[Comm] Re: Помогите разобраться с iptables

ALT Linux Community general discussions
 help / color / mirror / Atom feed

* [Comm] Re: Помогите разобраться с iptables
  @ 2004-05-29 11:31 ` Juveman
  2004-05-29 12:08   ` Dmitry Lebkov
  2004-05-31  5:11   ` Nikita Semenov
  0 siblings, 2 replies; 4+ messages in thread
From: Juveman @ 2004-05-29 11:31 UTC (permalink / raw)
  To: community

> > Выполняю modprobe -l 
> > /lib/modules/2.6.3-7mdk/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko.gz
> > Насколько я понимаю, этот модуль загружен. 
> 
> lsmod подскажет точнее.

lsmod самой первой строкой выводит:
Module                  Size  Used by
ip_conntrack_ftp       71668  0

> > До введения этих правил соединения с фтп серверами проходили нормально. Подскажите, пожалуйста, как все-таки заставить работать фтп при таких настройках. 
> 
> > И еще. Очень мне понравились действия icq, которая просто переползла
> > на использование 80 порта (если верить netstat) и, соответственно,
> > спокойно соединилась с сервером :)) Ей как-нибудь можно заблокировать
> > выход в сеть?
> 
> Это не очень тривиально, но можно. А вообще в организации нужно держать
> один прокси-сервер и запретить вообще наружу коннекты. А на прокси
> открывается только http и ftp и персонально запрещаются все подсети
> mirabilis'а. :-)

:)) До организации мне пока далеко :) Пока строю сеть только у себя в подъезде :))

> > Разбираюсь с настройкой iptables. В связи с этим возникло
> > пара вопросов. Я пробую ограничить использование сети только
> > протоколами http и ftp. (я только разбираюсь с настройкой,
> > поэтому целесообразность подобного шага не обсуждается :))
> > Для этого выполняю следующие команды:
> 
> iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Это правило у меня есть. Без него вообще ничего не загружается :))

> 
> > iptables -A INPUT -p TCP -m multiport --sport 21,80 -j ACCEPT
> 
> iptables -A INPUT -p TCP -m multiport --sport 20,21,80 -j ACCEPT

Так и сделал

> 
> > iptables -A INPUT -p TCP -j REJECT
> 
> Для использования функциональности этого модуля необходимо
> задействовать правила с использованием модулья state и фильтровать
> соответствующие состояния соединений.

Это я понял. Насколько я понял из tutorial, если их не фильтровать, то вообще ничего не загрузится (политика по умолчанию для всех цепочек DROP). Поэтому это правило присутствует. Но именно фтп не работает. То есть клиент соединяется, проходит авторизацию и чего-то ждет.

----------
С уважением, Juveman


^ permalink raw reply	[flat|nested] 4+ messages in thread

* Re: [Comm] Re: Помогите разобраться с iptables
  2004-05-29 11:31 ` [Comm] Re: Помогите разобраться с iptables Juveman
@ 2004-05-29 12:08   ` Dmitry Lebkov
  2004-06-13 15:24     ` Michael Shigorin
  2004-05-31  5:11   ` Nikita Semenov
  1 sibling, 1 reply; 4+ messages in thread
From: Dmitry Lebkov @ 2004-05-29 12:08 UTC (permalink / raw)
  To: community

On Sat, 29 May 2004 15:31:22 +0400
Juveman <juveman@atom.ru> wrote:

> > > Выполняю modprobe -l 
> > > /lib/modules/2.6.3-7mdk/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko.gz
> > > Насколько я понимаю, этот модуль загружен. 
> > 
> > lsmod подскажет точнее.
> 
> lsmod самой первой строкой выводит:
> Module                  Size  Used by
> ip_conntrack_ftp       71668  0
> 
> > > До введения этих правил соединения с фтп серверами проходили нормально. Подскажите, пожалуйста, как все-таки заставить работать фтп при таких настройках. 
> > 
> > > И еще. Очень мне понравились действия icq, которая просто переползла
> > > на использование 80 порта (если верить netstat) и, соответственно,
> > > спокойно соединилась с сервером :)) Ей как-нибудь можно заблокировать
> > > выход в сеть?
> > 
> > Это не очень тривиально, но можно. А вообще в организации нужно держать
> > один прокси-сервер и запретить вообще наружу коннекты. А на прокси
> > открывается только http и ftp и персонально запрещаются все подсети
> > mirabilis'а. :-)
> 
> :)) До организации мне пока далеко :) Пока строю сеть только у себя в подъезде :))
> 
> > > Разбираюсь с настройкой iptables. В связи с этим возникло
> > > пара вопросов. Я пробую ограничить использование сети только
> > > протоколами http и ftp. (я только разбираюсь с настройкой,
> > > поэтому целесообразность подобного шага не обсуждается :))
> > > Для этого выполняю следующие команды:
> > 
> > iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> 
> Это правило у меня есть. Без него вообще ничего не загружается :))
> 
> > 
> > > iptables -A INPUT -p TCP -m multiport --sport 21,80 -j ACCEPT
> > 
> > iptables -A INPUT -p TCP -m multiport --sport 20,21,80 -j ACCEPT
> 
> Так и сделал
> 
> > 
> > > iptables -A INPUT -p TCP -j REJECT
> > 
> > Для использования функциональности этого модуля необходимо
> > задействовать правила с использованием модулья state и фильтровать
> > соответствующие состояния соединений.
> 
> Это я понял. Насколько я понял из tutorial, если их не фильтровать,
> то вообще ничего не загрузится (политика по умолчанию для всех цепочек
> DROP). Поэтому это правило присутствует. Но именно фтп не работает. То
> есть клиент соединяется, проходит авторизацию и чего-то ждет.

NAT или MASQUERADING используется? Выполни следующие команды:

# service iptables save
# cat /etc/sysconfig/iptables

и результаты сюда.

--
WBR, Dmitry Lebkov


^ permalink raw reply	[flat|nested] 4+ messages in thread

* [Comm] Re: Помогите разобраться с iptables
  2004-05-29 12:08   ` Dmitry Lebkov
@ 2004-06-13 15:24     ` Michael Shigorin
  0 siblings, 0 replies; 4+ messages in thread
From: Michael Shigorin @ 2004-06-13 15:24 UTC (permalink / raw)
  To: community

On Sat, May 29, 2004 at 11:08:21PM +1100, Dmitry Lebkov wrote:
> > Это я понял. Насколько я понял из tutorial, если их не фильтровать,
> > то вообще ничего не загрузится (политика по умолчанию для всех цепочек
> > DROP). Поэтому это правило присутствует. Но именно фтп не работает. То
> > есть клиент соединяется, проходит авторизацию и чего-то ждет.
> NAT или MASQUERADING используется? Выполни следующие команды:
> # service iptables save
> # cat /etc/sysconfig/iptables
  # lsmod | grep ^ip_nat

> и результаты сюда.

И содержимое /proc/sys/net/ipv4/ip_forward тоже.  А то я пару
недель назад успел вторично на эти грабли наступить... видать, у
них период совсемзабывания мной порядка двух лет. :)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


^ permalink raw reply	[flat|nested] 4+ messages in thread

* Re: [Comm] Re: Помогите разобраться с iptables
  2004-05-29 11:31 ` [Comm] Re: Помогите разобраться с iptables Juveman
  2004-05-29 12:08   ` Dmitry Lebkov
@ 2004-05-31  5:11   ` Nikita Semenov
  1 sibling, 0 replies; 4+ messages in thread
From: Nikita Semenov @ 2004-05-31  5:11 UTC (permalink / raw)
  To: Juveman

Здравствуйте.


Saturday, May 29, 2004, 3:31:22 PM, вы писали:

>> > Выполняю modprobe -l 
>> >
>> /lib/modules/2.6.3-7mdk/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko.gz
>> > Насколько я понимаю, этот модуль загружен. 
>> 
>> lsmod подскажет точнее.

J> lsmod самой первой строкой выводит:
J> Module                  Size  Used by
J> ip_conntrack_ftp       71668  0

>> > Разбираюсь с настройкой iptables. В связи с этим возникло
>> > пара вопросов. Я пробую ограничить использование сети только
>> > протоколами http и ftp. (я только разбираюсь с настройкой,
>> > поэтому целесообразность подобного шага не обсуждается :))
>> > Для этого выполняю следующие команды:
>> 
>> iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

J> Это правило у меня есть. Без него вообще ничего не загружается :))

>> 
>> > iptables -A INPUT -p TCP -m multiport --sport 21,80 -j ACCEPT
>> 
>> iptables -A INPUT -p TCP -m multiport --sport 20,21,80 -j ACCEPT

J> Так и сделал

>> 
>> > iptables -A INPUT -p TCP -j REJECT
>> 
>> Для использования функциональности этого модуля необходимо
>> задействовать правила с использованием модулья state и фильтровать
>> соответствующие состояния соединений.

J> Это я понял. Насколько я понял из tutorial, если их не
J> фильтровать, то вообще ничего не загрузится (политика по умолчанию
J> для всех цепочек DROP). Поэтому это правило присутствует. Но именно
J> фтп не работает. То есть клиент соединяется, проходит авторизацию и
J> чего-то ждет.
В клиенте поставить passive mode.


J> ----------
J> С уважением, Juveman
J> _______________________________________________
J> Community mailing list
J> Community@altlinux.ru
J> https://lists.altlinux.ru/mailman/listinfo/community




-- 
Best regards,
Nikita Semenov
System Administrator
InterStep
+7(812)324-8020
nikita@inter-step.ru
ICQ: 3939833



^ permalink raw reply	[flat|nested] 4+ messages in thread

end of thread, other threads:[~2004-06-13 15:24 UTC | newest]

Thread overview: 4+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-05-29 11:31 ` [Comm] Re: Помогите разобраться с iptables Juveman
2004-05-29 12:08   ` Dmitry Lebkov
2004-06-13 15:24     ` Michael Shigorin
2004-05-31  5:11   ` Nikita Semenov

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git