Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС для молодых и начинающих системных администраторов.
Модераторы: SLEDopit , Модераторы разделов
Voral
Сообщения: 1205ОС: Debian Wheezy (amd64)
Сообщение Voral 05.02.2010 19:17
Продолжаю настраивать iptables.
При выполнении aptitude update выдается следующее:
как я понимаю проблема с пассивным режимом фтп.
Все пакеты которые миновали все правила, и к которым принимаются дефолтные значения, пишуться в лог. Взял от туда строки по ip выданным "host ftp.debian-multimedia.org"
[30546.708620] IN=ppp0 OUT= MAC= SRC=91.121.86.213 DST=XX.XX.XX.XX LEN=60 TOS=0x00 PREC=0x00 TTL=57 ID=43626 DF PROTO=TCP SPT=36500 DPT=113 WINDOW=5840 RES=0x00 SYN URGP=0
Т.е режутся (политика по умолчанию drop) как исходящие так и входящие пакеты на этот/от этого ip.
Как я понимаю. Для этого соединения важны следующие правила:
/sbin/modprobe ip_nat_ftp
что не так?
Зачем он просится на 113 порт?
То что не убивает нас, делает нас сильнее! © Ницше.
Voral
Сообщения: 1205ОС: Debian Wheezy (amd64)
Сообщение Voral 05.02.2010 19:43
Voral писал(а): ↑ 05.02.2010 19:17
Зачем он просится на 113 порт?
Непонял... Где то написано, что это нужно для irc, где то что это для auth-запросов...... Где правда?
То что не убивает нас, делает нас сильнее! © Ницше.
Jampire
Сообщения: 163ОС: Gentoo Linux amd64 || x86
Сообщение Jampire 05.02.2010 19:53
Voral писал(а): ↑ 05.02.2010 19:43
Непонял... Где то написано, что это нужно для irc, где то что это для auth-запросов...... Где правда?
Код: Выделить всё
cat /etc/services | grep 113
auth 113/tcp authentication tap ident # Authentication Service
auth 113/udpЧеловек, говорящий, что это невозможно сделать, не должен мешать тому, кто это делает.
Voral
Сообщения: 1205ОС: Debian Wheezy (amd64)
Сообщение Voral 05.02.2010 19:59
Добавил
Код: Выделить всё
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 113 --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 113 -j ACCEPT ! --syn
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 113 -j DROP
Теперь разрешать выходить на порты 34947 и 41727?
Не понимаю. Ведь при пассивном режиме мы стучимся на 21 порт. Нам возвращается порт для соединения. И мы должны связать свой 20 порт с присланным. Или я не прав?
То что не убивает нас, делает нас сильнее! © Ницше.
Alex2ndr
Сообщения: 443ОС: Debian Lenny
Сообщение Alex2ndr 06.02.2010 19:46
Voral писал(а): ↑ 05.02.2010 19:59
Добавил
Код: Выделить всё
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 113 --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 113 -j ACCEPT ! --syn
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 113 -j DROP
Теперь разрешать выходить на порты 34947 и 41727?
Не понимаю. Ведь при пассивном режиме мы стучимся на 21 порт. Нам возвращается порт для соединения. И мы должны связать свой 20 порт с присланным. Или я не прав?
Вы все верно насчёт FTP говорите - только порт по которому потом идет связь заранее неизвестен. Чтобы решить такого плана проблемы и придуманы -m state --state RELATED. Практическое решение этой проблемы - разрешите ESTABLISHED,RELATED на OUTPUT -
Код: Выделить всё
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
