[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Firewall na serwerze i ftp pasywny oraz aktywny

Witaj Adrian,

W Twoim liście datowanym 12 marca 2004 (13:40:06) można przeczytać:


AS> Hej, pisze bo juz nie wiem co mam sadzic na ten temat :)

AS> Na serwerze jest ftp - chce aby klienci mogli sie z nim polaczyc -
AS> jednoczesnie aby nie mozna sie bylo polaczyc na inna usluge ktore nie
AS> jest z osobna wpisywana na firewallu.

AS> Obecnie czesc firewalla (odpowiedzialna za ftp) wyglada tak:
AS> iptables -P INPUT DROP

AS> ## Make sure NEW tcp connections are SYN packets
AS> iptables -A INPUT -i eth0 -p tcp ! --syn -m state --state NEW -j DROP

AS> # ICMP stuff
AS> iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j
AS> ACCEPT iptables -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j
AS> ACCEPT

Te regułki jak dla mnie wskazują na możliwość łączenia się do tego
komputera na usługę ftp. Jeżeli tak ma być to dopisałbym tu:
AS> # Wszyscy moga podlaczyc sie do FTP/21
AS> iptables -A INPUT -s $ALL -d $LOCALHOST1 -p tcp --dport 21 -j ACCEPT
AS> iptables -A INPUT -s $ALL -d $LOCALHOST1 -p udp --dport 21 -j ACCEPT
iptables -A OUTPUT -d $ALL -s $LOCALHOST1 -p tcp --sport 21 -j ACCEPT
iptables -A OUTPUT -d $ALL -s $LOCALHOST1 -p udp --sport 21 -j ACCEPT

AS> # Wszyscy moga podlaczyc sie do FTP-DATA/20
AS> iptables -A INPUT -s $ALL -d $LOCALHOST1 -p tcp --dport 20 -j ACCEPT
iptables -A OUTPUT -d $ALL -s $LOCALHOST1 -p tcp --sport 20 -j ACCEPT

Regułki niżej wskazują na możliwość łączenia się z tego kompa do ftp
innych serwów.
AS> UNPRIVPORTS="1024:65535"

AS> # Allow ftp outbound.
AS> iptables -A INPUT  -i eth0 -p tcp --sport 21 -m state --state
AS> ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --dport 21 -m
AS> state --state NEW,ESTABLISHED -j ACCEPT

AS> # 1) Active ftp.
AS> # involves connection INbound from remote port 20 to a local port
AS> iptables -A INPUT  -i eth0 -p tcp --sport 20 -m state --state
AS> ESTABLISHED,RELATED -j ACCEPT
AS> iptables -A OUTPUT -o eth0 -p tcp --dport 20 -m state --state
AS> ESTABLISHED -j ACCEPT

AS> # 2) Passive ftp.
AS> # involves connection outbound from port >1023 to a port >1023
AS> (*)iptables -A INPUT  -i eth0 -p tcp --sport $UNPRIVPORTS --dport
AS> $UNPRIVPORTS -m state --state ESTABLISHED -j ACCEPT
AS> iptables -A OUTPUT -o eth0 -p tcp --sport $UNPRIVPORTS --dport
AS> $UNPRIVPORTS -m state--state ESTABLISHED,RELATED -j ACCEPT

AS> Regulki pochodza ze strony
AS> http://www.sns.ias.edu/~jns/security/iptables/rules.html

AS> Przy takich ustawieniach PASSIVE ftp nie dziala (nie moze wylistowac
AS> katalogu choc sie loguje). Zmiana linijki (*) na --state NEW,ESTABLISHED
AS> pomaga ale z kolei otwiera ona wszystkie porty wysokie do nawiazywania
AS> polacze bo jest NEW (czy gdzies sie myle??).

AS> Jednak mimo nawet takich ustawien jak powyzej bywaja klienci ktorym ftp
AS> nie przechodzi - zawsze sa za jakas maskarada - ale nie potrafie znalezc
AS> reguly.
AS> Czy ktos moze podac jaka regule dla firewalla ktory by na pewno pozwalal
AS> przejsc calemu ftp nie odkrywajac wszystkich wysokich portow?

AS> Pozdrawiam
AS> -- 
AS> Adrian (Sauron) Siemieniak    /,/      .. Who can destroy The Thing,
AS> sauron{at}rpg{dot}pl         /`/       controls The Thing ... (DUNE)


Jeżeli dobrze zrozumiałem te regułki to dopisanie tych 3 linijek
powinno pomóc.

-- 
Pozdrowienia,
    ******************************
    *  Marek (SirAdams) Adamski  *
    *        ICQ:42751516        *
    *          GG:14747          *
    *     Linux user:#253788     *
    ******************************
Reply to: