* [Sysadmins] iptables rules DNAT ftp passive
@ 2008-05-16 15:15 Grigory Fateyev
2008-05-16 15:21 ` Starodumoff Ilya
0 siblings, 1 reply; 12+ messages in thread
From: Grigory Fateyev @ 2008-05-16 15:15 UTC (permalink / raw)
To: sysadmins
Здравствуйте!
Подскажите как в iptables разрешить подключение пассивного ftp при
условии что ftp сервер находиться в VE и подключение на 21 порт
днатиться?
--
Всего наилучшего! Григорий
greg [at] anastasia [dot] ru
Письмо отправлено: 2008/05/16 19:11
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] iptables rules DNAT ftp passive
2008-05-16 15:15 [Sysadmins] iptables rules DNAT ftp passive Grigory Fateyev
@ 2008-05-16 15:21 ` Starodumoff Ilya
2008-05-16 15:27 ` Grigory Fateyev
0 siblings, 1 reply; 12+ messages in thread
From: Starodumoff Ilya @ 2008-05-16 15:21 UTC (permalink / raw)
To: sysadmins
В сообщении от 16 мая 2008 Grigory Fateyev написал(a):
> Здравствуйте!
>
> Подскажите как в iptables разрешить подключение пассивного ftp при
> условии что ftp сервер находиться в VE и подключение на 21 порт
> днатиться?
банально выставить диапазон "верхних" портов и днатить их наряду с 21 портом
еще есть ip_nat_ftp, ip_conntrack_ftp (можете modinfo к нему посмотреть, если
надо "днатить" на разные порты)
--
С уважением,
Стародумов Илья
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] iptables rules DNAT ftp passive
2008-05-16 15:21 ` Starodumoff Ilya
@ 2008-05-16 15:27 ` Grigory Fateyev
2008-05-16 15:41 ` Starodumoff Ilya
0 siblings, 1 reply; 12+ messages in thread
From: Grigory Fateyev @ 2008-05-16 15:27 UTC (permalink / raw)
To: sysadmins
Hello Starodumoff Ilya!
On Fri, 16 May 2008 21:21:37 +0600 you wrote:
> В сообщении от 16 мая 2008 Grigory Fateyev написал(a):
> > Здравствуйте!
> >
> > Подскажите как в iptables разрешить подключение пассивного ftp при
> > условии что ftp сервер находиться в VE и подключение на 21 порт
> > днатиться?
>
> банально выставить диапазон "верхних" портов и днатить их наряду с 21
> портом
>
> еще есть ip_nat_ftp, ip_conntrack_ftp (можете modinfo к нему
> посмотреть, если надо "днатить" на разные порты)
Типа такого?
$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_1IP -m multiport --dport
1024: -j DNAT --to-destination $WEB1_VE
А в FORWARD ничего не надо?
--
Всего наилучшего! Григорий
greg [at] anastasia [dot] ru
Письмо отправлено: 2008/05/16 19:25
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] iptables rules DNAT ftp passive
2008-05-16 15:27 ` Grigory Fateyev
@ 2008-05-16 15:41 ` Starodumoff Ilya
2008-05-16 15:54 ` Grigory Fateyev
0 siblings, 1 reply; 12+ messages in thread
From: Starodumoff Ilya @ 2008-05-16 15:41 UTC (permalink / raw)
To: sysadmins
В сообщении от 16 мая 2008 Grigory Fateyev написал(a):
> Типа такого?
> $IPTABLES -t nat -A PREROUTING -p tcp -d $INET_1IP -m multiport --dport
> 1024: -j DNAT --to-destination $WEB1_VE
>
не... все не надо :)
ограничьте диапазон портов для соединения с сервером в пассивном режиме...
в proftpd:
PassivePorts 65000 65535
в vsftpd:
pasv_min_port=65000
pasv_max_port=65535
iptables -t nat -A PREROUTING -d $INET_1IP -p tcp --dport 65000:65535 \
-j DNAT --to-destination $WEB1_VE
> А в FORWARD ничего не надо?
конечно надо, если там полиси не accept стоит... :)
--
С уважением,
Стародумов Илья
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] iptables rules DNAT ftp passive
2008-05-16 15:41 ` Starodumoff Ilya
@ 2008-05-16 15:54 ` Grigory Fateyev
2008-05-16 16:07 ` Starodumoff Ilya
0 siblings, 1 reply; 12+ messages in thread
From: Grigory Fateyev @ 2008-05-16 15:54 UTC (permalink / raw)
To: sysadmins
Hello Starodumoff Ilya!
On Fri, 16 May 2008 21:41:22 +0600 you wrote:
> > А в FORWARD ничего не надо?
> конечно надо, если там полиси не accept стоит... :)
Не покажите свои? :) На примерах проще разобраться...
--
Всего наилучшего! Григорий
greg [at] anastasia [dot] ru
Письмо отправлено: 2008/05/16 19:53
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] iptables rules DNAT ftp passive
2008-05-16 15:54 ` Grigory Fateyev
@ 2008-05-16 16:07 ` Starodumoff Ilya
2008-05-16 17:22 ` Grigory Fateyev
0 siblings, 1 reply; 12+ messages in thread
From: Starodumoff Ilya @ 2008-05-16 16:07 UTC (permalink / raw)
To: sysadmins
В сообщении от 16 мая 2008 Grigory Fateyev написал(a):
> Hello Starodumoff Ilya!
>
> On Fri, 16 May 2008 21:41:22 +0600 you wrote:
> > > А в FORWARD ничего не надо?
> >
> > конечно надо, если там полиси не accept стоит... :)
>
> Не покажите свои? :) На примерах проще разобраться...
ну например так:
iptables -P FORWARD DROP
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -d $VE_IP -m state --state NEW -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -d $VE_IP -m state --state NEW -p tcp --dport \
65000:65535 -j ACCEPT
iptables -t nat -A PREROUTING -d $HN_IP -p tcp --dport 21 \
-j DNAT --to-destination $VE_IP
iptables -t nat -A PREROUTING -d $HN_IP -p tcp --dport 65000:65535 \
-j DNAT --to-destination $VE_IP
ну и соответствующим образом настроенный (диапазон портов для пассивного
режима) ftp сервер в VE
соль, перец и остальное по вкусу :)
--
С уважением,
Стародумов Илья
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] iptables rules DNAT ftp passive
2008-05-16 16:07 ` Starodumoff Ilya
@ 2008-05-16 17:22 ` Grigory Fateyev
2008-05-16 17:32 ` Starodumoff Ilya
0 siblings, 1 reply; 12+ messages in thread
From: Grigory Fateyev @ 2008-05-16 17:22 UTC (permalink / raw)
To: sysadmins
Hello Starodumoff Ilya!
On Fri, 16 May 2008 22:07:28 +0600 you wrote:
> В сообщении от 16 мая 2008 Grigory Fateyev написал(a):
> > Hello Starodumoff Ilya!
> >
> > On Fri, 16 May 2008 21:41:22 +0600 you wrote:
> > > > А в FORWARD ничего не надо?
> > >
> > > конечно надо, если там полиси не accept стоит... :)
> >
> > Не покажите свои? :) На примерах проще разобраться...
>
> ну например так:
>
> iptables -P FORWARD DROP
> iptables -A FORWARD -m state --state INVALID -j DROP
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A FORWARD -d $VE_IP -m state --state NEW -p tcp --dport 21
> -j ACCEPT iptables -A FORWARD -d $VE_IP -m state --state NEW -p tcp
> --dport \ 65000:65535 -j ACCEPT
>
> iptables -t nat -A PREROUTING -d $HN_IP -p tcp --dport 21 \
> -j DNAT --to-destination $VE_IP
> iptables -t nat -A PREROUTING -d $HN_IP -p tcp --dport 65000:65535 \
> -j DNAT --to-destination $VE_IP
>
> ну и соответствующим образом настроенный (диапазон портов для
> пассивного режима) ftp сервер в VE
>
> соль, перец и остальное по вкусу :)
>
Спасибо, но что-то не получается...
--
Всего наилучшего! Григорий
greg [at] anastasia [dot] ru
Письмо отправлено: 2008/05/16 21:22
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] iptables rules DNAT ftp passive
2008-05-16 17:22 ` Grigory Fateyev
@ 2008-05-16 17:32 ` Starodumoff Ilya
2008-05-16 17:48 ` Grigory Fateyev
0 siblings, 1 reply; 12+ messages in thread
From: Starodumoff Ilya @ 2008-05-16 17:32 UTC (permalink / raw)
To: sysadmins
В сообщении от 16 мая 2008 Grigory Fateyev написал(a):
> Hello Starodumoff Ilya!
>
> On Fri, 16 May 2008 22:07:28 +0600 you wrote:
> > В сообщении от 16 мая 2008 Grigory Fateyev написал(a):
> > > Hello Starodumoff Ilya!
> > >
> > > On Fri, 16 May 2008 21:41:22 +0600 you wrote:
> > > > > А в FORWARD ничего не надо?
> > > >
> > > > конечно надо, если там полиси не accept стоит... :)
> > >
> > > Не покажите свои? :) На примерах проще разобраться...
> >
> > ну например так:
> >
> > iptables -P FORWARD DROP
> > iptables -A FORWARD -m state --state INVALID -j DROP
> > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
> > iptables -A FORWARD -d $VE_IP -m state --state NEW -p tcp --dport 21
> > -j ACCEPT iptables -A FORWARD -d $VE_IP -m state --state NEW -p tcp
> > --dport \ 65000:65535 -j ACCEPT
> >
> > iptables -t nat -A PREROUTING -d $HN_IP -p tcp --dport 21 \
> > -j DNAT --to-destination $VE_IP
> > iptables -t nat -A PREROUTING -d $HN_IP -p tcp --dport 65000:65535 \
> > -j DNAT --to-destination $VE_IP
> >
> > ну и соответствующим образом настроенный (диапазон портов для
> > пассивного режима) ftp сервер в VE
> >
> > соль, перец и остальное по вкусу :)
>
> Спасибо, но что-то не получается...
покажите конфиг фтп сервера в контейнере и
iptables -vnL FORWARD
iptables -t nat -vnL PREROUTING
на HN
--
С уважением,
Стародумов Илья
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] iptables rules DNAT ftp passive
2008-05-16 17:32 ` Starodumoff Ilya
@ 2008-05-16 17:48 ` Grigory Fateyev
2008-05-16 18:03 ` Starodumoff Ilya
0 siblings, 1 reply; 12+ messages in thread
From: Grigory Fateyev @ 2008-05-16 17:48 UTC (permalink / raw)
To: sysadmins
Hello Starodumoff Ilya!
On Fri, 16 May 2008 23:32:54 +0600 you wrote:
[...]
> > Спасибо, но что-то не получается...
>
>
> покажите конфиг фтп сервера в контейнере и
# egrep -v '^(#|$)' /etc/vsftpd.conf
listen=YES
anonymous_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
chroot_local_user=YES
secure_chroot_dir=/var/run/vsftpd
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/certs/vsftpd.pem
pasv_min_port=65000
pasv_max_port=65535
> iptables -vnL FORWARD
> iptables -t nat -vnL PREROUTING
> на HN
http://pastebin.ca/1020285
--
Всего наилучшего! Григорий
greg [at] anastasia [dot] ru
Письмо отправлено: 2008/05/16 21:38
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] iptables rules DNAT ftp passive
2008-05-16 17:48 ` Grigory Fateyev
@ 2008-05-16 18:03 ` Starodumoff Ilya
2008-05-16 18:25 ` Grigory Fateyev
0 siblings, 1 reply; 12+ messages in thread
From: Starodumoff Ilya @ 2008-05-16 18:03 UTC (permalink / raw)
To: sysadmins
В сообщении от 16 мая 2008 Grigory Fateyev написал(a):
> Hello Starodumoff Ilya!
> On Fri, 16 May 2008 23:32:54 +0600 you wrote:
>
> [...]
>
> > > Спасибо, но что-то не получается...
> >
> > покажите конфиг фтп сервера в контейнере и
>
> # egrep -v '^(#|$)' /etc/vsftpd.conf
> listen=YES
> anonymous_enable=YES
> local_enable=YES
> write_enable=YES
> local_umask=022
> dirmessage_enable=YES
> xferlog_enable=YES
> connect_from_port_20=YES
> chroot_local_user=YES
> secure_chroot_dir=/var/run/vsftpd
> pam_service_name=vsftpd
> rsa_cert_file=/etc/ssl/certs/vsftpd.pem
> pasv_min_port=65000
> pasv_max_port=65535
>
> > iptables -vnL FORWARD
> > iptables -t nat -vnL PREROUTING
> > на HN
>
> http://pastebin.ca/1020285
pasv_address=20.13.20.194
и подчистить forward надо бы... "кудряво как-то"... :)
--
С уважением,
Стародумов Илья
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] iptables rules DNAT ftp passive
2008-05-16 18:03 ` Starodumoff Ilya
@ 2008-05-16 18:25 ` Grigory Fateyev
2008-05-17 3:57 ` Starodumoff Ilya
0 siblings, 1 reply; 12+ messages in thread
From: Grigory Fateyev @ 2008-05-16 18:25 UTC (permalink / raw)
To: sysadmins
Hello Starodumoff Ilya!
On Sat, 17 May 2008 00:03:22 +0600 you wrote:
> pasv_address=20.13.20.194
>
> и подчистить forward надо бы... "кудряво как-то"... :)
Вроде ничего особенного...
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
$IPTABLES -A FORWARD -i $OVZ_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state INVALID -j DROP
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT FORWARD packet died: "
$IPTABLES -A FORWARD -d $WEB1_VE -m state --state NEW -p tcp --dport 21
-j ACCEPT $IPTABLES -A FORWARD -d $WEB1_VE -m state --state NEW -p \
tcp --dport 65000:65535 -j ACCEPT
$IPTABLES -A FORWARD -i $INET_IFACE -o $OVZ_IFACE -j ACCEPT
$IPTABLES -A FORWARD -i $OVZ_IFACE -o $INET_IFACE -j ACCEPT
# Routing VEs outside
$IPTABLES -A FORWARD -p all -s $OVZ_NET -o $INET_IFACE -j ACCEPT
$IPTABLES -A FORWARD -p all -d $OVZ_NET -i $INET_IFACE -m state \
--state ESTABLISHED,RELATED -j ACCEPT
#$IPTABLES -A FORWARD -p all -s $OVZ_NET -j ACCEPT
#$IPTABLES -A FORWARD -p all -d $OVZ_NET -j ACCEPT
--
Всего наилучшего! Григорий
greg [at] anastasia [dot] ru
Письмо отправлено: 2008/05/16 22:20
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] iptables rules DNAT ftp passive
2008-05-16 18:25 ` Grigory Fateyev
@ 2008-05-17 3:57 ` Starodumoff Ilya
0 siblings, 0 replies; 12+ messages in thread
From: Starodumoff Ilya @ 2008-05-17 3:57 UTC (permalink / raw)
To: sysadmins
В сообщении от 17 мая 2008 Grigory Fateyev написал(a):
> > и подчистить forward надо бы... "кудряво как-то"... :)
>
> Вроде ничего особенного...
вообще счетчик пакетов даже по 21 порту нулевой (forward)
похоже пакеты из bad_tcp_packets не возвращаются...
у Вас HN напрямую в интернет включен или за файрволом стоит ?
если второе - начните с:
iptables -F FORWARD
iptables -P FORWARD ACCEPT
чистите файрвол...
еще раз говорю - он "кудрявый" (без обид) :)
--
С уважением,
Стародумов Илья
^ permalink raw reply [flat|nested] 12+ messages in thread
end of thread, other threads:[~2008-05-17 3:57 UTC | newest]
Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-05-16 15:15 [Sysadmins] iptables rules DNAT ftp passive Grigory Fateyev
2008-05-16 15:21 ` Starodumoff Ilya
2008-05-16 15:27 ` Grigory Fateyev
2008-05-16 15:41 ` Starodumoff Ilya
2008-05-16 15:54 ` Grigory Fateyev
2008-05-16 16:07 ` Starodumoff Ilya
2008-05-16 17:22 ` Grigory Fateyev
2008-05-16 17:32 ` Starodumoff Ilya
2008-05-16 17:48 ` Grigory Fateyev
2008-05-16 18:03 ` Starodumoff Ilya
2008-05-16 18:25 ` Grigory Fateyev
2008-05-17 3:57 ` Starodumoff Ilya
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git