Re: ftp dietro firewall
Thu, Jan 23, 2003 at 02:46:49PM +0100, Mario Vittorio Guenzi ha scritto:
> non riesco a capire a capire per quale motivo pur avendo imposto la
> condizione
> -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
> l'ftp non funzioni qualcuno mi puo' per cortesia aiutare?
L'ftp (attivo) e` un protocollo che ha delle paranoie tutte sue...
La regola che hai citato va bene per i tipici servizi client/server,
dove il client apre una porta sua qualsiasi (chiamiamola x) verso una ben
precisa porta y del server, e da questa il server manda le informazioni
sulla porta x del client (il che soddisfa la condizione
--state ESTABLISHED,RELATED appunto).
L'ftp attivo invece va cosi`: il client apre la porta x verso la porta
21 del server, inizia una negoziazione, dopodiche', per rendere le cose
piu` complicate, e` il server che apre un'altra connessione dalla sua
porta 20 verso un'altra porta (chiamiamola z) del client... La cosa,
per certi versi, e` persino ''avveniristica'': c'e` un ``canale'' solo
per i comandi, e un altro per il trasferimento vero proprio del file.
Infatti in /etc/services troverai:
ftp-data 20/tcp
ftp 21/tcp
... appunto.
Oddio, dopo tutta questa digressione spero di non aver fatto qualche
figuraccia... :p
Ma la conclusione di questa tediosa filippica e` che le righe:
iptables -I INPUT -p tcp -s $IP_FTP_SERVERS -d $IP_FTP_CLIENTS \
--sport 20 -j ACCEPT
iptables -I FORWARD -p tcp -s $IP_FTP_SERVERS -d $IP_FTP_CLIENTS \
--sport 20 -j ACCEPT
da aggiungere in fondo al tuo script, *spero* possano aiutarti.
Se ancora non funzionano, prova le piu` generiche:
iptables -I INPUT -p tcp --sport 20 -j ACCEPT
iptables -I FORWARD -p tcp --sport 20 -j ACCEPT
e poi fai un po' di tentativi rendendole gradualmente piu` restrittive.
--
Tapanetwork | Fast6 - Connettivita` IPv6 per utenti Fastweb
http://groups.google.it/groups?selm=an4bu9%249vs%241%40attila.bofh.it
http://lists.bofh.it/listinfo/fast6
Reply to: