ftp + iptables боян, но все таки... помогите плиз
iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -m multiport --sports 53,110,25,80,20,21,3900 -d $ip -j ACCEPT
iptables -A FORWARD -p udp -m multiport --sports 53,110,25,80,20,21,3900 -d $ip -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --dports 53,110,25,80,20,21,3900 -s $ip -j ACCEPT
iptables -A FORWARD -p udp -m multiport --dports 53,110,25,80,20,21,3900 -s $ip -j ACCEPT
вроде должно работать
но не работает
окей
смотрим в конфиг ядра..
CONFIG_IP_NF_CONNTRACK=y
CONFIG_IP_NF_CT_ACCT=y
CONFIG_IP_NF_CONNTRACK_MARK=y
# CONFIG_IP_NF_CONNTRACK_EVENTS is not set
CONFIG_IP_NF_CT_PROTO_SCTP=y
CONFIG_IP_NF_FTP=y
CONFIG_IP_NF_IRC=y
CONFIG_IP_NF_NETBIOS_NS=y
CONFIG_IP_NF_NAT_FTP=y
есть там такое... ну не стал я модулем его делать...
и что - теперь и работать не будет??!
кто может помочь - помогите, плиз!
- Для комментирования войдите или зарегистрируйтесь
на всякий
на всякий случай проверь что за параметры ядра у тебя...
тоесть загляни к примеру в /etc/sysctl.conf
поправь что нужно и сделай sysctl -p
а можно поподробнее?
вот мой sysctl.conf :
# Disables packet forwarding
#net.ipv4.ip_forward = 0
# Disables IP dynaddr
#net.ipv4.ip_dynaddr = 0
# Disable ECN
#net.ipv4.tcp_ecn = 0
# Enables source route verification
net.ipv4.conf.default.rp_filter = 1
# Enable reverse path
net.ipv4.conf.all.rp_filter = 1
# Enable SYN cookies (yum!)
# http://cr.yp.to/syncookies.html
#net.ipv4.tcp_syncookies = 1
# Disable source route
#net.ipv4.conf.all.accept_source_route = 0
#net.ipv4.conf.default.accept_source_route = 0
# Disable redirects
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv4.conf.default.accept_redirects = 0
# Disable secure redirects
#net.ipv4.conf.all.secure_redirects = 0
#net.ipv4.conf.default.secure_redirects = 0
# Ignore ICMP broadcasts
#net.ipv4.icmp_echo_ignore_broadcasts = 1
# Disables the magic-sysrq key
#kernel.sysrq = 0
# When the kernel panics, automatically reboot in 3 seconds
#kernel.panic = 3
# Allow for more PIDs (cool factor!); may break some programs
#kernel.pid_max = 999999
# TCP Port for lock manager
#fs.nfs.nlm_tcpport = 0
# UDP Port for lock manager
#fs.nfs.nlm_udpport = 0
параметры ядра... что под этим понимается? все вроде стандартное.. без особых наворотов..
как же заставить работать ftp?
если тупо разрешить полный форвард без established, related - то все пашет
а если с ним? как?
established, related
established, related разреши для всех портов или для тех по которым будут конектиться к фтп (можно задать в конфиге фтп сервера)
net.ipv4.ip_forward = 1
net.ipv4.ip_forward = 1
а может всетаки
а может всетаки dports????
iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -m multiport --dports 53,110,25,80,20,21,3900 -d $ip -j ACCEPT
_________________
Главное не забыть mount /dev/hands
неа правило
неа
правило составлено чтобы разрешить соединения извне с флагом уже существующего - так что все нормально
фтп нужен не во внутрь, а наружу
модули для фтп
$IPT -N allowed
$IPT -F allowed
$IPT -A allowed -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A allowed -p ALL -j DROP
$IPT -A FORWARD -i $EXT_IF -d $INT_NET -j allowed
$IPT -A FORWARD -p TCP -i $INT_IF -s $INT_NET --dport 21 -j ACCEPT
,,,
у меня так и есть
тока немного по другому написано
не так, у тебя
не так, у тебя ограничение по входящим портам, а это не годится для ФТП, тк 21 порт используется только для согласования соединения на активных ФТП.
Да и смысла нет фильтровать установленные соединения на вход, проще сразу СОВ (IDS) поставить (например SNORT).