* [Comm] ftp пассивный режим и iptables
@ 2006-11-09 15:15 Igo
2006-11-09 16:04 ` Sergei Boudnik
2006-11-14 17:20 ` Anton Gorlov
0 siblings, 2 replies; 10+ messages in thread
From: Igo @ 2006-11-09 15:15 UTC (permalink / raw)
To: community
Чего не хватает чтобы пускал через пасивный режим
$IPTABLES -A INPUT -p TCP -s ipaddr --dport 20 -j ACCEPT
$IPTABLES -A INPUT -p TCP -d ipaddr --sport 20 -j ACCEPT
$IPTABLES -A INPUT -p TCP -s ipaddr --dport 21 -j ACCEPT
$IPTABLES -A INPUT -p TCP -d ipaddr --sport 21 -j ACCEPT
$IPTABLES -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@cerber sysconfig]# lsmod |grep ip
ipt_state 632 2 (autoclean)
iptable_filter 1732 1 (autoclean)
ipt_REDIRECT 920 2 (autoclean)
ip_conntrack_irc 3152 1 (autoclean)
ip_nat_irc 2448 0 (unused)
ip_nat_ftp 3024 0 (unused)
iptable_nat 17752 3 [ipt_REDIRECT ip_nat_irc ip_nat_ftp]
ip_tables 12248 6 [ipt_state iptable_filter ipt_REDIRECT
iptable_nat]
ip_conntrack_ftp 3856 1
ip_conntrack 19944 2 [ipt_state ipt_REDIRECT
ip_conntrack_irc ip_nat_irc ip_nat_ftp iptable_nat ip_conntrack_ftp]
[root@cerber sysconfig]#
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] ftp пассивный режим и iptables
2006-11-09 15:15 [Comm] ftp пассивный режим и iptables Igo
@ 2006-11-09 16:04 ` Sergei Boudnik
2006-11-09 16:14 ` Dmitriy L. Kruglikov
2006-11-09 16:48 ` Maxim Tyurin
2006-11-14 17:20 ` Anton Gorlov
1 sibling, 2 replies; 10+ messages in thread
From: Sergei Boudnik @ 2006-11-09 16:04 UTC (permalink / raw)
To: altlinux, ALT Linux Community
Igo пишет:
> Чего не хватает чтобы пускал через пасивный режим
>
> $IPTABLES -A INPUT -p TCP -s ipaddr --dport 20 -j ACCEPT
>
Это не нужно вообще
> $IPTABLES -A INPUT -p TCP -d ipaddr --sport 20 -j ACCEPT
>
Это может пригодиться, чтобы самому качать в активном режиме
> $IPTABLES -A INPUT -p TCP -s ipaddr --dport 21 -j ACCEPT
>
Это нужно для любого ftp
> $IPTABLES -A INPUT -p TCP -d ipaddr --sport 21 -j ACCEPT
>
Это лишнее
> $IPTABLES -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
>
>
> [root@cerber sysconfig]# lsmod |grep ip
> ip_conntrack_ftp 3856 1
>
В идеале этот модуль должен отработать ftp соединения, но реальность
далека от идеала, поэтому приходится делать по-старинке:
$IPTABLES -A INPUT -p tcp --sport 32768:65535 --dport 32768:65535 -j ACCEPT
--
WBR, Sergei Boudnik
http://www.boudnik.kiev.ua
--------------------------
Tel: +38050 3584082
ICQ UIN: 56809672
SSB-RIPE
SSB1-UANIC
==========================
Trap for spam & virii:
trap@wildlist.org.ua
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] ftp пассивный режим и iptables
2006-11-09 16:04 ` Sergei Boudnik
@ 2006-11-09 16:14 ` Dmitriy L. Kruglikov
2006-11-09 16:46 ` Sergei Boudnik
2006-11-09 16:48 ` Maxim Tyurin
1 sibling, 1 reply; 10+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-11-09 16:14 UTC (permalink / raw)
To: ALT Linux Community
На календаре было: Четверг, 09 Ноябрь 2006 года,
Sergei Boudnik писал(а) в сообщении:
SB == Sergei Boudnik
SB> Это лишнее
SB> > $IPTABLES -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
SB> >
Не согласен ...
Эта строка позволяет сразу же разрешать уже открытые (ранее проверенные цепочками правил)
соединения или соединения, открываемые из уже разрешенных ...
Как минимум, нет необходимости еще раз проходить по всем цепочкам правил ...
Эту строку рекомендуют размещать ближе к началу цепочек ...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
XMPP:dkr6@jabber.ru (| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
СОВЕТ ПО БОРЬБЕ С ОШИБКАМИ
До начала работы над проектом следует тщательно продумать все
необходимые ошибки и связи между ними. Это значительно упростит работу
над ошибками в самом проекте.
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] ftp пассивный режим и iptables
2006-11-09 16:14 ` Dmitriy L. Kruglikov
@ 2006-11-09 16:46 ` Sergei Boudnik
2006-11-09 16:52 ` Dmitriy L. Kruglikov
0 siblings, 1 reply; 10+ messages in thread
From: Sergei Boudnik @ 2006-11-09 16:46 UTC (permalink / raw)
To: ALT Linux Community
Dmitriy L. Kruglikov пишет:
> На календаре было: Четверг, 09 Ноябрь 2006 года,
> Sergei Boudnik писал(а) в сообщении:
>
> SB == Sergei Boudnik
>
> SB> Это лишнее
> SB> > $IPTABLES -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
> SB> >
>
> Не согласен ...
>
Там комментарии относятся к строкам выше, я уже когда отправил сообщение
и прочитал полученное, увидел казусы форматирования отображения :)
--
WBR, Sergei Boudnik
http://www.boudnik.kiev.ua
--------------------------
Tel: +38050 3584082
ICQ UIN: 56809672
SSB-RIPE
SSB1-UANIC
==========================
Trap for spam & virii:
trap@wildlist.org.ua
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] ftp пассивный режим и iptables
2006-11-09 16:04 ` Sergei Boudnik
2006-11-09 16:14 ` Dmitriy L. Kruglikov
@ 2006-11-09 16:48 ` Maxim Tyurin
2006-11-09 17:03 ` Andrii Dobrovol`s`kii
2006-11-09 18:15 ` Sergei Boudnik
1 sibling, 2 replies; 10+ messages in thread
From: Maxim Tyurin @ 2006-11-09 16:48 UTC (permalink / raw)
To: ALT Linux Community
Sergei Boudnik пишет:
> Igo пишет:
>> Чего не хватает чтобы пускал через пасивный режим
>>
>> $IPTABLES -A INPUT -p TCP -s ipaddr --dport 20 -j ACCEPT
>>
> Это не нужно вообще
>> $IPTABLES -A INPUT -p TCP -d ipaddr --sport 20 -j ACCEPT
>>
> Это может пригодиться, чтобы самому качать в активном режиме
>> $IPTABLES -A INPUT -p TCP -s ipaddr --dport 21 -j ACCEPT
>>
> Это нужно для любого ftp
>> $IPTABLES -A INPUT -p TCP -d ipaddr --sport 21 -j ACCEPT
>>
> Это лишнее
>> $IPTABLES -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
>>
>>
>> [root@cerber sysconfig]# lsmod |grep ip
>> ip_conntrack_ftp 3856 1
>>
> В идеале этот модуль должен отработать ftp соединения, но реальность
> далека от идеала, поэтому приходится делать по-старинке:
>
> $IPTABLES -A INPUT -p tcp --sport 32768:65535 --dport 32768:65535 -j ACCEPT
Не нужно вредных советов.
И нормально работает трассировка ftp
Для работы ftp хватит:
modprobe ip_conntrack_ftp
iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p TCP -s ipaddr --dport 20 -j ACCEPT
iptables -A INPUT -p TCP -s ipaddr --dport 21 -j ACCEPT
--
With Best Regards, Maxim Tyurin
JID: MrKooll@jabber.pibhe.com
___
/ _ )__ _____ ___ ____ _______ _____
/ _ / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/ \_,_/___/
/___/
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] ftp пассивный режим и iptables
2006-11-09 16:46 ` Sergei Boudnik
@ 2006-11-09 16:52 ` Dmitriy L. Kruglikov
2006-11-09 18:04 ` Sergei Boudnik
0 siblings, 1 reply; 10+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-11-09 16:52 UTC (permalink / raw)
To: ALT Linux Community
На календаре было: Четверг, 09 Ноябрь 2006 года,
Sergei Boudnik писал(а) в сообщении:
SB == Sergei Boudnik
SB> >
SB> Там комментарии относятся к строкам выше, я уже когда отправил сообщение
SB> и прочитал полученное, увидел казусы форматирования отображения :)
Что бы Вы не говорили, всегда найдется человек, который поймет все иначе,
даже если ваше высказывание имеет единственное и однозначное толкование :)
(с) Не_помню_кто_сказал... :)
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
XMPP:dkr6@jabber.ru (| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Пиво с утра не только вредно, но и полезно
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] ftp пассивный режим и iptables
2006-11-09 16:48 ` Maxim Tyurin
@ 2006-11-09 17:03 ` Andrii Dobrovol`s`kii
2006-11-09 18:15 ` Sergei Boudnik
1 sibling, 0 replies; 10+ messages in thread
From: Andrii Dobrovol`s`kii @ 2006-11-09 17:03 UTC (permalink / raw)
To: ALT Linux Community
[-- Attachment #1: Type: text/plain, Size: 1765 bytes --]
Maxim Tyurin пишет:
> Sergei Boudnik пишет:
>> Igo пишет:
>>> Чего не хватает чтобы пускал через пасивный режим
>>>
>>> $IPTABLES -A INPUT -p TCP -s ipaddr --dport 20 -j ACCEPT
>>>
>> Это не нужно вообще
>>> $IPTABLES -A INPUT -p TCP -d ipaddr --sport 20 -j ACCEPT
>>>
>> Это может пригодиться, чтобы самому качать в активном режиме
>>> $IPTABLES -A INPUT -p TCP -s ipaddr --dport 21 -j ACCEPT
>>>
>> Это нужно для любого ftp
>>> $IPTABLES -A INPUT -p TCP -d ipaddr --sport 21 -j ACCEPT
>>>
>> Это лишнее
>>> $IPTABLES -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
>>>
>>>
>>> [root@cerber sysconfig]# lsmod |grep ip
>>> ip_conntrack_ftp 3856 1
>>>
>> В идеале этот модуль должен отработать ftp соединения, но реальность
>> далека от идеала, поэтому приходится делать по-старинке:
>>
>> $IPTABLES -A INPUT -p tcp --sport 32768:65535 --dport 32768:65535 -j ACCEPT
>
> Не нужно вредных советов.
> И нормально работает трассировка ftp
>
> Для работы ftp хватит:
> modprobe ip_conntrack_ftp
> iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A INPUT -p TCP -s ipaddr --dport 20 -j ACCEPT
> iptables -A INPUT -p TCP -s ipaddr --dport 21 -j ACCEPT
Это предлагается для клиента или для сервера?
И по моему одних INPUT-ов всё же будет маловато, если только наружу
не проходной двор...
--
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 525-7824 Department of Gas Electronics
Fax: (380-44) 525-2329 Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] ftp пассивный режим и iptables
2006-11-09 16:52 ` Dmitriy L. Kruglikov
@ 2006-11-09 18:04 ` Sergei Boudnik
0 siblings, 0 replies; 10+ messages in thread
From: Sergei Boudnik @ 2006-11-09 18:04 UTC (permalink / raw)
To: ALT Linux Community
Dmitriy L. Kruglikov пишет:
> Что бы Вы не говорили, всегда найдется человек, который поймет все иначе,
> даже если ваше высказывание имеет единственное и однозначное толкование :)
> (с) Не_помню_кто_сказал... :)
>
>
Законы Мерфи
--
WBR, Sergei Boudnik
http://www.boudnik.kiev.ua
--------------------------
Tel: +38050 3584082
ICQ UIN: 56809672
SSB-RIPE
SSB1-UANIC
==========================
Trap for spam & virii:
trap@wildlist.org.ua
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] ftp пассивный режим и iptables
2006-11-09 16:48 ` Maxim Tyurin
2006-11-09 17:03 ` Andrii Dobrovol`s`kii
@ 2006-11-09 18:15 ` Sergei Boudnik
1 sibling, 0 replies; 10+ messages in thread
From: Sergei Boudnik @ 2006-11-09 18:15 UTC (permalink / raw)
To: ALT Linux Community
Maxim Tyurin пишет:
> Не нужно вредных советов.
> И нормально работает трассировка ftp
>
> Для работы ftp хватит:
> modprobe ip_conntrack_ftp
> iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A INPUT -p TCP -s ipaddr --dport 20 -j ACCEPT
> iptables -A INPUT -p TCP -s ipaddr --dport 21 -j ACCEPT
>
Мой совет исключительно для тех, у кого не отрабатывает ip_conntrack_ftp
К тому же, если отбросить паранойю в сторону, то на портах выше 32к
ломать нечего.
Но если есть возможность заставить нужных юзверей использовать
правильные ftp-клиенты, то лишние порты, конечно же, лучше не открывать.
--
WBR, Sergei Boudnik
http://www.boudnik.kiev.ua
--------------------------
Tel: +38050 3584082
ICQ UIN: 56809672
SSB-RIPE
SSB1-UANIC
==========================
Trap for spam & virii:
trap@wildlist.org.ua
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] ftp пассивный режим и iptables
2006-11-09 15:15 [Comm] ftp пассивный режим и iptables Igo
2006-11-09 16:04 ` Sergei Boudnik
@ 2006-11-14 17:20 ` Anton Gorlov
1 sibling, 0 replies; 10+ messages in thread
From: Anton Gorlov @ 2006-11-14 17:20 UTC (permalink / raw)
To: ALT Linux Community
Igo пишет:
> Чего не хватает чтобы пускал через пасивный режим
>
> $IPTABLES -A INPUT -p TCP -s ipaddr --dport 20 -j ACCEPT
> $IPTABLES -A INPUT -p TCP -d ipaddr --sport 20 -j ACCEPT
> $IPTABLES -A INPUT -p TCP -s ipaddr --dport 21 -j ACCEPT
> $IPTABLES -A INPUT -p TCP -d ipaddr --sport 21 -j ACCEPT
> $IPTABLES -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
а где ftp-data?
--
^ permalink raw reply [flat|nested] 10+ messages in thread
end of thread, other threads:[~2006-11-14 17:20 UTC | newest]
Thread overview: 10+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2006-11-09 15:15 [Comm] ftp пассивный режим и iptables Igo
2006-11-09 16:04 ` Sergei Boudnik
2006-11-09 16:14 ` Dmitriy L. Kruglikov
2006-11-09 16:46 ` Sergei Boudnik
2006-11-09 16:52 ` Dmitriy L. Kruglikov
2006-11-09 18:04 ` Sergei Boudnik
2006-11-09 16:48 ` Maxim Tyurin
2006-11-09 17:03 ` Andrii Dobrovol`s`kii
2006-11-09 18:15 ` Sergei Boudnik
2006-11-14 17:20 ` Anton Gorlov
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git