Firewall na serwerze i ftp pasywny oraz aktywny

To: debian-user-polish@lists.debian.org
Subject: Firewall na serwerze i ftp pasywny oraz aktywny
From: Adrian Siemieniak <sauron@rpg.pl>
Date: Fri, 12 Mar 2004 13:40:06 +0100
Message-id: <[🔎] 20040312134006.6fb5025d.sauron@rpg.pl>

Hej, pisze bo juz nie wiem co mam sadzic na ten temat :)

Na serwerze jest ftp - chce aby klienci mogli sie z nim polaczyc -
jednoczesnie aby nie mozna sie bylo polaczyc na inna usluge ktore nie
jest z osobna wpisywana na firewallu.

Obecnie czesc firewalla (odpowiedzialna za ftp) wyglada tak:
iptables -P INPUT DROP

## Make sure NEW tcp connections are SYN packets
iptables -A INPUT -i eth0 -p tcp ! --syn -m state --state NEW -j DROP

# ICMP stuff
iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j
ACCEPT iptables -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j
ACCEPT

# Wszyscy moga podlaczyc sie do FTP/21
iptables -A INPUT -s $ALL -d $LOCALHOST1 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -s $ALL -d $LOCALHOST1 -p udp --dport 21 -j ACCEPT

# Wszyscy moga podlaczyc sie do FTP-DATA/20
iptables -A INPUT -s $ALL -d $LOCALHOST1 -p tcp --dport 20 -j ACCEPT

UNPRIVPORTS="1024:65535"

# Allow ftp outbound.
iptables -A INPUT  -i eth0 -p tcp --sport 21 -m state --state
ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --dport 21 -m
state --state NEW,ESTABLISHED -j ACCEPT

# 1) Active ftp.
# involves connection INbound from remote port 20 to a local port
iptables -A INPUT  -i eth0 -p tcp --sport 20 -m state --state
ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 20 -m state --state
ESTABLISHED -j ACCEPT

# 2) Passive ftp.
# involves connection outbound from port >1023 to a port >1023
(*)iptables -A INPUT  -i eth0 -p tcp --sport $UNPRIVPORTS --dport
$UNPRIVPORTS -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport $UNPRIVPORTS --dport
$UNPRIVPORTS -m state--state ESTABLISHED,RELATED -j ACCEPT

Regulki pochodza ze strony
http://www.sns.ias.edu/~jns/security/iptables/rules.html

Przy takich ustawieniach PASSIVE ftp nie dziala (nie moze wylistowac
katalogu choc sie loguje). Zmiana linijki (*) na --state NEW,ESTABLISHED
pomaga ale z kolei otwiera ona wszystkie porty wysokie do nawiazywania
polacze bo jest NEW (czy gdzies sie myle??).

Jednak mimo nawet takich ustawien jak powyzej bywaja klienci ktorym ftp
nie przechodzi - zawsze sa za jakas maskarada - ale nie potrafie znalezc
reguly.
Czy ktos moze podac jaka regule dla firewalla ktory by na pewno pozwalal
przejsc calemu ftp nie odkrywajac wszystkich wysokich portow?

Pozdrawiam
-- 
Adrian (Sauron) Siemieniak    /,/      .. Who can destroy The Thing,
sauron{at}rpg{dot}pl         /`/       controls The Thing ... (DUNE)

Reply to:

Follow-Ups:
- Re: Firewall na serwerze i ftp pasywny oraz aktywny
  - From: Marek Adamski <siradams-debian@netbase.pl>

Prev by Date: Re: samba z domena i koncowki win2000
Next by Date: Postfix +tls
Previous by thread: Complaint Received
Next by thread: Re: Firewall na serwerze i ftp pasywny oraz aktywny
Index(es):
- Date
- Thread