AbcLinuxu hledá autory!

Inzerujte na AbcPráce.cz od 950 Kč

Rozšířené hledání

napište » Zprávičky

inzerujte » Pracovní nabídky

Raspberry Pi Official Magazine 161

dnes 11:11 | Zajímavý článek

Nové číslo časopisu Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 161 (pdf).

Ladislav Hagara | Komentářů: 0

Nativní linuxová verze MT-PowerDrumKit 2

dnes 10:44 | Nová verze

Po delší době vývoje vyšla nativní linuxová verze virtuálního bubeníka MT-PowerDrumKit 2 ve formátu VST3. Mezi testovanými hosty jsou Reaper, Ardour, Bitwig a Carla.

balda | Komentářů: 1

Budgie 10.10

včera 21:33 | Nová verze

Desktopové prostředí Budgie bylo vydáno ve verzi 10.10. Dokončena byla migrace z X11 na Wayland. Budgie 10 vstupuje do režimu údržby. Vývoj se přesouvá k Budgie 11. Dlouho se řešilo, v čem bude nové Budgie napsáno. Budgie 10 je postaveno nad GTK 3. Přemýšlelo se také nad přepsáním z GTK do EFL. Budgie 11 bude nakonec postaveno nad Qt 6.

Ladislav Hagara | Komentářů: 0

Projekt OpenChaos

včera 13:00 | Humor

OpenChaos.dev je 'samovolně se vyvíjející open source projekt' s nedefinovaným cílem. Každý týden mohou lidé hlasovat o návrzích (pull requestech), přičemž vítězný návrh se integruje do kódu projektu (repozitář na GitHubu). Hlasováním je možné změnit téměř vše, včetně tohoto pravidla. Hlasování končí vždy v neděli v 9:00 UTC.

NUKE GAZA! 🎆 | Komentářů: 3

Debian 13.3 a 12.13

včera 03:00 | Nová verze

Byl vydán Debian 13.3, tj. třetí opravná verze Debianu 13 s kódovým názvem Trixie a Debian 12.13, tj. třináctá opravná verze Debianu 12 s kódovým názvem Bookworm. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 13 a Debianu 12 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.

Ladislav Hagara | Komentářů: 0

Podělte se o svůj názor s Evropskou komisí: Evropské otevřené digitální ekosystémy

10.1. 03:00 | Komunita

Na stránkách Evropské komise, na portálu Podělte se o svůj názor, se lze do 3. února podělit o názor k iniciativě Evropské otevřené digitální ekosystémy řešící přístup EU k otevřenému softwaru.

Ladislav Hagara | Komentářů: 6

Orion pro Linux v alfa verzi

9.1. 19:44 | Zajímavý software

Společnost Kagi stojící za stejnojmenným placeným vyhledávačem vydala (𝕏) alfa verzi linuxové verze (flatpak) svého proprietárního webového prohlížeče Orion.

Ladislav Hagara | Komentářů: 5

Bose uvolnila API starších reproduktorů

9.1. 19:11 | IT novinky

Firma Bose se po tlaku uživatelů rozhodla, že otevře API svých chytrých reproduktorů SoundTouch, což umožní pokračovat v jejich používání i po plánovaném ukončení podpory v letošním roce. Pro ovládání také bude stále možné využívat oficiální aplikaci, ale už pouze lokálně bez cloudových služeb. Dokumentace API dostupná zde (soubor PDF).

NUKE GAZA! 🎆 | Komentářů: 2

AdGuard Home: domácí ochrana nejen před reklamou

9.1. 14:22 | Zajímavý článek

Jiří Eischmann se v příspěvku na svém blogu rozepsal o open source AdGuard Home jako domácí ochraně nejen před reklamou. Adguard Home není plnohodnotným DNS resolverem, funguje jako DNS forwarder s možností filtrování. To znamená, že když přijme DNS dotaz, sám na něj neodpoví, ale přepošle ho na vybraný DNS server a odpovědi zpracovává a filtruje dle nastavených pravidel a následně posílá zpět klientům. Dá se tedy používat k blokování reklamy a škodlivých stránek a k rodičovské kontrole na úrovni DNS.

Ladislav Hagara | Komentářů: 8

Claude Code lépe rozumí frameworku Nette

9.1. 03:33 | Zajímavý software

AI Claude Code od Anthropicu lépe rozumí frameworku Nette, tj. open source frameworku pro tvorbu webových aplikací v PHP. David Grudl napsal plugin Nette pro Claude Code.

Ladislav Hagara | Komentářů: 1

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 9, poslední dnes 18:09

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Jak nastavit firewall pro pasivni FTP

Štítky: firewally, FTP, input, Internet, iptables, komunikace, modul, TCP

Dotaz: Jak nastavit firewall pro pasivni FTP

20.11.2014 10:50 slackware
Jak nastavit firewall pro pasivni FTP

Přečteno: 427×

Odpovědět | Admin

Preji pekny den vespolek, mam na serveru (centos) pasivni ftp (pureftp). Peru se s nastavenim stavoveho firewallu. Pokud mam zadano pro prichozi pripojeni jednoduse:


iptables -A INPUT -p tcp -m tcp --dport 30000:50000 -m comment --comment "pasive ftp" -j ACCEPT 
iptables -A INPUT -p tcp -m tcp --dport 21 -m state --state NEW -m comment --comment "ftp" -j ACCEPT

Tak vsechno funguje.
Jenze prvni pravidlo se mi nelibi a chtel bych, aby komunikace, ktera se realizuje po autorizaci probihala ve firewallu jako neco co souvisi s jiz navazanym autorizovanym spojenim (ESTABLISHED, RELATED). Takze sem se snazil pomoci ruznych vychytavek (-m helper) co sem vygooglil nejak rozchodi a bohuzel. Zkousel jsem ruzne kombinace NEW, ESTABLISHED, RELATED - a nic. Proste porad jsem nenasel nahradu za prvni radek firewallu, ktery plosne povoluje pristup na rozsah portu. Modul nf_conntrack_ftp mam zaveden.
Nejaky napad?

Řešení dotazu:

Nástroje: Začni sledovat (0) ?

Odpovědi

20.11.2014 11:22 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: Jak nastavit firewall pro pasivni FTP

http://unix.stackexchange.com/questions/93554/iptables-to-allow-incoming-ftp

20.11.2014 12:03 slackware
Rozbalit Rozbalit vše Re: Jak nastavit firewall pro pasivni FTP

Tento navod jsem zkousel bohuzel CentOS v6.5. Vsimni si pise ze mu pomoho pridani NEW spojeni a v tomto radku

 -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 20:65535 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

povoluje vsechna spojeni tzn i nova na porty 20: dela to co ja ve zminenem (pominu-li jine rozsahy)

iptables -A INPUT -p tcp -m tcp --dport 30000:50000 -m comment --comment "pasive ftp" -j ACCEPT

tim chci rict ze pravidlo nevychazi z predpokladu aplikuju se az je spojeni navazano. resenim by bylo kdyby toto pravidlo bylo bez NEW. Jenze v tom pripade nefunguje a spojeni se navaze-neprijimaji se vsak data.

20.11.2014 15:38 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: Jak nastavit firewall pro pasivni FTP

skusil som to na cistej instalaciu ubuntu 12.04.5 a fungovalo mi to:

modprobe nf_conntrack_ftp

iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

bez modulu nf_conntrack_ftp to neslo...

20.11.2014 14:33 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Jak nastavit firewall pro pasivni FTP

Nějak mě nenapadá proč to děláš složitější a složitější?

Já mám v firewallu:

$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 21 -j ACCEPT  #FTP server

A tím to hasne.

Samozřejmě jsou povolená navázaná spojení.

# Pakety od navazanych spojeni jsou v poradku
$IPTABLES -A INPUT -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT

20.11.2014 14:52 slackware
Rozbalit Rozbalit vše Re: Jak nastavit firewall pro pasivni FTP

V pripade active ftp nemam namitek. Ale toto ti vazne funguje na passive ftp? Pred nasazenim passive jsem mel active a tam tato kombinace pravidel sla bez problemu, ale po nasazeni passive nee (coz si myslim je zrejme uz z rozdilnosti active/passive). Proto se pidim po reseni.

20.11.2014 15:01 NN
Rozbalit Rozbalit vše Re: Jak nastavit firewall pro pasivni FTP

Mas zapnuty i nf_conntrack jako takovy?

21.11.2014 11:53 Sten
Rozbalit Rozbalit vše Re: Jak nastavit firewall pro pasivni FTP

Asi tam nemáte nf_conntrack_ftp, který označuje datová spojení jako RELATED, ale samozřejmě to funguje jen pro nešifrovaná spojení.

21.11.2014 09:24 R
Rozbalit Rozbalit vše Re: Jak nastavit firewall pro pasivni FTP

Najlepsie riesenie je zrusit FTP. Ked sa niekde tento protokol vyskytuje, tak je to indikacia, ze tam budu problemy.

Založit nové vlákno • Nahoru

Tiskni Sdílej: