Jak nastavit firewall pro pasivni FTP (vyřešeno)

Preji pekny den vespolek, mam na serveru (centos) pasivni ftp (pureftp). Peru se s nastavenim stavoveho firewallu. Pokud mam zadano pro prichozi pripojeni jednoduse:


iptables -A INPUT -p tcp -m tcp --dport 30000:50000 -m comment --comment "pasive ftp" -j ACCEPT 
iptables -A INPUT -p tcp -m tcp --dport 21 -m state --state NEW -m comment --comment "ftp" -j ACCEPT

Tak vsechno funguje.
Jenze prvni pravidlo se mi nelibi a chtel bych, aby komunikace, ktera se realizuje po autorizaci probihala ve firewallu jako neco co souvisi s jiz navazanym autorizovanym spojenim (ESTABLISHED, RELATED). Takze sem se snazil pomoci ruznych vychytavek (-m helper) co sem vygooglil nejak rozchodi a bohuzel. Zkousel jsem ruzne kombinace NEW, ESTABLISHED, RELATED - a nic. Proste porad jsem nenasel nahradu za prvni radek firewallu, ktery plosne povoluje pristup na rozsah portu. Modul nf_conntrack_ftp mam zaveden.
Nejaky napad?

Odpovědi

http://unix.stackexchange.com/questions/93554/iptables-to-allow-incoming-ftp

20.11.2014 12:03 slackware
Rozbalit Rozbalit vše Re: Jak nastavit firewall pro pasivni FTP

Tento navod jsem zkousel bohuzel CentOS v6.5. Vsimni si pise ze mu pomoho pridani NEW spojeni a v tomto radku

 -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 20:65535 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

povoluje vsechna spojeni tzn i nova na porty 20: dela to co ja ve zminenem (pominu-li jine rozsahy)

iptables -A INPUT -p tcp -m tcp --dport 30000:50000 -m comment --comment "pasive ftp" -j ACCEPT

tim chci rict ze pravidlo nevychazi z predpokladu aplikuju se az je spojeni navazano. resenim by bylo kdyby toto pravidlo bylo bez NEW. Jenze v tom pripade nefunguje a spojeni se navaze-neprijimaji se vsak data.

20.11.2014 15:38 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: Jak nastavit firewall pro pasivni FTP

skusil som to na cistej instalaciu ubuntu 12.04.5 a fungovalo mi to:

modprobe nf_conntrack_ftp

iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

bez modulu nf_conntrack_ftp to neslo...

Nějak mě nenapadá proč to děláš složitější a složitější?

Já mám v firewallu:

$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 21 -j ACCEPT  #FTP server

A tím to hasne.

Samozřejmě jsou povolená navázaná spojení.

# Pakety od navazanych spojeni jsou v poradku
$IPTABLES -A INPUT -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT

20.11.2014 14:52 slackware
Rozbalit Rozbalit vše Re: Jak nastavit firewall pro pasivni FTP

V pripade active ftp nemam namitek. Ale toto ti vazne funguje na passive ftp? Pred nasazenim passive jsem mel active a tam tato kombinace pravidel sla bez problemu, ale po nasazeni passive nee (coz si myslim je zrejme uz z rozdilnosti active/passive). Proto se pidim po reseni.

20.11.2014 15:01 NN
Rozbalit Rozbalit vše Re: Jak nastavit firewall pro pasivni FTP

Mas zapnuty i nf_conntrack jako takovy?

21.11.2014 11:53 Sten
Rozbalit Rozbalit vše Re: Jak nastavit firewall pro pasivni FTP

Asi tam nemáte nf_conntrack_ftp, který označuje datová spojení jako RELATED, ale samozřejmě to funguje jen pro nešifrovaná spojení.

Dotaz: Jak nastavit firewall pro pasivni FTP

Odpovědi