ipconntrack_ftp vsftpd SSL iptables
Hi Liste,
Ich versuche meinen vsftpd mit SSL zu betreiben.
Die wichtigen Optionen wären:
pasv_promiscuous=YES
port_promiscuous=YES
listen_port=21
pasv_min_port=62000
pasv_max_port=62000
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=NO
force_local_logins_ssl=NO
ssl_tlsv1=YES
ssl_sslv2=YES
ssl_sslv3=YES
rsa_cert_file=/etc/ssl/certs/vsftp.pem
Ich verwende ip_conntrack sowie ip_conntrack_ftp fest im Kernel.
Meine iptables Regeln sehen folgendermaßen aus:
# Wir setzen die Default Policy der Ketten
iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F ACCOUNTING
iptables -F LDROP
iptables -N ACCOUNTING
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -j ACCOUNTING
iptables -N LDROP
iptables -A LDROP -j DROP
iptables -A ACCOUNTING -p tcp -m multiport --ports 113 -j ACCEPT
iptables -A ACCOUNTING -p tcp -m multiport --ports 25,995 -j ACCEPT
iptables -A ACCOUNTING -p tcp -m multiport --ports 6668 -j ACCEPT
iptables -A ACCOUNTING -p tcp -m multiport --ports 62000,21 -j ACCEPT
iptables -A ACCOUNTING -p udp -m multiport --ports 53 -j ACCEPT
iptables -A ACCOUNTING -j ACCEPT -p icmp -m limit --limit 10/min -m
icmp --icmp-type 8
iptables -A ACCOUNTING -j LDROP
Normale ftp Verbindungen ohne ssl klappen.
ssl verbindungen starten, bei voller geschwindigkeit, werden immer
langsamer und beenden sich mit:
150 Opening BINARY mode data connection for test.bin (3891200 bytes).
Session Cipher: 168 bit 3DES
TLS encrypted session established.
Transfer Timeout (40s). Closing data connection.
489722 bytes transferred. (8,74 KB/s) (00:00:54)
426 Failure writing network stream.
MDTM test.bin
213 20061116035943
Transfer failed.
NOOP
Für jeden Hinweis wär ich dankbar.
--
Mit besten Grüßen
Stefan Bauer
www.plzk.de - www.splatterworld.de
duke@splatterworld.de . duke@plzk.de
Reply to: