* [Comm] ftp сквозь iptables
@ 2003-02-19 7:55 aek
2003-02-19 9:50 ` Maxim.Savrilov
` (3 more replies)
0 siblings, 4 replies; 12+ messages in thread
From: aek @ 2003-02-19 7:55 UTC (permalink / raw)
To: community
Hello community,
есть правила
/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp ! --syn --sport 21 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 20 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp ! --syn --sport 20 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
как отключаю iptables, фтпишка работает без проблем.
как включаю iptables фтпишка соединяется,запрашивает логин, пароль,
говорит что все Ок, но при попытке сделать ls выпадает по тайм ауту.
Я гдето чегото не понимаю?
зы: просто ftp <host> (не ftp -p) и mc тормозит именно на этапе чтения
каталога.
--
Всех благ!
Анатолий
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] ftp сквозь iptables
2003-02-19 7:55 [Comm] ftp сквозь iptables aek
@ 2003-02-19 9:50 ` Maxim.Savrilov
2003-02-19 11:40 ` [Comm] Re[2]: " aek
2003-02-19 10:08 ` Sergey Indlin
` (2 subsequent siblings)
3 siblings, 1 reply; 12+ messages in thread
From: Maxim.Savrilov @ 2003-02-19 9:50 UTC (permalink / raw)
To: community
On Wed, 19 Feb 2003 14:55:59 +0700
aek <aek@taxpol.krasnoyarsk.su> wrote:
> Hello community,
>
> есть правила
> /sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT
> /sbin/iptables -A INPUT -i eth0 -p tcp ! --syn --sport 21 -j ACCEPT
> /sbin/iptables -A INPUT -i eth0 -p tcp --dport 20 -j ACCEPT
> /sbin/iptables -A OUTPUT -o eth0 -p tcp ! --syn --sport 20 -j ACCEPT
> /sbin/iptables -A INPUT -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
> /sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
>
> как отключаю iptables, фтпишка работает без проблем.
> как включаю iptables фтпишка соединяется,запрашивает логин, пароль,
> говорит что все Ок, но при попытке сделать ls выпадает по тайм ауту.
>
а AUTH порт - 113, открыт?
посмотрите tcpdump, какие пакеты идут и на какие порты
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] ftp сквозь iptables
2003-02-19 7:55 [Comm] ftp сквозь iptables aek
2003-02-19 9:50 ` Maxim.Savrilov
@ 2003-02-19 10:08 ` Sergey Indlin
2003-02-19 11:44 ` [Comm] Re[2]: " aek
2003-02-19 12:39 ` Dmitry Lebkov
2003-02-20 7:52 ` Alexander Vasiliev
3 siblings, 1 reply; 12+ messages in thread
From: Sergey Indlin @ 2003-02-19 10:08 UTC (permalink / raw)
To: community
aek пишет:
> Hello community,
>
> есть правила
> /sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT
> /sbin/iptables -A INPUT -i eth0 -p tcp ! --syn --sport 21 -j ACCEPT
> /sbin/iptables -A INPUT -i eth0 -p tcp --dport 20 -j ACCEPT
> /sbin/iptables -A OUTPUT -o eth0 -p tcp ! --syn --sport 20 -j ACCEPT
> /sbin/iptables -A INPUT -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
> /sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
>
> как отключаю iptables, фтпишка работает без проблем.
> как включаю iptables фтпишка соединяется,запрашивает логин, пароль,
> говорит что все Ок, но при попытке сделать ls выпадает по тайм ауту.
У меня была такая ситуация. Вылечилось, если я не путаю, загрузкой
модуля ip_nat_ftp. Он почему-то не грузился автоматом. Еще добавил его в
/etc/modules, что-бы после ребута грузился.
--
Sergey Indlin
JID: serj@jabber.ru, ICQ: 6317316
http://www.abc92.ru
^ permalink raw reply [flat|nested] 12+ messages in thread
* [Comm] Re[2]: [Comm] ftp сквозь iptables
2003-02-19 9:50 ` Maxim.Savrilov
@ 2003-02-19 11:40 ` aek
0 siblings, 0 replies; 12+ messages in thread
From: aek @ 2003-02-19 11:40 UTC (permalink / raw)
To: Maxim.Savrilov@socenter.ru
Hello Maxim,
Wednesday, February 19, 2003, 4:50:01 PM, you wrote:
>> есть правила
>> /sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT
>> /sbin/iptables -A INPUT -i eth0 -p tcp ! --syn --sport 21 -j ACCEPT
>> /sbin/iptables -A INPUT -i eth0 -p tcp --dport 20 -j ACCEPT
>> /sbin/iptables -A OUTPUT -o eth0 -p tcp ! --syn --sport 20 -j ACCEPT
>> /sbin/iptables -A INPUT -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
>> /sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
>>
>> как отключаю iptables, фтпишка работает без проблем.
>> как включаю iptables фтпишка соединяется,запрашивает логин, пароль,
>> говорит что все Ок, но при попытке сделать ls выпадает по тайм ауту.
>>
MSsr> а AUTH порт - 113, открыт?
Нет, а действительно надо?
У меня серьезные сомнения на эту тему.
Вообщето попробую конечно, как это повлияет
на результат, сообщу.
--
Всех благ!
Анатолий
^ permalink raw reply [flat|nested] 12+ messages in thread
* [Comm] Re[2]: [Comm] ftp сквозь iptables
2003-02-19 10:08 ` Sergey Indlin
@ 2003-02-19 11:44 ` aek
2003-02-19 12:02 ` Mike Lykov
2003-02-19 15:12 ` Sergey Indlin
0 siblings, 2 replies; 12+ messages in thread
From: aek @ 2003-02-19 11:44 UTC (permalink / raw)
To: Sergey Indlin
Hello Sergey,
Wednesday, February 19, 2003, 5:08:43 PM, you wrote:
>> есть правила
>> /sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT
>> /sbin/iptables -A INPUT -i eth0 -p tcp ! --syn --sport 21 -j ACCEPT
>> /sbin/iptables -A INPUT -i eth0 -p tcp --dport 20 -j ACCEPT
>> /sbin/iptables -A OUTPUT -o eth0 -p tcp ! --syn --sport 20 -j ACCEPT
>> /sbin/iptables -A INPUT -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
>> /sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
>>
>> как отключаю iptables, фтпишка работает без проблем.
>> как включаю iptables фтпишка соединяется,запрашивает логин, пароль,
>> говорит что все Ок, но при попытке сделать ls выпадает по тайм ауту.
SI> У меня была такая ситуация. Вылечилось, если я не путаю, загрузкой
SI> модуля ip_nat_ftp. Он почему-то не грузился автоматом. Еще добавил его в
SI> /etc/modules, что-бы после ребута грузился.
Вот с модулями ядра я еще дел не имел.
Плз.
Где брать?
Какой командой загружать?
В /etc/modules нужно просто новую сточку ip_nat_ftp
потом прописать, так?
--
Всех благ!
Анатолий
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Re[2]: [Comm] ftp сквозь iptables
2003-02-19 11:44 ` [Comm] Re[2]: " aek
@ 2003-02-19 12:02 ` Mike Lykov
2003-02-19 15:12 ` Sergey Indlin
1 sibling, 0 replies; 12+ messages in thread
From: Mike Lykov @ 2003-02-19 12:02 UTC (permalink / raw)
To: community
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
В сообщении от 19 Февраль 2003 15:44 aek написал:
> Где брать?
www.google.com ? ;) просто самому же будет лучше найти все самому - рассылка
если сдохнет, куда задавать вопросы будешь? ;)
например, про это можно прочитать на
http://www.opennet.ru/docs/RUS/iptables/
- --
Mike
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.3.1 (GNU/Linux)
iD8DBQE+U3JW581JXpJ05OERAnbSAKCUPeslQ1JUta1DYtnzrvyHpmD6AACfU/oA
/z2AgVI2Q20OOBzg29mcJyU=
=OPgm
-----END PGP SIGNATURE-----
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] ftp сквозь iptables
2003-02-19 7:55 [Comm] ftp сквозь iptables aek
2003-02-19 9:50 ` Maxim.Savrilov
2003-02-19 10:08 ` Sergey Indlin
@ 2003-02-19 12:39 ` Dmitry Lebkov
2003-02-20 3:07 ` [Comm] Re[2]: " aek
2003-02-20 7:52 ` Alexander Vasiliev
3 siblings, 1 reply; 12+ messages in thread
From: Dmitry Lebkov @ 2003-02-19 12:39 UTC (permalink / raw)
To: community
On Wed, 19 Feb 2003 14:55:59 +0700
aek <aek@taxpol.krasnoyarsk.su> wrote:
> Hello community,
>
> есть правила
> /sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT
> /sbin/iptables -A INPUT -i eth0 -p tcp ! --syn --sport 21 -j ACCEPT
> /sbin/iptables -A INPUT -i eth0 -p tcp --dport 20 -j ACCEPT
> /sbin/iptables -A OUTPUT -o eth0 -p tcp ! --syn --sport 20 -j ACCEPT
> /sbin/iptables -A INPUT -i eth0 -p tcp --sport 1024:65535 --dport
> 1024:65535 -j ACCEPT/sbin/iptables -A OUTPUT -o eth0 -p tcp --sport
> 1024:65535 --dport 1024:65535 -j ACCEPT
>
> как отключаю iptables, фтпишка работает без проблем.
> как включаю iptables фтпишка соединяется,запрашивает логин, пароль,
> говорит что все Ок, но при попытке сделать ls выпадает по тайм ауту.
>
> Я гдето чегото не понимаю?
Если я ничего не перепутал, твой набор правил не учитывает ситуацию:
server:(20|21) syn -> client:(1024:65535) -- это ответ сервера в случае
passive mode.
А вся возня с модулями нужна только в том случае, если у тебя
используются правила для (S|D)NAT или MASQUERADING.
--
WBR, Dmitry Lebkov
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Re[2]: [Comm] ftp сквозь iptables
2003-02-19 11:44 ` [Comm] Re[2]: " aek
2003-02-19 12:02 ` Mike Lykov
@ 2003-02-19 15:12 ` Sergey Indlin
1 sibling, 0 replies; 12+ messages in thread
From: Sergey Indlin @ 2003-02-19 15:12 UTC (permalink / raw)
To: community
aek пишет:
> Hello Sergey,
>
> Wednesday, February 19, 2003, 5:08:43 PM, you wrote:
>
[skip]
> SI> У меня была такая ситуация. Вылечилось, если я не путаю, загрузкой
> SI> модуля ip_nat_ftp. Он почему-то не грузился автоматом. Еще добавил его в
> SI> /etc/modules, что-бы после ребута грузился.
>
> Вот с модулями ядра я еще дел не имел.
> Плз.
> Где брать?
> Какой командой загружать?
> В /etc/modules нужно просто новую сточку ip_nat_ftp
> потом прописать, так?
>
>
Брать нигде не надо. Они уже с ядром установлены. Если просто загрузить
то modprobe ip_nat_ftp. А про /etc/modules Вы правильно поняли.
--
Sergey Indlin
JID: serj@jabber.ru, ICQ: 6317316
http://www.abc92.ru
^ permalink raw reply [flat|nested] 12+ messages in thread
* [Comm] Re[2]: [Comm] ftp сквозь iptables
2003-02-19 12:39 ` Dmitry Lebkov
@ 2003-02-20 3:07 ` aek
2003-02-20 6:06 ` vic ismakaev
0 siblings, 1 reply; 12+ messages in thread
From: aek @ 2003-02-20 3:07 UTC (permalink / raw)
To: Dmitry Lebkov
Hello Dmitry,
Wednesday, February 19, 2003, 7:39:30 PM, you wrote:
DL> Если я ничего не перепутал, твой набор правил не учитывает ситуацию:
DL> server:(20|21) syn -> client:(1024:65535) -- это ответ сервера в случае
DL> passive mode.
Спасли ситуацию изменения:
/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 20:21 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp ! --syn --sport 20:21 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 20 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp ! --syn --sport 20 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --sport 0:65535 --dport 1024:65535 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 0:65535 -j ACCEPT
Надо сделать зеркало ftp сайта, вход туда под паролем
посмотрел man wget (им я пользуюсь для зеркалирования http)
там вроде как --ftp-user & --ftp-passwd опций нету
какой пакет присоветуете юзать на эту тему?
--
Всех благ!
Анатолий
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Re[2]: [Comm] ftp сквозь iptables
2003-02-20 3:07 ` [Comm] Re[2]: " aek
@ 2003-02-20 6:06 ` vic ismakaev
2003-02-20 6:39 ` [Comm] Re[2]: " aek
0 siblings, 1 reply; 12+ messages in thread
From: vic ismakaev @ 2003-02-20 6:06 UTC (permalink / raw)
To: community
20 Февраль 2003 08:07, aek написал:
> Hello Dmitry,
>
> Wednesday, February 19, 2003, 7:39:30 PM, you wrote:
>
> DL> Если я ничего не перепутал, твой набор правил не учитывает ситуацию:
>
> DL> server:(20|21) syn -> client:(1024:65535) -- это ответ сервера в случае
> DL> passive mode.
>
> Спасли ситуацию изменения:
> /sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 20:21 -j ACCEPT
> /sbin/iptables -A INPUT -i eth0 -p tcp ! --syn --sport 20:21 -j ACCEPT
> /sbin/iptables -A INPUT -i eth0 -p tcp --dport 20 -j ACCEPT
> /sbin/iptables -A OUTPUT -o eth0 -p tcp ! --syn --sport 20 -j ACCEPT
> /sbin/iptables -A INPUT -i eth0 -p tcp --sport 0:65535 --dport 1024:65535
> -j ACCEPT /sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535
> --dport 0:65535 -j ACCEPT
>
> Надо сделать зеркало ftp сайта, вход туда под паролем
> посмотрел man wget (им я пользуюсь для зеркалирования http)
> там вроде как --ftp-user & --ftp-passwd опций нету
> какой пакет присоветуете юзать на эту тему?
wget -c -r ..... ftp://username:password@your.ftp.server.ru/folder
--
С уважением
Виктор В Исмакаев
^ permalink raw reply [flat|nested] 12+ messages in thread
* [Comm] Re[2]: [Comm] Re[2]: [Comm] ftp сквозь iptables
2003-02-20 6:06 ` vic ismakaev
@ 2003-02-20 6:39 ` aek
0 siblings, 0 replies; 12+ messages in thread
From: aek @ 2003-02-20 6:39 UTC (permalink / raw)
To: vic ismakaev
Hello vic,
Thursday, February 20, 2003, 1:06:38 PM, you wrote:
>>
>> Надо сделать зеркало ftp сайта, вход туда под паролем
>> посмотрел man wget (им я пользуюсь для зеркалирования http)
>> там вроде как --ftp-user & --ftp-passwd опций нету
>> какой пакет присоветуете юзать на эту тему?
vi> wget -c -r ..... ftp://username:password@your.ftp.server.ru/folder
Атыёмоё!!!
Да, уж, со мной ребята не соскучитесь :)
--
Всех благ!
Анатолий
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] ftp сквозь iptables
2003-02-19 7:55 [Comm] ftp сквозь iptables aek
` (2 preceding siblings ...)
2003-02-19 12:39 ` Dmitry Lebkov
@ 2003-02-20 7:52 ` Alexander Vasiliev
3 siblings, 0 replies; 12+ messages in thread
From: Alexander Vasiliev @ 2003-02-20 7:52 UTC (permalink / raw)
To: community
Наверное так будет проще:
/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 21 -m state --state NEW -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp -m state --state \
ESTABLISHED,RELATED -j ACCEPT
И проследить, чтобы загрузился модуль ip_conntrack_ftp.
On Wed, Feb 19, 2003 at 02:55:59PM +0700, aek wrote:
> Hello community,
>
> есть правила
> /sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT
> /sbin/iptables -A INPUT -i eth0 -p tcp ! --syn --sport 21 -j ACCEPT
> /sbin/iptables -A INPUT -i eth0 -p tcp --dport 20 -j ACCEPT
> /sbin/iptables -A OUTPUT -o eth0 -p tcp ! --syn --sport 20 -j ACCEPT
> /sbin/iptables -A INPUT -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
> /sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
>
> как отключаю iptables, фтпишка работает без проблем.
> как включаю iptables фтпишка соединяется,запрашивает логин, пароль,
> говорит что все Ок, но при попытке сделать ls выпадает по тайм ауту.
>
> Я гдето чегото не понимаю?
>
> зы: просто ftp <host> (не ftp -p) и mc тормозит именно на этапе чтения
> каталога.
>
> --
> Всех благ!
> АнатолийЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪЪб╒i╝·+r≥╗╔┼x%┼кB╒i╝·+rЩ╘m√)НгЗН├шiЪЪПц\x0fз√ыb·ЛЪ╝ОФj)fj\x7fЕ┼кb²З?r┴╕╨x╜
Александр Васильев
ЗАО "Таском"
vav@tascom.ru
^ permalink raw reply [flat|nested] 12+ messages in thread
end of thread, other threads:[~2003-02-20 7:52 UTC | newest]
Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-02-19 7:55 [Comm] ftp сквозь iptables aek
2003-02-19 9:50 ` Maxim.Savrilov
2003-02-19 11:40 ` [Comm] Re[2]: " aek
2003-02-19 10:08 ` Sergey Indlin
2003-02-19 11:44 ` [Comm] Re[2]: " aek
2003-02-19 12:02 ` Mike Lykov
2003-02-19 15:12 ` Sergey Indlin
2003-02-19 12:39 ` Dmitry Lebkov
2003-02-20 3:07 ` [Comm] Re[2]: " aek
2003-02-20 6:06 ` vic ismakaev
2003-02-20 6:39 ` [Comm] Re[2]: " aek
2003-02-20 7:52 ` Alexander Vasiliev
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git