iptables pravidla pro FTP
Dalibor Straka
dast na panelnet.cz
Pátek Červen 15 20:09:14 CEST 2007
Ahoj,
On Fri, Jun 15, 2007 at 06:28:20PM +0200, Petr Vileta wrote:
> Muze mi prosim nekdo poradit jak napsat spravna pravidla do iptables tak,
> aby mi fungoval FTP aktivni prenos?
> vnitrni IP serveru s NATem je 192.168.1.147 a IP pocitace kde ma fungovat
> aktivni FTP je 192.168.1.100
>
Narozdil od vyse uvedeneho prispevku se domnivam, ze se musi pouzit ftp
conntrack. Do iptables se nic nepise, staci akceptovat RELATED.
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Server otevre port a klientovi posle kontrolnim spojenim cislo portu, na
ktery se ma pripojit novym datovym spojenim. ip_conntrack_ftp si tento
port z packetu precte a udela diru do firewallu (natu), tim jeho prace
konci. Firewall pro prichozivsi novy paket akorat nalezne zaznam, ze
je vse v poradku.
Pro maximalni paranoiky by se daly oddelit pravidla na
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp --sport 20 -m state --state RELATED -j ACCEPT
iptables -A FORWARD -p icmp -m state --state RELATED -j ACCEPT
-- Dalibor Straka
P.S. Nesouhlasim s delenim administratoru na Loosery a Paranoidni.
Další informace o konferenci Linux