proč to děláš složitější a složitější?

    Já mám v firewallu:
    $IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 21 -j ACCEPT  #FTP server
    A tím to hasne.

    Samozřejmě jsou povolená navázaná spojení.
    # Pakety od navazanych spojeni jsou v poradku
    $IPTABLES -A INPUT -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
    20.11.2014 14:52 slackware
    Rozbalit Rozbalit vše Re: Jak nastavit firewall pro pasivni FTP
    V pripade active ftp nemam namitek. Ale toto ti vazne funguje na passive ftp? Pred nasazenim passive jsem mel active a tam tato kombinace pravidel sla bez problemu, ale po nasazeni passive nee (coz si myslim je zrejme uz z rozdilnosti active/passive). Proto se pidim po reseni.
    20.11.2014 15:01 NN
    Rozbalit Rozbalit vše Re: Jak nastavit firewall pro pasivni FTP
    Mas zapnuty i nf_conntrack jako takovy?
    21.11.2014 11:53 Sten
    Rozbalit Rozbalit vše Re: Jak nastavit firewall pro pasivni FTP
    Asi tam nemáte nf_conntrack_ftp, který označuje datová spojení jako RELATED, ale samozřejmě to funguje jen pro nešifrovaná spojení.
    21.11.2014 09:24 R
    Rozbalit Rozbalit vše Re: Jak nastavit firewall pro pasivni FTP
    Najlepsie riesenie je zrusit FTP. Ked sa niekde tento protokol vyskytuje, tak je to indikacia, ze tam budu problemy.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.