ALT Linux sysadmins discussion
 help / color / mirror / Atom feed
* [Sysadmins] iptables rules DNAT ftp passive
@ 2008-05-16 15:15 Grigory Fateyev
  2008-05-16 15:21 ` Starodumoff Ilya
  0 siblings, 1 reply; 12+ messages in thread
From: Grigory Fateyev @ 2008-05-16 15:15 UTC (permalink / raw)
  To: sysadmins

Здравствуйте!

Подскажите как в iptables разрешить подключение пассивного ftp при
условии что ftp сервер находиться в VE и подключение на 21 порт
днатиться?

-- 
Всего наилучшего! Григорий
greg [at] anastasia [dot] ru
Письмо отправлено: 2008/05/16 19:11


^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Sysadmins] iptables rules DNAT ftp passive
  2008-05-16 15:15 [Sysadmins] iptables rules DNAT ftp passive Grigory Fateyev
@ 2008-05-16 15:21 ` Starodumoff Ilya
  2008-05-16 15:27   ` Grigory Fateyev
  0 siblings, 1 reply; 12+ messages in thread
From: Starodumoff Ilya @ 2008-05-16 15:21 UTC (permalink / raw)
  To: sysadmins

В сообщении от 16 мая 2008 Grigory Fateyev написал(a):
> Здравствуйте!
>
> Подскажите как в iptables разрешить подключение пассивного ftp при
> условии что ftp сервер находиться в VE и подключение на 21 порт
> днатиться?

банально выставить диапазон "верхних" портов и днатить их наряду с 21 портом

еще есть ip_nat_ftp, ip_conntrack_ftp (можете modinfo к нему посмотреть, если 
надо "днатить" на разные порты)

-- 
С уважением,
Стародумов Илья

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Sysadmins] iptables rules DNAT ftp passive
  2008-05-16 15:21 ` Starodumoff Ilya
@ 2008-05-16 15:27   ` Grigory Fateyev
  2008-05-16 15:41     ` Starodumoff Ilya
  0 siblings, 1 reply; 12+ messages in thread
From: Grigory Fateyev @ 2008-05-16 15:27 UTC (permalink / raw)
  To: sysadmins

Hello Starodumoff Ilya!
On Fri, 16 May 2008 21:21:37 +0600 you wrote:

> В сообщении от 16 мая 2008 Grigory Fateyev написал(a):
> > Здравствуйте!
> >
> > Подскажите как в iptables разрешить подключение пассивного ftp при
> > условии что ftp сервер находиться в VE и подключение на 21 порт
> > днатиться?
> 
> банально выставить диапазон "верхних" портов и днатить их наряду с 21
> портом
> 
> еще есть ip_nat_ftp, ip_conntrack_ftp (можете modinfo к нему
> посмотреть, если надо "днатить" на разные порты)

Типа такого? 
$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_1IP -m multiport --dport
1024: -j DNAT --to-destination $WEB1_VE

А в FORWARD ничего не надо?

-- 
Всего наилучшего! Григорий
greg [at] anastasia [dot] ru
Письмо отправлено: 2008/05/16 19:25


^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Sysadmins] iptables rules DNAT ftp passive
  2008-05-16 15:27   ` Grigory Fateyev
@ 2008-05-16 15:41     ` Starodumoff Ilya
  2008-05-16 15:54       ` Grigory Fateyev
  0 siblings, 1 reply; 12+ messages in thread
From: Starodumoff Ilya @ 2008-05-16 15:41 UTC (permalink / raw)
  To: sysadmins

В сообщении от 16 мая 2008 Grigory Fateyev написал(a):
> Типа такого?
> $IPTABLES -t nat -A PREROUTING -p tcp -d $INET_1IP -m multiport --dport
> 1024: -j DNAT --to-destination $WEB1_VE
>
не... все не надо :)
ограничьте диапазон портов для соединения с сервером в пассивном режиме...

в proftpd:
PassivePorts 65000 65535

в vsftpd:
pasv_min_port=65000
pasv_max_port=65535

iptables -t nat -A PREROUTING -d $INET_1IP -p tcp --dport 65000:65535 \
-j DNAT --to-destination $WEB1_VE


> А в FORWARD ничего не надо?
конечно надо, если там полиси не accept стоит... :)

-- 
С уважением,
Стародумов Илья

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Sysadmins] iptables rules DNAT ftp passive
  2008-05-16 15:41     ` Starodumoff Ilya
@ 2008-05-16 15:54       ` Grigory Fateyev
  2008-05-16 16:07         ` Starodumoff Ilya
  0 siblings, 1 reply; 12+ messages in thread
From: Grigory Fateyev @ 2008-05-16 15:54 UTC (permalink / raw)
  To: sysadmins

Hello Starodumoff Ilya!
On Fri, 16 May 2008 21:41:22 +0600 you wrote:

> > А в FORWARD ничего не надо?  
> конечно надо, если там полиси не accept стоит... :)

Не покажите свои? :) На примерах проще разобраться...

-- 
Всего наилучшего! Григорий
greg [at] anastasia [dot] ru
Письмо отправлено: 2008/05/16 19:53


^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Sysadmins] iptables rules DNAT ftp passive
  2008-05-16 15:54       ` Grigory Fateyev
@ 2008-05-16 16:07         ` Starodumoff Ilya
  2008-05-16 17:22           ` Grigory Fateyev
  0 siblings, 1 reply; 12+ messages in thread
From: Starodumoff Ilya @ 2008-05-16 16:07 UTC (permalink / raw)
  To: sysadmins

В сообщении от 16 мая 2008 Grigory Fateyev написал(a):
> Hello Starodumoff Ilya!
>
> On Fri, 16 May 2008 21:41:22 +0600 you wrote:
> > > А в FORWARD ничего не надо?
> >
> > конечно надо, если там полиси не accept стоит... :)
>
> Не покажите свои? :) На примерах проще разобраться...

ну например так:

iptables -P FORWARD DROP
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -d $VE_IP -m state --state NEW -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -d $VE_IP -m state --state NEW -p tcp --dport \ 
65000:65535 -j ACCEPT

iptables -t nat -A PREROUTING -d $HN_IP -p tcp --dport 21 \
-j DNAT --to-destination $VE_IP
iptables -t nat -A PREROUTING -d $HN_IP -p tcp --dport 65000:65535 \
-j DNAT --to-destination $VE_IP

ну и соответствующим образом настроенный (диапазон портов для пассивного 
режима) ftp сервер в VE

соль, перец и остальное по вкусу :)

-- 
С уважением,
Стародумов Илья

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Sysadmins] iptables rules DNAT ftp passive
  2008-05-16 16:07         ` Starodumoff Ilya
@ 2008-05-16 17:22           ` Grigory Fateyev
  2008-05-16 17:32             ` Starodumoff Ilya
  0 siblings, 1 reply; 12+ messages in thread
From: Grigory Fateyev @ 2008-05-16 17:22 UTC (permalink / raw)
  To: sysadmins

Hello Starodumoff Ilya!
On Fri, 16 May 2008 22:07:28 +0600 you wrote:

> В сообщении от 16 мая 2008 Grigory Fateyev написал(a):
> > Hello Starodumoff Ilya!
> >
> > On Fri, 16 May 2008 21:41:22 +0600 you wrote:
> > > > А в FORWARD ничего не надо?
> > >
> > > конечно надо, если там полиси не accept стоит... :)
> >
> > Не покажите свои? :) На примерах проще разобраться...
> 
> ну например так:
> 
> iptables -P FORWARD DROP
> iptables -A FORWARD -m state --state INVALID -j DROP
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A FORWARD -d $VE_IP -m state --state NEW -p tcp --dport 21
> -j ACCEPT iptables -A FORWARD -d $VE_IP -m state --state NEW -p tcp
> --dport \ 65000:65535 -j ACCEPT
> 
> iptables -t nat -A PREROUTING -d $HN_IP -p tcp --dport 21 \
> -j DNAT --to-destination $VE_IP
> iptables -t nat -A PREROUTING -d $HN_IP -p tcp --dport 65000:65535 \
> -j DNAT --to-destination $VE_IP
> 
> ну и соответствующим образом настроенный (диапазон портов для
> пассивного режима) ftp сервер в VE
> 
> соль, перец и остальное по вкусу :)
> 
Спасибо, но что-то не получается...

-- 
Всего наилучшего! Григорий
greg [at] anastasia [dot] ru
Письмо отправлено: 2008/05/16 21:22


^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Sysadmins] iptables rules DNAT ftp passive
  2008-05-16 17:22           ` Grigory Fateyev
@ 2008-05-16 17:32             ` Starodumoff Ilya
  2008-05-16 17:48               ` Grigory Fateyev
  0 siblings, 1 reply; 12+ messages in thread
From: Starodumoff Ilya @ 2008-05-16 17:32 UTC (permalink / raw)
  To: sysadmins

В сообщении от 16 мая 2008 Grigory Fateyev написал(a):
> Hello Starodumoff Ilya!
>
> On Fri, 16 May 2008 22:07:28 +0600 you wrote:
> > В сообщении от 16 мая 2008 Grigory Fateyev написал(a):
> > > Hello Starodumoff Ilya!
> > >
> > > On Fri, 16 May 2008 21:41:22 +0600 you wrote:
> > > > > А в FORWARD ничего не надо?
> > > >
> > > > конечно надо, если там полиси не accept стоит... :)
> > >
> > > Не покажите свои? :) На примерах проще разобраться...
> >
> > ну например так:
> >
> > iptables -P FORWARD DROP
> > iptables -A FORWARD -m state --state INVALID -j DROP
> > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
> > iptables -A FORWARD -d $VE_IP -m state --state NEW -p tcp --dport 21
> > -j ACCEPT iptables -A FORWARD -d $VE_IP -m state --state NEW -p tcp
> > --dport \ 65000:65535 -j ACCEPT
> >
> > iptables -t nat -A PREROUTING -d $HN_IP -p tcp --dport 21 \
> > -j DNAT --to-destination $VE_IP
> > iptables -t nat -A PREROUTING -d $HN_IP -p tcp --dport 65000:65535 \
> > -j DNAT --to-destination $VE_IP
> >
> > ну и соответствующим образом настроенный (диапазон портов для
> > пассивного режима) ftp сервер в VE
> >
> > соль, перец и остальное по вкусу :)
>
> Спасибо, но что-то не получается...


покажите конфиг фтп сервера в контейнере и

iptables -vnL FORWARD
iptables -t nat -vnL PREROUTING
на HN

-- 
С уважением,
Стародумов Илья

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Sysadmins] iptables rules DNAT ftp passive
  2008-05-16 17:32             ` Starodumoff Ilya
@ 2008-05-16 17:48               ` Grigory Fateyev
  2008-05-16 18:03                 ` Starodumoff Ilya
  0 siblings, 1 reply; 12+ messages in thread
From: Grigory Fateyev @ 2008-05-16 17:48 UTC (permalink / raw)
  To: sysadmins

Hello Starodumoff Ilya!
On Fri, 16 May 2008 23:32:54 +0600 you wrote:

[...]
> > Спасибо, но что-то не получается...
> 
> 
> покажите конфиг фтп сервера в контейнере и
# egrep -v '^(#|$)' /etc/vsftpd.conf
listen=YES
anonymous_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
chroot_local_user=YES
secure_chroot_dir=/var/run/vsftpd
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/certs/vsftpd.pem
pasv_min_port=65000
pasv_max_port=65535
 
> iptables -vnL FORWARD
> iptables -t nat -vnL PREROUTING
> на HN
http://pastebin.ca/1020285

-- 
Всего наилучшего! Григорий
greg [at] anastasia [dot] ru
Письмо отправлено: 2008/05/16 21:38


^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Sysadmins] iptables rules DNAT ftp passive
  2008-05-16 17:48               ` Grigory Fateyev
@ 2008-05-16 18:03                 ` Starodumoff Ilya
  2008-05-16 18:25                   ` Grigory Fateyev
  0 siblings, 1 reply; 12+ messages in thread
From: Starodumoff Ilya @ 2008-05-16 18:03 UTC (permalink / raw)
  To: sysadmins

В сообщении от 16 мая 2008 Grigory Fateyev написал(a):
> Hello Starodumoff Ilya!
> On Fri, 16 May 2008 23:32:54 +0600 you wrote:
>
> [...]
>
> > > Спасибо, но что-то не получается...
> >
> > покажите конфиг фтп сервера в контейнере и
>
> # egrep -v '^(#|$)' /etc/vsftpd.conf
> listen=YES
> anonymous_enable=YES
> local_enable=YES
> write_enable=YES
> local_umask=022
> dirmessage_enable=YES
> xferlog_enable=YES
> connect_from_port_20=YES
> chroot_local_user=YES
> secure_chroot_dir=/var/run/vsftpd
> pam_service_name=vsftpd
> rsa_cert_file=/etc/ssl/certs/vsftpd.pem
> pasv_min_port=65000
> pasv_max_port=65535
>
> > iptables -vnL FORWARD
> > iptables -t nat -vnL PREROUTING
> > на HN
>
> http://pastebin.ca/1020285

pasv_address=20.13.20.194

и подчистить forward надо бы... "кудряво как-то"... :)

-- 
С уважением,
Стародумов Илья

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Sysadmins] iptables rules DNAT ftp passive
  2008-05-16 18:03                 ` Starodumoff Ilya
@ 2008-05-16 18:25                   ` Grigory Fateyev
  2008-05-17  3:57                     ` Starodumoff Ilya
  0 siblings, 1 reply; 12+ messages in thread
From: Grigory Fateyev @ 2008-05-16 18:25 UTC (permalink / raw)
  To: sysadmins

Hello Starodumoff Ilya!
On Sat, 17 May 2008 00:03:22 +0600 you wrote:

> pasv_address=20.13.20.194
> 
> и подчистить forward надо бы... "кудряво как-то"... :)

Вроде ничего особенного...

$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

$IPTABLES -A FORWARD -i $OVZ_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state INVALID -j DROP
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT FORWARD packet died: "
$IPTABLES -A FORWARD -d $WEB1_VE -m state --state NEW -p tcp --dport 21
 -j ACCEPT $IPTABLES -A FORWARD -d $WEB1_VE -m state --state NEW -p \ 
tcp --dport 65000:65535 -j ACCEPT

$IPTABLES -A FORWARD -i $INET_IFACE -o $OVZ_IFACE -j ACCEPT
$IPTABLES -A FORWARD -i $OVZ_IFACE -o $INET_IFACE -j ACCEPT

# Routing VEs outside
$IPTABLES -A FORWARD -p all -s $OVZ_NET -o $INET_IFACE -j ACCEPT
$IPTABLES -A FORWARD -p all -d $OVZ_NET -i $INET_IFACE -m state \
--state ESTABLISHED,RELATED -j ACCEPT 
#$IPTABLES -A FORWARD -p all -s $OVZ_NET -j ACCEPT 
#$IPTABLES -A FORWARD -p all -d $OVZ_NET -j ACCEPT


-- 
Всего наилучшего! Григорий
greg [at] anastasia [dot] ru
Письмо отправлено: 2008/05/16 22:20


^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Sysadmins] iptables rules DNAT ftp passive
  2008-05-16 18:25                   ` Grigory Fateyev
@ 2008-05-17  3:57                     ` Starodumoff Ilya
  0 siblings, 0 replies; 12+ messages in thread
From: Starodumoff Ilya @ 2008-05-17  3:57 UTC (permalink / raw)
  To: sysadmins

В сообщении от 17 мая 2008 Grigory Fateyev написал(a):
> > и подчистить forward надо бы... "кудряво как-то"... :)
>
> Вроде ничего особенного...

вообще счетчик пакетов даже по 21 порту нулевой (forward)
похоже пакеты из bad_tcp_packets не возвращаются...

у Вас HN напрямую в интернет включен или за файрволом стоит ?
если второе - начните с:
iptables -F FORWARD
iptables -P FORWARD ACCEPT

чистите файрвол...
еще раз говорю - он "кудрявый" (без обид) :)


-- 
С уважением,
Стародумов Илья

^ permalink raw reply	[flat|nested] 12+ messages in thread

end of thread, other threads:[~2008-05-17  3:57 UTC | newest]

Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-05-16 15:15 [Sysadmins] iptables rules DNAT ftp passive Grigory Fateyev
2008-05-16 15:21 ` Starodumoff Ilya
2008-05-16 15:27   ` Grigory Fateyev
2008-05-16 15:41     ` Starodumoff Ilya
2008-05-16 15:54       ` Grigory Fateyev
2008-05-16 16:07         ` Starodumoff Ilya
2008-05-16 17:22           ` Grigory Fateyev
2008-05-16 17:32             ` Starodumoff Ilya
2008-05-16 17:48               ` Grigory Fateyev
2008-05-16 18:03                 ` Starodumoff Ilya
2008-05-16 18:25                   ` Grigory Fateyev
2008-05-17  3:57                     ` Starodumoff Ilya

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git