FTP a iptables

Sekcia: Konfigurácia 26.06.2007 | 14:11
anton   Návštevník
Ahoj

mam nastavene
iptables -P FORWARD DROP
# vsetko z vonka na PC 192.168.10.10 je povolene
iptables -A FORWARD -i VONKAJSIA_IP -d 192.168.10.10 -j ACCEPT
# a tymto riadkom chcem dosiahnut aby z tej stanice fungovalo len ftpcko, ale ked sa pripojim cez Total Commander na nejake ftp, vsetko
zbehne a zostane to stat na LIST - VEZMI ADRESAR

iptables -A FORWARD -p TCP -s 192.168.10.10 -o VONKAJSIA_IP --sport 1024:65535 --dport 20:21 -j ACCEPT

ked zase nastavim -P FORWARD ACCEPT ide to v pohode, zjavne
mam daco blbo?
    • Re: FTP a iptables 26.06.2007 | 14:40
      fckr   Návštevník
      modprobe ip_conntrack_ftp -> Firewall Linuxu s iptables
      • Re: FTP a iptables 26.06.2007 | 15:39
        anton   Návštevník
        ten clanok mam uz davno precitany, aj o iptables uz volaco viem, a ip_conntrack_ftp tiez nepomohlo :((

        este upresnim to FTP nie je na mojom ROUTRI(DEBIAN) to je povedzme na szm.sk a freeserver.sk a podobne...

        ked mam FORWARD ACCEPT to ide iba ked ho dropnem tak to nejde, pretoze musim povolit forwardovanie portov 20 a 21 ale ani to mi akosi nezabera...
        • Re: FTP a iptables 26.06.2007 | 15:48
          Avatar fixinko Slackware,Gentoo,Solaris  Používateľ
          aktivne alebo pasivne ftp? lebo na aktivne staci fwd 20:21, ale na pasivne sa pouzivaju nahodne porty...
          So let it be written, so let it be done....
          • Re: FTP a iptables 26.06.2007 | 16:10
            anton   Návštevník
            ani tak ani tak, stale to zostane vysiet na VEZMI ADRESAR,
            ked uz ma nacitat obsah adresarov
    • Re: FTP a iptables 26.06.2007 | 17:36
      Avatar Samuel BWPOW Kupka Almalinux, OpenWRT  Používateľ
      iptables -P FORWARD DROP
      # vsetko z vonka na PC 192.168.10.10 je povolene
      iptables -A FORWARD -i VONKAJSIA_ETH -d 192.168.10.10 -j ACCEPT
      # a tymto riadkom chcem dosiahnut aby z tej stanice fungovalo len ftpcko (command)
      iptables -A FORWARD -p TCP -s 192.168.10.10 -o VONKAJSIA_ETH --dport 20:21 -j ACCEPT
      # a tymto riadkom chcem dosiahnut aby z tej stanice fungovalo ftp (data) aj v passive aj v active mode
      iptables -A FORWARD -p TCP -s 192.168.10.10 -o VONKAJSIA_ETH -m state --state ESTABLISHED,RELATED -j ACCEPT
      
      a nezabudnem samozrejme ani na to vyssie spominane modprobe.
      Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
      • Re: FTP a iptables 26.06.2007 | 17:50
        Avatar uid0 Debian  Používateľ
        # a tymto riadkom chcem dosiahnut aby z tej stanice fungovalo len ftpcko (command)
        iptables -A FORWARD -p TCP -s 192.168.10.10 -o VONKAJSIA_ETH --dport 20:21 -j ACCEPT

        iba 21 je command port, data by mali byt related. skus:
        iptables -A FORWARD -p tcp -m state --state NEW -s 192.168.10.10 -o $VONKAJSIA_ETH --dport 21 -j ACCEPT
        

        nechybalo ti tam '$'?
        Debian. apt-get into it…
        • Re: FTP a iptables 26.06.2007 | 17:53
          Avatar Samuel BWPOW Kupka Almalinux, OpenWRT  Používateľ
          Ano, to percento som si nevsimol pri kopirovani od tazatela, hoci aspon VONKAJSIA_IP som zmenil na VONKAJSIA_ETH. Osobne by som tie pravidla riesil uuuuplne inak, ale nechcel som prilis zasahovat do struktury, ktoru uviedol tazatel.
          Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
          • Re: FTP a iptables 26.06.2007 | 18:00
            Avatar Samuel BWPOW Kupka Almalinux, OpenWRT  Používateľ
            No, uvediem, ako by som to napisal ja:
            # default
            iptables -P FORWARD DROP
            iptables -F
            
            # FORWARD
            # nebudeme prasata
            iptables -A FORWARD -o $ETH_OUT -p icmp -j ACCEPT
            # default pravidlo, ktore neuskodi
            iptables -A FORWARD -p tcp --m state ESTABLISHED,RELATED -j ACCEPT
            
            # povolit FTP zo stroja 192.168.10.10
            iptables -A FORWARD -s 192.168.10.10 -o $ETH_OUT -p tcp --dport 21 -j ACCEPT
            
            
            a do /etc/modules.conf by som pridal ip_conntrack_ftp.
            Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
            • Re: FTP a iptables 26.06.2007 | 18:09
              Avatar uid0 Debian  Používateľ
              na port 21 prijimame len NEW, nie vsetko -- o zbytok sa postara netfilter (to pravidlo, ktore neuskodi :))
              Debian. apt-get into it…
              • Re: FTP a iptables 26.06.2007 | 18:12
                Avatar Samuel BWPOW Kupka Almalinux, OpenWRT  Používateľ
                Ved ano, ale naco tam pisat to state NEW, ked iny stav tam uz ani byt nemoze? Vsetky ostatne pochyta to neskodiace pravidlo. Treba setrit miesto na disku :)
                Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
                • Re: FTP a iptables 26.06.2007 | 18:24
                  Avatar uid0 Debian  Používateľ
                  nie, to pravidlo prepusta vsetky nadviazane spojenia, nic nezakazuje. to tvoje pravidlo pre port 21 popiera podstatu stateful firewallu.
                  Debian. apt-get into it…
                  • Re: FTP a iptables 26.06.2007 | 18:31
                    Avatar Samuel BWPOW Kupka Almalinux, OpenWRT  Používateľ
                    Takto: Pravidlo iptables -A FORWARD -p tcp --m state ESTABLISHED,RELATED -j ACCEPT povoli vsetky nadviazane TCP spojenia vratane novych, ktore su related k nejakemu protokolu. Ak je toto pravidlo splnene, tak vykonavanie FORWARD skonci. Ak pravidlo splnenene nie je, tak to znamena, ze ide len o nove TCP spojenia, kedze v inom stave uz TCP byt nemoze. Takze v dalsich pravidlach je uplne zbytocne to state NEW pisat, kedze iny stav k tomu pravidlu ani nemoze prist (kedze pravidla sa vykonavaju sekvencne a prve splene pravidlo uplne ukonci vykonavanie). Ale chapem, ze kvoli prehladnosti a dobremu pocitu sa to tam napisat moze.
                    Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
                    • Re: FTP a iptables 26.06.2007 | 18:37
                      Avatar uid0 Debian  Používateľ
                      cez to pravidlo ti prejde KAZDY packet, ktory nepatri do estabilished spojenia a smeruje na port 21. ty si uplne otvoril port 21!

                      nie, dobry pocit, ale stateful firewall
                      Debian. apt-get into it…
                      • Re: FTP a iptables 26.06.2007 | 18:51
                        Avatar Samuel BWPOW Kupka Almalinux, OpenWRT  Používateľ
                        Ale ved tie pravidla sa vykonavaju zaradom. TCP moze byt len v dvoch stavoch: NEW a ESTABLISHED. Related ponechajme ako specialny pripad.

                        1) Takze si vezmime situaciu, ked chceme urobit pripojenie na TCP port 21.
                        iptables -A FORWARD -p tcp --m state ESTABLISHED,RELATED -j ACCEPT
                        Toto pravidlo nie je splnene, takze firewall sa vykonava dalej.
                        iptables -A FORWARD -s 192.168.10.10 -o $ETH_OUT -p tcp --dport 21 -j ACCEPT
                        Toto pravidlo uz splnene je, takze packet sa povoli a vykonavanie firewallu sa skonci.


                        2) Teraz priklad, ked uz je TCP spojenie otvorene (akekolvek, nie len na port 21):
                        iptables -A FORWARD -p tcp --m state ESTABLISHED,RELATED -j ACCEPT
                        Toto pravidlo je hned splnene, packet sa povoli a vykonavanie firewallu sa skonci a dalej nepokracuje. Ziadne dalsie pravidla sa netestuju.

                        3) Teraz priklad, ked uz chceme otvorit nove TCP spojenie, ale na iny port ako 21:
                        iptables -A FORWARD -p tcp --m state ESTABLISHED,RELATED -j ACCEPT
                        Toto pravidlo nie je splnene, takze ideme dalej.
                        iptables -A FORWARD -s 192.168.10.10 -o $ETH_OUT -p tcp --dport 21 -j ACCEPT
                        Toto pravidlo tiez nie je splnene, takze ideme dalej.
                        Ale dalej uz nic nie je, takze sa pouzije policy, co je DROP.
                        cez to pravidlo ti prejde KAZDY packet, ktory nepatri do estabilished spojenia a smeruje na port 21. ty si uplne otvoril port 21!
                        Ano, ale na toto pravidlo uz pride len a len NEW packet a ziadny iny. Naco tam tu podmienku este naviac pisat, ked musi byt za kazdych okolnosti splnena, inak by sa to pravidlo ani vobec netestovalo? Pravidla sa vzdy vykonavaju sekvencne a prve splnene pravidlo ukonci vykonavanie celeho bloku.

                        Este na zaver aby som to doplnil. Neexistuje ziadny scenar, ktory by dal iny vysledok s pouzitim state=NEW a bez neho, takze tie definicie su ekvivalentne.
                        Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
                        • Re: FTP a iptables 26.06.2007 | 18:57
                          Avatar uid0 Debian  Používateľ
                          ani som to necital, rozumiem co mi chces povedat, ale zvas si nasledujuce body:

                          * umelo vytvorene packety
                          * pozostatky timeoutovanych spojeni
                          * chces zbytocne riskovat chybu prijimajuceho FTP servera?
                          * a co DoS?

                          uplne si otvoril port 21.
                          Debian. apt-get into it…
                      • Re: FTP a iptables 26.06.2007 | 23:08
                        Avatar borg Fedora  Administrátor
                        to pravidlo ma ok, bavime sa o stavovom fw.
                        • Re: FTP a iptables 26.06.2007 | 23:35
                          Avatar uid0 Debian  Používateľ
                          myslis toto?
                          iptables -A FORWARD -s 192.168.10.10 -o $ETH_OUT -p tcp --dport 21 -j ACCEPT
                          toto pravidlo je OK, ale len ked chce absolutne vsetok traffic na port 21 forwardovat FTP serveru. a to my nechceme, vsak? teda aspon ja nie...
                          Debian. apt-get into it…
                          • Re: FTP a iptables 27.06.2007 | 01:35
                            Avatar superlamer Debian RedHat FreeBSD  Používateľ
                            iptables systemovy prikaz, ktory -A prida na (aktualny) koniec FORWARD preposielajucich filtrovacich pravidiel pravidlo; -s 192.168.10.10 vsetko, co ma zdrojovu adresu 192.168.10.10, -o $ETH_OUT a bude poslane cez interface $ETH_OUT, -p tcp a bude to protokol tcp, --dport 21 a bude mat cielovy port 21, -j ACCEPT povoli...
                            <pre>bash# grep initdefault /etc/inittab id:0:initdefault:</pre>
                            • Re: FTP a iptables 27.06.2007 | 01:39
                              Avatar uid0 Debian  Používateľ
                              vyborne... ehm, a teraz co? povies mi aj nieco co uz davno neviem?
                              Debian. apt-get into it…
                          • Re: FTP a iptables 27.06.2007 | 19:39
                            Avatar borg Fedora  Administrátor
                            hovoril som o tomto pravidle: iptables -A FORWARD -p tcp --m state ESTABLISHED,RELATED -j ACCEPT
                            • Re: FTP a iptables 27.06.2007 | 19:52
                              Avatar uid0 Debian  Používateľ
                              ale tym, ze potom pusta vsetko na port 21 akosi ide proti jeho zmyslu.
                              Debian. apt-get into it…
                              • Re: FTP a iptables 27.06.2007 | 20:47
                                Avatar borg Fedora  Administrátor
                                tymto pravidlom pusta len spojenia, ktore su povolene a maju nejaky vztah ku nadviazanym povolenym spojeniam. je jedno aky port. nech si filtruje porty, ktore chce. ked blokne port 21, tak toto pravidlo na to nema ziadny vplyv. kedze pravdepodobne zakaze NEW na 21.
                                • Re: FTP a iptables 27.06.2007 | 20:51
                                  Avatar uid0 Debian  Používateľ
                                  mozes k teme, prosim? o tom pravidle sa tu nikto okrem teba a superlamera nebavi...
                                  Debian. apt-get into it…
                                  • Re: FTP a iptables 27.06.2007 | 21:05
                                    Avatar borg Fedora  Administrátor
                                    mozes si to precitat? potom sa vyjadruj
                                    • Re: FTP a iptables 27.06.2007 | 21:08
                                      Avatar uid0 Debian  Používateľ
                                      a ty si zisti na co sluzi stateful firewall...
                                      Debian. apt-get into it…
                                      • Re: FTP a iptables 27.06.2007 | 21:09
                                        Avatar borg Fedora  Administrátor
                                        nehovor, ja viem naco sluzi, ty tu prestan do kazdeho skakat
                                        • Re: FTP a iptables 27.06.2007 | 21:11
                                          Avatar uid0 Debian  Používateľ
                                          ja do nikoho neskacem. ak ta dnes nieco nastvalo, tak to predychaj, potom sa vrat.
                                          Debian. apt-get into it…
                                          • Re: FTP a iptables 27.06.2007 | 21:13
                                            Avatar borg Fedora  Administrátor
                                            mna nic nenastvalo, skor sa mi zda ze teba daco stve.
                                            • Re: FTP a iptables 27.06.2007 | 21:14
                                              Avatar uid0 Debian  Používateľ
                                              whatever, z off topicu do vacsieho off topicu.
                                              Debian. apt-get into it…
                                              • Re: FTP a iptables 27.06.2007 | 21:15
                                                Avatar borg Fedora  Administrátor
                                                jj, to som si u teba vsimol
                                                • Re: FTP a iptables 27.06.2007 | 21:19
                                                  Avatar uid0 Debian  Používateľ
                                                  ach boze, zacinam sa citit ako na blackhole. uz len fetaci nam tu chybaju...
                                                  Debian. apt-get into it…
                                                  • Re: FTP a iptables 27.06.2007 | 21:21
                                                    Avatar borg Fedora  Administrátor
                                                    nuz tvoj problem
          • Re: FTP a iptables 26.06.2007 | 18:05
            Avatar uid0 Debian  Používateľ
            som nepostrehol. takze to zhrniem:

            * stateful (estabilished, related)
            * accept new na port 21
            * ip_conntrack_ftp (ci nf_conntrack_ftp)

            potom by to malo ist.
            Debian. apt-get into it…
    • Re: FTP a iptables 28.06.2007 | 18:59
      anton   Návštevník
      netusim co je stateful :(
      ale dakujem za rady uz to facha, este raz vdaka