[Comm] ftp сквозь iptables

ALT Linux Community general discussions
 help / color / mirror / Atom feed

* [Comm] ftp сквозь iptables
@ 2003-02-19  7:55 aek
  2003-02-19  9:50 ` Maxim.Savrilov
                   ` (3 more replies)
  0 siblings, 4 replies; 12+ messages in thread
From: aek @ 2003-02-19  7:55 UTC (permalink / raw)
  To: community

Hello community,

есть правила
/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT
/sbin/iptables -A INPUT  -i eth0 -p tcp ! --syn --sport 21 -j ACCEPT
/sbin/iptables -A INPUT  -i eth0 -p tcp --dport 20 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp ! --syn --sport 20 -j ACCEPT
/sbin/iptables -A INPUT  -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT

как отключаю iptables, фтпишка работает без проблем.
как включаю iptables фтпишка соединяется,запрашивает логин, пароль,
говорит что все Ок, но при попытке сделать ls выпадает по тайм ауту.

Я гдето чегото не понимаю?

зы: просто ftp <host> (не ftp -p) и mc тормозит именно на этапе чтения
каталога.

-- 
Всех благ!
Анатолий

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Comm] ftp сквозь iptables
  2003-02-19  7:55 [Comm] ftp сквозь iptables aek
@ 2003-02-19  9:50 ` Maxim.Savrilov
  2003-02-19 11:40   ` [Comm] Re[2]: " aek
  2003-02-19 10:08 ` Sergey Indlin
                   ` (2 subsequent siblings)
  3 siblings, 1 reply; 12+ messages in thread
From: Maxim.Savrilov @ 2003-02-19  9:50 UTC (permalink / raw)
  To: community

On Wed, 19 Feb 2003 14:55:59 +0700
aek <aek@taxpol.krasnoyarsk.su> wrote:

> Hello community,
> 
> есть правила
> /sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT
> /sbin/iptables -A INPUT  -i eth0 -p tcp ! --syn --sport 21 -j ACCEPT
> /sbin/iptables -A INPUT  -i eth0 -p tcp --dport 20 -j ACCEPT
> /sbin/iptables -A OUTPUT -o eth0 -p tcp ! --syn --sport 20 -j ACCEPT
> /sbin/iptables -A INPUT  -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
> /sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
> 
> как отключаю iptables, фтпишка работает без проблем.
> как включаю iptables фтпишка соединяется,запрашивает логин, пароль,
> говорит что все Ок, но при попытке сделать ls выпадает по тайм ауту.
> 

а AUTH порт - 113, открыт?

посмотрите tcpdump, какие пакеты идут и на какие порты



^ permalink raw reply	[flat|nested] 12+ messages in thread

* [Comm] Re[2]: [Comm] ftp сквозь iptables
  2003-02-19  9:50 ` Maxim.Savrilov
@ 2003-02-19 11:40   ` aek
  0 siblings, 0 replies; 12+ messages in thread
From: aek @ 2003-02-19 11:40 UTC (permalink / raw)
  To: Maxim.Savrilov@socenter.ru

Hello Maxim,

Wednesday, February 19, 2003, 4:50:01 PM, you wrote:

>> есть правила
>> /sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT
>> /sbin/iptables -A INPUT  -i eth0 -p tcp ! --syn --sport 21 -j ACCEPT
>> /sbin/iptables -A INPUT  -i eth0 -p tcp --dport 20 -j ACCEPT
>> /sbin/iptables -A OUTPUT -o eth0 -p tcp ! --syn --sport 20 -j ACCEPT
>> /sbin/iptables -A INPUT  -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
>> /sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
>> 
>> как отключаю iptables, фтпишка работает без проблем.
>> как включаю iptables фтпишка соединяется,запрашивает логин, пароль,
>> говорит что все Ок, но при попытке сделать ls выпадает по тайм ауту.
>> 

MSsr> а AUTH порт - 113, открыт?

Нет, а действительно надо?
У меня серьезные сомнения на эту тему.
Вообщето попробую конечно, как это повлияет
на результат, сообщу.

-- 
Всех благ!
Анатолий

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Comm] ftp сквозь iptables
  2003-02-19  7:55 [Comm] ftp сквозь iptables aek
  2003-02-19  9:50 ` Maxim.Savrilov
@ 2003-02-19 10:08 ` Sergey Indlin
  2003-02-19 11:44   ` [Comm] Re[2]: " aek
  2003-02-19 12:39 ` Dmitry Lebkov
  2003-02-20  7:52 ` Alexander Vasiliev
  3 siblings, 1 reply; 12+ messages in thread
From: Sergey Indlin @ 2003-02-19 10:08 UTC (permalink / raw)
  To: community

aek пишет:
> Hello community,
> 
> есть правила
> /sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT
> /sbin/iptables -A INPUT  -i eth0 -p tcp ! --syn --sport 21 -j ACCEPT
> /sbin/iptables -A INPUT  -i eth0 -p tcp --dport 20 -j ACCEPT
> /sbin/iptables -A OUTPUT -o eth0 -p tcp ! --syn --sport 20 -j ACCEPT
> /sbin/iptables -A INPUT  -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
> /sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
> 
> как отключаю iptables, фтпишка работает без проблем.
> как включаю iptables фтпишка соединяется,запрашивает логин, пароль,
> говорит что все Ок, но при попытке сделать ls выпадает по тайм ауту.

У меня была такая ситуация. Вылечилось, если я не путаю, загрузкой 
модуля ip_nat_ftp. Он почему-то не грузился автоматом. Еще добавил его в 
/etc/modules, что-бы после ребута грузился.

-- 
Sergey Indlin
JID: serj@jabber.ru, ICQ: 6317316
http://www.abc92.ru



^ permalink raw reply	[flat|nested] 12+ messages in thread

* [Comm] Re[2]: [Comm] ftp сквозь iptables
  2003-02-19 10:08 ` Sergey Indlin
@ 2003-02-19 11:44   ` aek
  2003-02-19 12:02     ` Mike Lykov
  2003-02-19 15:12     ` Sergey Indlin
  0 siblings, 2 replies; 12+ messages in thread
From: aek @ 2003-02-19 11:44 UTC (permalink / raw)
  To: Sergey Indlin

Hello Sergey,

Wednesday, February 19, 2003, 5:08:43 PM, you wrote:

>> есть правила
>> /sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT
>> /sbin/iptables -A INPUT  -i eth0 -p tcp ! --syn --sport 21 -j ACCEPT
>> /sbin/iptables -A INPUT  -i eth0 -p tcp --dport 20 -j ACCEPT
>> /sbin/iptables -A OUTPUT -o eth0 -p tcp ! --syn --sport 20 -j ACCEPT
>> /sbin/iptables -A INPUT  -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
>> /sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
>> 
>> как отключаю iptables, фтпишка работает без проблем.
>> как включаю iptables фтпишка соединяется,запрашивает логин, пароль,
>> говорит что все Ок, но при попытке сделать ls выпадает по тайм ауту.

SI> У меня была такая ситуация. Вылечилось, если я не путаю, загрузкой 
SI> модуля ip_nat_ftp. Он почему-то не грузился автоматом. Еще добавил его в 
SI> /etc/modules, что-бы после ребута грузился.

Вот с модулями ядра я еще дел не имел.
Плз.
Где брать?
Какой командой загружать?
В /etc/modules нужно просто новую сточку ip_nat_ftp
потом прописать, так?

-- 
Всех благ!
Анатолий

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Comm] Re[2]: [Comm] ftp сквозь iptables
  2003-02-19 11:44   ` [Comm] Re[2]: " aek
@ 2003-02-19 12:02     ` Mike Lykov
  2003-02-19 15:12     ` Sergey Indlin
  1 sibling, 0 replies; 12+ messages in thread
From: Mike Lykov @ 2003-02-19 12:02 UTC (permalink / raw)
  To: community

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

В сообщении от 19 Февраль 2003 15:44 aek написал:

> Где брать?

www.google.com ?  ;) просто самому же будет лучше найти все самому - рассылка 
если сдохнет, куда задавать вопросы будешь? ;)

например, про это можно прочитать на 
http://www.opennet.ru/docs/RUS/iptables/


- -- 
Mike
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.3.1 (GNU/Linux)

iD8DBQE+U3JW581JXpJ05OERAnbSAKCUPeslQ1JUta1DYtnzrvyHpmD6AACfU/oA
/z2AgVI2Q20OOBzg29mcJyU=
=OPgm
-----END PGP SIGNATURE-----



^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Comm] Re[2]: [Comm] ftp сквозь iptables
  2003-02-19 11:44   ` [Comm] Re[2]: " aek
  2003-02-19 12:02     ` Mike Lykov
@ 2003-02-19 15:12     ` Sergey Indlin
  1 sibling, 0 replies; 12+ messages in thread
From: Sergey Indlin @ 2003-02-19 15:12 UTC (permalink / raw)
  To: community

aek пишет:
> Hello Sergey,
> 
> Wednesday, February 19, 2003, 5:08:43 PM, you wrote:
> 
[skip]
> SI> У меня была такая ситуация. Вылечилось, если я не путаю, загрузкой 
> SI> модуля ip_nat_ftp. Он почему-то не грузился автоматом. Еще добавил его в 
> SI> /etc/modules, что-бы после ребута грузился.
> 
> Вот с модулями ядра я еще дел не имел.
> Плз.
> Где брать?
> Какой командой загружать?
> В /etc/modules нужно просто новую сточку ip_nat_ftp
> потом прописать, так?
> 
> 
Брать нигде не надо. Они уже с ядром установлены. Если просто загрузить 
то modprobe ip_nat_ftp. А про /etc/modules Вы правильно поняли.

-- 
Sergey Indlin
JID: serj@jabber.ru, ICQ: 6317316
http://www.abc92.ru



^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Comm] ftp сквозь iptables
  2003-02-19  7:55 [Comm] ftp сквозь iptables aek
  2003-02-19  9:50 ` Maxim.Savrilov
  2003-02-19 10:08 ` Sergey Indlin
@ 2003-02-19 12:39 ` Dmitry Lebkov
  2003-02-20  3:07   ` [Comm] Re[2]: " aek
  2003-02-20  7:52 ` Alexander Vasiliev
  3 siblings, 1 reply; 12+ messages in thread
From: Dmitry Lebkov @ 2003-02-19 12:39 UTC (permalink / raw)
  To: community

On Wed, 19 Feb 2003 14:55:59 +0700
aek <aek@taxpol.krasnoyarsk.su> wrote:

> Hello community,
> 
> есть правила
> /sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT
> /sbin/iptables -A INPUT  -i eth0 -p tcp ! --syn --sport 21 -j ACCEPT
> /sbin/iptables -A INPUT  -i eth0 -p tcp --dport 20 -j ACCEPT
> /sbin/iptables -A OUTPUT -o eth0 -p tcp ! --syn --sport 20 -j ACCEPT
> /sbin/iptables -A INPUT  -i eth0 -p tcp --sport 1024:65535 --dport
> 1024:65535 -j ACCEPT/sbin/iptables -A OUTPUT -o eth0 -p tcp --sport
> 1024:65535 --dport 1024:65535 -j ACCEPT
> 
> как отключаю iptables, фтпишка работает без проблем.
> как включаю iptables фтпишка соединяется,запрашивает логин, пароль,
> говорит что все Ок, но при попытке сделать ls выпадает по тайм ауту.
> 
> Я гдето чегото не понимаю?

Если я ничего не перепутал, твой набор правил не учитывает ситуацию:

server:(20|21) syn -> client:(1024:65535) -- это ответ сервера в случае
passive mode. 

А вся возня с модулями нужна только в том случае, если у тебя
используются правила для (S|D)NAT или MASQUERADING.

--
WBR, Dmitry Lebkov


^ permalink raw reply	[flat|nested] 12+ messages in thread

* [Comm] Re[2]: [Comm] ftp сквозь iptables
  2003-02-19 12:39 ` Dmitry Lebkov
@ 2003-02-20  3:07   ` aek
  2003-02-20  6:06     ` vic ismakaev
  0 siblings, 1 reply; 12+ messages in thread
From: aek @ 2003-02-20  3:07 UTC (permalink / raw)
  To: Dmitry Lebkov

Hello Dmitry,

Wednesday, February 19, 2003, 7:39:30 PM, you wrote:

DL> Если я ничего не перепутал, твой набор правил не учитывает ситуацию:

DL> server:(20|21) syn -> client:(1024:65535) -- это ответ сервера в случае
DL> passive mode. 

Спасли ситуацию изменения:
/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 20:21 -j ACCEPT
/sbin/iptables -A INPUT  -i eth0 -p tcp ! --syn --sport 20:21 -j ACCEPT
/sbin/iptables -A INPUT  -i eth0 -p tcp --dport 20 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp ! --syn --sport 20 -j ACCEPT
/sbin/iptables -A INPUT  -i eth0 -p tcp --sport 0:65535 --dport 1024:65535 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 0:65535 -j ACCEPT

Надо сделать зеркало ftp сайта, вход туда под паролем
посмотрел man wget (им я пользуюсь для зеркалирования http)
там вроде как --ftp-user & --ftp-passwd опций нету
какой пакет присоветуете юзать на эту тему?

--
Всех благ!
Анатолий

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Comm] Re[2]: [Comm] ftp сквозь iptables
  2003-02-20  3:07   ` [Comm] Re[2]: " aek
@ 2003-02-20  6:06     ` vic ismakaev
  2003-02-20  6:39       ` [Comm] Re[2]: " aek
  0 siblings, 1 reply; 12+ messages in thread
From: vic ismakaev @ 2003-02-20  6:06 UTC (permalink / raw)
  To: community

20 Февраль 2003 08:07, aek написал:
> Hello Dmitry,
>
> Wednesday, February 19, 2003, 7:39:30 PM, you wrote:
>
> DL> Если я ничего не перепутал, твой набор правил не учитывает ситуацию:
>
> DL> server:(20|21) syn -> client:(1024:65535) -- это ответ сервера в случае
> DL> passive mode.
>
> Спасли ситуацию изменения:
> /sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 20:21 -j ACCEPT
> /sbin/iptables -A INPUT  -i eth0 -p tcp ! --syn --sport 20:21 -j ACCEPT
> /sbin/iptables -A INPUT  -i eth0 -p tcp --dport 20 -j ACCEPT
> /sbin/iptables -A OUTPUT -o eth0 -p tcp ! --syn --sport 20 -j ACCEPT
> /sbin/iptables -A INPUT  -i eth0 -p tcp --sport 0:65535 --dport 1024:65535
> -j ACCEPT /sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535
> --dport 0:65535 -j ACCEPT
>
> Надо сделать зеркало ftp сайта, вход туда под паролем
> посмотрел man wget (им я пользуюсь для зеркалирования http)
> там вроде как --ftp-user & --ftp-passwd опций нету
> какой пакет присоветуете юзать на эту тему?
wget -c -r ..... ftp://username:password@your.ftp.server.ru/folder

-- 
С уважением
Виктор В Исмакаев


^ permalink raw reply	[flat|nested] 12+ messages in thread

* [Comm] Re[2]: [Comm] Re[2]: [Comm] ftp сквозь iptables
  2003-02-20  6:06     ` vic ismakaev
@ 2003-02-20  6:39       ` aek
  0 siblings, 0 replies; 12+ messages in thread
From: aek @ 2003-02-20  6:39 UTC (permalink / raw)
  To: vic ismakaev

Hello vic,

Thursday, February 20, 2003, 1:06:38 PM, you wrote:
>>
>> Надо сделать зеркало ftp сайта, вход туда под паролем
>> посмотрел man wget (им я пользуюсь для зеркалирования http)
>> там вроде как --ftp-user & --ftp-passwd опций нету
>> какой пакет присоветуете юзать на эту тему?
vi> wget -c -r ..... ftp://username:password@your.ftp.server.ru/folder

Атыёмоё!!!

Да, уж, со мной ребята не соскучитесь :)

-- 
Всех благ!
Анатолий

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Comm] ftp сквозь iptables
  2003-02-19  7:55 [Comm] ftp сквозь iptables aek
                   ` (2 preceding siblings ...)
  2003-02-19 12:39 ` Dmitry Lebkov
@ 2003-02-20  7:52 ` Alexander Vasiliev
  3 siblings, 0 replies; 12+ messages in thread
From: Alexander Vasiliev @ 2003-02-20  7:52 UTC (permalink / raw)
  To: community

Наверное так будет проще:

/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 21 -m state --state NEW  -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp -m state --state \
ESTABLISHED,RELATED -j ACCEPT

И проследить, чтобы загрузился модуль ip_conntrack_ftp.
On Wed, Feb 19, 2003 at 02:55:59PM +0700, aek wrote:
> Hello community,
> 
> есть правила
> /sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT
> /sbin/iptables -A INPUT  -i eth0 -p tcp ! --syn --sport 21 -j ACCEPT
> /sbin/iptables -A INPUT  -i eth0 -p tcp --dport 20 -j ACCEPT
> /sbin/iptables -A OUTPUT -o eth0 -p tcp ! --syn --sport 20 -j ACCEPT
> /sbin/iptables -A INPUT  -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
> /sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
> 
> как отключаю iptables, фтпишка работает без проблем.
> как включаю iptables фтпишка соединяется,запрашивает логин, пароль,
> говорит что все Ок, но при попытке сделать ls выпадает по тайм ауту.
> 
> Я гдето чегото не понимаю?
> 
> зы: просто ftp <host> (не ftp -p) и mc тормозит именно на этапе чтения
> каталога.
> 
> -- 
> Всех благ!
> АнатолийЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪб╒i╝·+r≥╗╔┼x%┼кB╒i╝·+rЩ╘m√)НгЗН├шiЪЪПц\x0fз√ыb·ЛЪ╝ОФj)fj\x7fЕ┼кb²З?r┴╕╨x╜
Александр Васильев
ЗАО "Таском"
vav@tascom.ru


^ permalink raw reply	[flat|nested] 12+ messages in thread

end of thread, other threads:[~2003-02-20  7:52 UTC | newest]

Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-02-19  7:55 [Comm] ftp сквозь iptables aek
2003-02-19  9:50 ` Maxim.Savrilov
2003-02-19 11:40   ` [Comm] Re[2]: " aek
2003-02-19 10:08 ` Sergey Indlin
2003-02-19 11:44   ` [Comm] Re[2]: " aek
2003-02-19 12:02     ` Mike Lykov
2003-02-19 15:12     ` Sergey Indlin
2003-02-19 12:39 ` Dmitry Lebkov
2003-02-20  3:07   ` [Comm] Re[2]: " aek
2003-02-20  6:06     ` vic ismakaev
2003-02-20  6:39       ` [Comm] Re[2]: " aek
2003-02-20  7:52 ` Alexander Vasiliev

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git