From: "Kharitonov A. Dmitry" <kharpost@rambler.ru> To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org> Subject: Re: [Sysadmins] iptables и ftp --- фича или баг? Date: Fri, 21 Nov 2008 19:15:33 +0300 Message-ID: <4926DEA5.3000707@rambler.ru> (raw) In-Reply-To: <492505F3.4040903@ues.ru> >>> Только вчера занимался настройкой FTP, вот по этой статье >>> http://www.sys-adm.org.ua/system/ftp-nat.php >>> Сделал как там написано и все заработало, как в пассивнов так и в >>> активном режиме >>> >> Там вообще приведён кривой способ настройки. Про 20 порт в правилах >> ни слова >> > Да и еще, такая конструкция лишина всякого смысла > --tcp-flags FIN,SYN,RST,ACK SYN -m state --state RELATED,ESTABLISHED > у тебя из флагов установлен только SYN, но зато состояние > RELATED,ESTABLISHED > По моему все нормально. iptables --append INPUT --in-interface lan --protocol tcp --dport 21 --match state --state NEW,ESTABLISHED,RELATED --jump ACCEPT Здесь пропускаются пакеты, которые запрашивают и продолжают соединение iptables --append OUTPUT --out-interface lan --protocol tcp --sport 21 '!' --syn --match state --state ESTABLISHED,RELATED --jump ACCEPT Здесь пропускаются только пакеты, которые являются ответами, но не являются запросами на соединение. Запрет syn -- это перебор, но не смертельно. Вы мне пальцем покажите, где он лезет на не привелегированный порт. И для чего я его должен открывать? Эта сессия просмотра директория из firefox. [user@server ~]$ sudo tcpdump -S -i wan host ftp.altlinux.ru tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on wan, link-type EN10MB (Ethernet), capture size 96 bytes 19:09:42.779715 IP 192.168.1.1.3538 > ftp.altlinux.org.ftp: S 2151863340:2151863340(0) win 192 <mss 1460,nop,nop,sackOK,nop,wscale 2> 19:09:42.784123 IP ftp.altlinux.org.ftp > 192.168.1.1.3538: S 2070361771:2070361771(0) ack 2151863341 win 16384 <mss 1460,nop,wscale 0,nop,nop,sackOK> 19:09:42.784553 IP 192.168.1.1.3538 > ftp.altlinux.org.ftp: . ack 2070361772 win 48 19:09:42.823557 IP ftp.altlinux.org.ftp > 192.168.1.1.3538: P 2070361772:2070361837(65) ack 2151863341 win 17520 19:09:42.823843 IP 192.168.1.1.3538 > ftp.altlinux.org.ftp: . ack 2070361837 win 31 19:09:42.824715 IP 192.168.1.1.3538 > ftp.altlinux.org.ftp: P 2151863341:2151863357(16) ack 2070361837 win 48 19:09:42.869297 IP ftp.altlinux.org.ftp > 192.168.1.1.3538: P 2070361837:2070361871(34) ack 2151863357 win 17504 19:09:42.870181 IP 192.168.1.1.3538 > ftp.altlinux.org.ftp: P 2151863357:2151863387(30) ack 2070361871 win 48 19:09:42.884790 IP ftp.altlinux.org.ftp > 192.168.1.1.3538: P 2070361871:2070361894(23) ack 2151863387 win 17474 19:09:42.886572 IP 192.168.1.1.3538 > ftp.altlinux.org.ftp: P 2151863387:2151863395(8) ack 2070361894 win 48 19:09:42.900289 IP ftp.altlinux.org.ftp > 192.168.1.1.3538: P 2070361894:2070361924(30) ack 2151863395 win 17466 19:09:42.901204 IP 192.168.1.1.3538 > ftp.altlinux.org.ftp: P 2151863395:2151863404(9) ack 2070361924 win 48 19:09:42.914981 IP ftp.altlinux.org.ftp > 192.168.1.1.3538: P 2070361924:2070361961(37) ack 2151863404 win 17457 19:09:42.915843 IP 192.168.1.1.3538 > ftp.altlinux.org.ftp: P 2151863404:2151863414(10) ack 2070361961 win 48 19:09:42.931310 IP ftp.altlinux.org.ftp > 192.168.1.1.3538: P 2070361961:2070361998(37) ack 2151863414 win 17447 19:09:42.932175 IP 192.168.1.1.3538 > ftp.altlinux.org.ftp: P 2151863414:2151863424(10) ack 2070361998 win 48 19:09:42.952727 IP ftp.altlinux.org.ftp > 192.168.1.1.3538: P 2070361998:2070362035(37) ack 2151863424 win 17437 19:09:42.955069 IP 192.168.1.1.3538 > ftp.altlinux.org.ftp: P 2151863424:2151863449(25) ack 2070362035 win 48 19:09:42.969849 IP ftp.altlinux.org.ftp > 192.168.1.1.3538: P 2070362035:2070362086(51) ack 2151863449 win 17412 19:09:42.971572 IP 192.168.1.1.3538 > ftp.altlinux.org.ftp: P 2151863449:2151863455(6) ack 2070362086 win 48 19:09:42.984590 IP ftp.altlinux.org.ftp-data > 192.168.1.1.4269: S 235890571:235890571(0) win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 7> 19:09:42.984919 IP 192.168.1.1.4269 > ftp.altlinux.org.ftp-data: S 2157394915:2157394915(0) ack 235890572 win 192 <mss 1460,nop,nop,sackOK,nop,wscale 2> 19:09:43.014567 IP ftp.altlinux.org.ftp-data > 192.168.1.1.4269: . ack 2157394916 win 46 19:09:43.014675 IP ftp.altlinux.org.ftp > 192.168.1.1.3538: P 2070362086:2070362125(39) ack 2151863455 win 17406 19:09:43.039629 IP ftp.altlinux.org.ftp-data > 192.168.1.1.4269: . 235890572:235890668(96) ack 2157394916 win 46 19:09:43.039906 IP 192.168.1.1.4269 > ftp.altlinux.org.ftp-data: . ack 235890668 win 24 19:09:43.042045 IP 192.168.1.1.4269 > ftp.altlinux.org.ftp-data: . ack 235890668 win 48 19:09:43.045567 IP ftp.altlinux.org.ftp-data > 192.168.1.1.4269: P 235890668:235890764(96) ack 2157394916 win 46 19:09:43.047669 IP 192.168.1.1.4269 > ftp.altlinux.org.ftp-data: . ack 235890764 win 48 19:09:43.053555 IP 192.168.1.1.3538 > ftp.altlinux.org.ftp: . ack 2070362125 win 48 19:09:43.076984 IP ftp.altlinux.org.ftp-data > 192.168.1.1.4269: . 235890764:235890860(96) ack 2157394916 win 46 19:09:43.077834 IP 192.168.1.1.4269 > ftp.altlinux.org.ftp-data: . ack 235890860 win 48 19:09:43.108141 IP ftp.altlinux.org.ftp-data > 192.168.1.1.4269: P 235890860:235890956(96) ack 2157394916 win 46 19:09:43.110191 IP 192.168.1.1.4269 > ftp.altlinux.org.ftp-data: . ack 235890956 win 48 19:09:43.139593 IP ftp.altlinux.org.ftp-data > 192.168.1.1.4269: . 235890956:235891052(96) ack 2157394916 win 46 19:09:43.140640 IP 192.168.1.1.4269 > ftp.altlinux.org.ftp-data: . ack 235891052 win 48 19:09:43.170495 IP ftp.altlinux.org.ftp-data > 192.168.1.1.4269: P 235891052:235891148(96) ack 2157394916 win 46 19:09:43.172474 IP 192.168.1.1.4269 > ftp.altlinux.org.ftp-data: . ack 235891148 win 48 19:09:43.201810 IP ftp.altlinux.org.ftp-data > 192.168.1.1.4269: . 235891148:235891244(96) ack 2157394916 win 46 19:09:43.202594 IP 192.168.1.1.4269 > ftp.altlinux.org.ftp-data: . ack 235891244 win 48 19:09:43.233352 IP ftp.altlinux.org.ftp-data > 192.168.1.1.4269: P 235891244:235891340(96) ack 2157394916 win 46 19:09:43.235342 IP 192.168.1.1.4269 > ftp.altlinux.org.ftp-data: . ack 235891340 win 48 19:09:43.264389 IP ftp.altlinux.org.ftp-data > 192.168.1.1.4269: . 235891340:235891436(96) ack 2157394916 win 46 19:09:43.271891 IP 192.168.1.1.4269 > ftp.altlinux.org.ftp-data: . ack 235891436 win 48 19:09:43.295729 IP ftp.altlinux.org.ftp-data > 192.168.1.1.4269: P 235891436:235891532(96) ack 2157394916 win 46 19:09:43.296509 IP 192.168.1.1.4269 > ftp.altlinux.org.ftp-data: . ack 235891532 win 48 19:09:43.326594 IP ftp.altlinux.org.ftp-data > 192.168.1.1.4269: . 235891532:235891628(96) ack 2157394916 win 46 19:09:43.328678 IP 192.168.1.1.4269 > ftp.altlinux.org.ftp-data: . ack 235891628 win 48 19:09:43.358343 IP ftp.altlinux.org.ftp-data > 192.168.1.1.4269: P 235891628:235891724(96) ack 2157394916 win 46 19:09:43.360332 IP 192.168.1.1.4269 > ftp.altlinux.org.ftp-data: . ack 235891724 win 48 19:09:43.389437 IP ftp.altlinux.org.ftp-data > 192.168.1.1.4269: . 235891724:235891820(96) ack 2157394916 win 46 19:09:43.391404 IP 192.168.1.1.4269 > ftp.altlinux.org.ftp-data: . ack 235891820 win 48 19:09:43.420552 IP ftp.altlinux.org.ftp-data > 192.168.1.1.4269: P 235891820:235891916(96) ack 2157394916 win 46 19:09:43.421684 IP 192.168.1.1.4269 > ftp.altlinux.org.ftp-data: . ack 235891916 win 48 19:09:43.451803 IP ftp.altlinux.org.ftp-data > 192.168.1.1.4269: . 235891916:235892012(96) ack 2157394916 win 46 19:09:43.452842 IP 192.168.1.1.4269 > ftp.altlinux.org.ftp-data: . ack 235892012 win 48 19:09:43.483064 IP ftp.altlinux.org.ftp-data > 192.168.1.1.4269: P 235892012:235892108(96) ack 2157394916 win 46 19:09:43.484165 IP 192.168.1.1.4269 > ftp.altlinux.org.ftp-data: . ack 235892108 win 48 19:09:43.514497 IP ftp.altlinux.org.ftp-data > 192.168.1.1.4269: . 235892108:235892204(96) ack 2157394916 win 46 19:09:43.516485 IP 192.168.1.1.4269 > ftp.altlinux.org.ftp-data: . ack 235892204 win 48 19:09:43.545584 IP ftp.altlinux.org.ftp-data > 192.168.1.1.4269: P 235892204:235892300(96) ack 2157394916 win 46 19:09:43.547550 IP 192.168.1.1.4269 > ftp.altlinux.org.ftp-data: . ack 235892300 win 48 19:09:43.576957 IP ftp.altlinux.org.ftp-data > 192.168.1.1.4269: FP 235892300:235892311(11) ack 2157394916 win 46 19:09:43.578965 IP 192.168.1.1.4269 > ftp.altlinux.org.ftp-data: F 2157394916:2157394916(0) ack 235892312 win 48 19:09:43.618446 IP ftp.altlinux.org.ftp-data > 192.168.1.1.4269: . ack 2157394917 win 46 19:09:43.639350 IP ftp.altlinux.org.ftp > 192.168.1.1.3538: P 2070362125:2070362149(24) ack 2151863455 win 17406 19:09:43.639632 IP 192.168.1.1.3538 > ftp.altlinux.org.ftp: . ack 2070362149 win 42 19:09:43.640904 IP 192.168.1.1.3538 > ftp.altlinux.org.ftp: P 2151863455:2151863461(6) ack 2070362149 win 48 19:09:43.682156 IP ftp.altlinux.org.ftp > 192.168.1.1.3538: P 2070362149:2070362163(14) ack 2151863461 win 17400 19:09:43.684500 IP 192.168.1.1.3538 > ftp.altlinux.org.ftp: F 2151863461:2151863461(0) ack 2070362163 win 48 19:09:43.687771 IP ftp.altlinux.org.ftp > 192.168.1.1.3538: R 2070362163:2070362163(0) ack 2151863461 win 0 19:09:43.687839 IP ftp.altlinux.org.ftp > 192.168.1.1.3538: R 2070362163:2070362163(0) win 0 > Давай весь конфиг с настройкой iptables, будет понятно тогда где > пакеты теряются Там несколько тысяч строк...
next prev parent reply other threads:[~2008-11-21 16:15 UTC|newest] Thread overview: 7+ messages / expand[flat|nested] mbox.gz Atom feed top 2008-11-19 19:47 Kharitonov A. Dmitry 2008-11-19 22:47 ` Alexey Shabalin 2008-11-20 5:42 ` Kharitonov A. Dmitry 2008-11-20 5:34 ` Kharitonov A. Dmitry 2008-11-20 6:38 ` "ЗАО \"Уралэнерго-Союз\" / Бережко Иван" 2008-11-21 16:15 ` Kharitonov A. Dmitry [this message] 2008-11-22 15:27 ` Kharitonov A. Dmitry
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=4926DEA5.3000707@rambler.ru \ --to=kharpost@rambler.ru \ --cc=sysadmins@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git