Firewall na serwerze i ftp pasywny oraz aktywny
Hej, pisze bo juz nie wiem co mam sadzic na ten temat :)
Na serwerze jest ftp - chce aby klienci mogli sie z nim polaczyc -
jednoczesnie aby nie mozna sie bylo polaczyc na inna usluge ktore nie
jest z osobna wpisywana na firewallu.
Obecnie czesc firewalla (odpowiedzialna za ftp) wyglada tak:
iptables -P INPUT DROP
## Make sure NEW tcp connections are SYN packets
iptables -A INPUT -i eth0 -p tcp ! --syn -m state --state NEW -j DROP
# ICMP stuff
iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j
ACCEPT iptables -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j
ACCEPT
# Wszyscy moga podlaczyc sie do FTP/21
iptables -A INPUT -s $ALL -d $LOCALHOST1 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -s $ALL -d $LOCALHOST1 -p udp --dport 21 -j ACCEPT
# Wszyscy moga podlaczyc sie do FTP-DATA/20
iptables -A INPUT -s $ALL -d $LOCALHOST1 -p tcp --dport 20 -j ACCEPT
UNPRIVPORTS="1024:65535"
# Allow ftp outbound.
iptables -A INPUT -i eth0 -p tcp --sport 21 -m state --state
ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --dport 21 -m
state --state NEW,ESTABLISHED -j ACCEPT
# 1) Active ftp.
# involves connection INbound from remote port 20 to a local port
iptables -A INPUT -i eth0 -p tcp --sport 20 -m state --state
ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 20 -m state --state
ESTABLISHED -j ACCEPT
# 2) Passive ftp.
# involves connection outbound from port >1023 to a port >1023
(*)iptables -A INPUT -i eth0 -p tcp --sport $UNPRIVPORTS --dport
$UNPRIVPORTS -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport $UNPRIVPORTS --dport
$UNPRIVPORTS -m state--state ESTABLISHED,RELATED -j ACCEPT
Regulki pochodza ze strony
http://www.sns.ias.edu/~jns/security/iptables/rules.html
Przy takich ustawieniach PASSIVE ftp nie dziala (nie moze wylistowac
katalogu choc sie loguje). Zmiana linijki (*) na --state NEW,ESTABLISHED
pomaga ale z kolei otwiera ona wszystkie porty wysokie do nawiazywania
polacze bo jest NEW (czy gdzies sie myle??).
Jednak mimo nawet takich ustawien jak powyzej bywaja klienci ktorym ftp
nie przechodzi - zawsze sa za jakas maskarada - ale nie potrafie znalezc
reguly.
Czy ktos moze podac jaka regule dla firewalla ktory by na pewno pozwalal
przejsc calemu ftp nie odkrywajac wszystkich wysokich portow?
Pozdrawiam
--
Adrian (Sauron) Siemieniak /,/ .. Who can destroy The Thing,
sauron{at}rpg{dot}pl /`/ controls The Thing ... (DUNE)
Reply to: