Forum » Programska oprema » ProtFtp Passive mode in iptables
ProtFtp Passive mode in iptables
jabka ::
Pozdravljeni!
Imam postavljen proftp streznik, sedaj pa bi rad omogocil Passive mode.
proFtpd tece na Linux strezniku, kot firewall je Iptables.
V /etc/proftpd.conf sem dodal "PassivePorts 60000 60005"
Z iptables sem odprl ta range portov
Izpis iptables -L
Se pravi porti so odprti, vendar ko se povezem iz drugega streznika, se mi uspesno poveze, vendar ko hocem recimo prelistati direktroji mi ostane tukaj
Mi lahko kdo prosim pomaga... googlam ze celo dopoudne, vendar brez uspeha.
EDIT: Tudi v /etc/sysconfig/iptables-config sem dodal
Imam postavljen proftp streznik, sedaj pa bi rad omogocil Passive mode.
proFtpd tece na Linux strezniku, kot firewall je Iptables.
V /etc/proftpd.conf sem dodal "PassivePorts 60000 60005"
Z iptables sem odprl ta range portov
Izpis iptables -L
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:60005
ACCEPT tcp -- anywhere anywhere tcp dpt:60004
ACCEPT tcp -- anywhere anywhere tcp dpt:60003
ACCEPT tcp -- anywhere anywhere tcp dpt:60002
ACCEPT tcp -- anywhere anywhere tcp dpt:60001
ACCEPT tcp -- anywhere anywhere tcp dpt:60000
ACCEPT all -- anywhere anywhere
Se pravi porti so odprti, vendar ko se povezem iz drugega streznika, se mi uspesno poveze, vendar ko hocem recimo prelistati direktroji mi ostane tukaj
ftp> ls
229 Entering Extended Passive Mode (|||60003|)
Mi lahko kdo prosim pomaga... googlam ze celo dopoudne, vendar brez uspeha.
EDIT: Tudi v /etc/sysconfig/iptables-config sem dodal
ip_nat_ftp in ip_conntrack_ftp
- spremenil: jabka ()
blaz_ ::
V proftpd.conf imam tole spremenjeno/dodano (za MasqueradeAddress nism sigurn če je treba :) ):
Port 9999
PassivePorts 9993 9999
MasqueradeAddress globalni_ip_naslov
pri čemer imam porte forwardirane na takle način:
iptables -I INPUT-p tcp -d 192.168.1.1 --dport 9993 -j logaccept
iptables -t nat -I PREROUTING -p tcp -d globalni_ip_naslov --dport 9993 -j DNAT --to 192.168.1.1:9993
(te dve vrstici ponovi, za ostale cifre med 9993-9999)
V pasivnem načinu se mi zdi, da je omejitev klientov s številom portov, tko da bi blo tle max 6 clientov lahko gor povezanih.
Port 9999
PassivePorts 9993 9999
MasqueradeAddress globalni_ip_naslov
pri čemer imam porte forwardirane na takle način:
iptables -I INPUT-p tcp -d 192.168.1.1 --dport 9993 -j logaccept
iptables -t nat -I PREROUTING -p tcp -d globalni_ip_naslov --dport 9993 -j DNAT --to 192.168.1.1:9993
(te dve vrstici ponovi, za ostale cifre med 9993-9999)
V pasivnem načinu se mi zdi, da je omejitev klientov s številom portov, tko da bi blo tle max 6 clientov lahko gor povezanih.
Ko tehnologija odpove, uporabi macolo.
jabka ::
Hmm sem spremenil tako kot si napisal, pa se vedno
Sedaj mi iptables -L kaze tako
Kopiram se celoten /etc/rc.firewall
Ampak zanimivo se mi zdi, ko skeniram z nmap mi kaze da je odprt samo 60005 port
Drugace mi pa javi isto napako kot prej. Kaksna je sploh razlika med passive mode in external passive mode?
@blaz, a lahko mi kopiras tvoj proftp.conf in rc.firewall?
Sedaj mi iptables -L kaze tako
]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
tcp -- anywhere pravanalozba.local tcp dpt:60005
tcp -- anywhere pravanalozba.local tcp dpt:60004
tcp -- anywhere pravanalozba.local tcp dpt:60003
tcp -- anywhere pravanalozba.local tcp dpt:60002
tcp -- anywhere pravanalozba.local tcp dpt:60001
tcp -- anywhere pravanalozba.local tcp dpt:60000
ACCEPT tcp -- anywhere anywhere tcp dpt:60005
ACCEPT tcp -- anywhere anywhere tcp dpt:60004
ACCEPT tcp -- anywhere anywhere tcp dpt:60003
ACCEPT tcp -- anywhere anywhere tcp dpt:60002
ACCEPT tcp -- anywhere anywhere tcp dpt:60001
ACCEPT tcp -- anywhere anywhere tcp dpt:60000
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ftp-data
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:domain
ACCEPT udp -- anywhere anywhere state NEW udp dpt:domain
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:http
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:5900
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:5901
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:6017
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:6018
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:finger
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:smtps
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:tproxy
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:imap
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ntp
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:https
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:10000
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:mysql
ACCEPT tcp -- anywhere anywhere tcp spt:bootpc dpt:bootps
ACCEPT udp -- anywhere anywhere udp spt:bootpc dpt:bootps
ACCEPT udp -- anywhere anywhere udp dpt:netbios-ns
ACCEPT udp -- anywhere anywhere udp dpt:netbios-dgm
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:netbios-ssn
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:microsoft-ds
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
ACCEPT tcp -- anywhere anywhere tcp dpt:60000
ACCEPT tcp -- anywhere anywhere tcp dpt:60001
ACCEPT tcp -- anywhere anywhere tcp dpt:60002
ACCEPT tcp -- anywhere anywhere tcp dpt:60003
ACCEPT tcp -- anywhere anywhere tcp dpt:60004
ACCEPT tcp -- anywhere anywhere tcp dpt:60005
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Kopiram se celoten /etc/rc.firewall
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z
/sbin/iptables -t nat -F
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 5900 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 5901 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 6017 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 6018 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 79 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 465 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8081 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 143 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 123 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 10000 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --sport 68 --dport 67 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p udp --sport 68 --dport 67 -j ACCEPT
/sbin/iptables -A INPUT -p udp -m udp --dport 137 -j ACCEPT
/sbin/iptables -A INPUT -p udp -m udp --dport 138 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 139 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT
/sbin/iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
/sbin/service iptables save
Ampak zanimivo se mi zdi, ko skeniram z nmap mi kaze da je odprt samo 60005 port
Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2009-01-29 15:20 CET
Interesting ports on localhost.localdomain (127.0.0.1):
PORT STATE SERVICE
60000/tcp closed unknown
60001/tcp closed unknown
60002/tcp closed unknown
60003/tcp closed unknown
60004/tcp closed unknown
60005/tcp open unknown
Drugace mi pa javi isto napako kot prej. Kaksna je sploh razlika med passive mode in external passive mode?
@blaz, a lahko mi kopiras tvoj proftp.conf in rc.firewall?
Zgodovina sprememb…
- spremenil: jabka ()
jabka ::
iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere 84-255-233-xx.static.t-2.net tcp dpt:60005 to:192.168.0.99:60005
DNAT tcp -- anywhere 84-255-233-xx.static.t-2.net tcp dpt:60004 to:192.168.0.99:60004
DNAT tcp -- anywhere 84-255-233-xx.static.t-2.net tcp dpt:60003 to:192.168.0.99:60003
DNAT tcp -- anywhere 84-255-233-xx.static.t-2.net tcp dpt:60002 to:192.168.0.99:60002
DNAT tcp -- anywhere 84-255-233-xx.static.t-2.net tcp dpt:60001 to:192.168.0.99:60001
DNAT tcp -- anywhere 84-255-233-xx.static.t-2.net tcp dpt:60000 to:192.168.0.99:60000
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Evo, tole mi vrne.
Se pravi, ce razumem prov te rule, to pomeni, da kar prileti na zunanji IP od porta 60000 do 60005 naj preusmei na lokalni ip ?
Zgodovina sprememb…
- spremenil: jabka ()
blaz_ ::
Takole na hitro, edino zadevo kar sem videl pri tebi je da imaš 2x porte od 60000 - 60005 izpisane pri #iptables -L
pri teh iptables-ih je pomemben tudi vrstni red pravil, za zgornja nimaš sploh napisano kaj se s temi porti zgodi?
potem, pri drugi ponovitvi teh portov pa je ACCEPT, tako da se izvede pravilo pri prvi pojavitvi teh portov
Jaz imam vso zadevo na ruterju, ki požene takole skripto kot je napisana spodaj,
povežeš se seveda na port 9999 (seveda potrebuješ tudi client, ki se zna povezati v pasivnem načinu).
Jaz sem preverjal z ukazi:
$ftp -p 192.168.1.1 9999 // pomoje da je tukj -p za passive
vpišeš username
vpišeš password
> ls // to ti zlista direktorije/datoteke na ftp-serverju, če to deluje, potem je ti bi moralo delovati
če deluje v redu bo ftp-client šel v passive mode takole:
Entering Passive Mode (1,2,3,4, 39,14) - kjer so prve štiri cifre ip-ja serverja, zadnje dve pa port (ki se izračuna 39*256+14 = 9998)
- tukaj preveri če se ti poveže na pravilni port (jaz sem to preveril s snifferjem - Wireshark (pognat ga moram s "sudo Wireshark"))
poglej si še kako deluje pasivni način ftp-ja (v primeru če še ne veš)
več ali manj sem informacije dobil iz: http://www.dd-wrt.com/wiki/index.php/Ip...
Lp, Blaž
datoteke:
--- skripta ---
# predpriprave za ftp, to nastavi MasqueradeAddres v datoteki proftpd.conf na zunanji ip-naslov
# ukaz $(nvram get wan_ipaddr) samo ugotovi globalni ip-naslov
# ukaz S58proftpd samo požene skripto za zagon ftp-ja, v tej skripti nato požene ftp s določeno konfiguracijsko datoteko
sed "/MasqueradeAddress/d" /opt/etc/proftpd.conf > /opt/etc/proftpd.confTmp # delete line with MasqueradeAddress
echo MasqueradeAddress $(nvram get wan_ipaddr) >> /opt/etc/proftpd.confTmp # puts wan address in ftp config file
rm /opt/etc/proftpd.conf
mv /opt/etc/proftpd.confTmp /opt/etc/proftpd.conf
/opt/etc/init.d/S58proftpd
# iptable rules for forwarding ports for ftp server
iptables -I INPUT -p tcp -d 192.168.1.1 --dport 9993 -j logaccept
iptables -t nat -I PREROUTING -p tcp -d $(nvram get wan_ipaddr) --dport 9993 -j DNAT --to 192.168.1.1:9993
iptables -I INPUT -p tcp -d 192.168.1.1 --dport 9994 -j logaccept
iptables -t nat -I PREROUTING -p tcp -d $(nvram get wan_ipaddr) --dport 9994 -j DNAT --to 192.168.1.1:9994
... ponovi za ostale porte med 9993-9994
--- end skripte ---
# ftp zaženem takole s pripadajočo proftpd.conf datoteko (ta datoteka je spodaj)
--- S58proftpd ---
/opt/sbin/proftpd --config /opt/etc/proftpd.conf (ta ukaz je v datoteki S58proftpd)
--- end S58proftpd ---
--- proftpd.conf ---
# This is a basic ProFTPD configuration file (rename it to
# 'proftpd.conf' for actual use. It establishes a single server
# and a single anonymous login. It assumes that you have a user/group
# "nobody" and "ftp" for normal operation and anon.
ServerName "ProFTPD Default Installation"
ServerType standalone
DefaultServer on
WtmpLog off
# Port 21 is the standard FTP port.
Port 9999
PassivePorts 9993 9999
# Umask 022 is a good standard umask to prevent new dirs and files
# from being group and world writable.
Umask 022
# To prevent DoS attacks, set the maximum number of child processes
# to 30. If you need to allow more than 30 concurrent connections
# at once, simply increase this value. Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd).
MaxInstances 10
< Global >
RootLogin Off
RequireValidShell off
AuthUserFile /opt/etc/proftpd.passwd
AllowStoreRestart on
# TransferRate RETR 25
# TransferRate APPE,STOR 100:2048
< /Global >
# Set the user and group under which the server will run.
User nobody
Group root
# To cause every FTP user to be "jailed" (chrooted) into their home
# directory, uncomment this line.
DefaultRoot /home
# Normally, we want files to be overwriteable.
AllowOverwrite on
# Bar use of SITE CHMOD by default
#< Limit SITE_CHMOD >
# DenyAll
#< /Limit >
MasqueradeAddress gl.ip.add.ress
--- end proftpd.conf ---
pri teh iptables-ih je pomemben tudi vrstni red pravil, za zgornja nimaš sploh napisano kaj se s temi porti zgodi?
potem, pri drugi ponovitvi teh portov pa je ACCEPT, tako da se izvede pravilo pri prvi pojavitvi teh portov
Jaz imam vso zadevo na ruterju, ki požene takole skripto kot je napisana spodaj,
povežeš se seveda na port 9999 (seveda potrebuješ tudi client, ki se zna povezati v pasivnem načinu).
Jaz sem preverjal z ukazi:
$ftp -p 192.168.1.1 9999 // pomoje da je tukj -p za passive
vpišeš username
vpišeš password
> ls // to ti zlista direktorije/datoteke na ftp-serverju, če to deluje, potem je ti bi moralo delovati
če deluje v redu bo ftp-client šel v passive mode takole:
Entering Passive Mode (1,2,3,4, 39,14) - kjer so prve štiri cifre ip-ja serverja, zadnje dve pa port (ki se izračuna 39*256+14 = 9998)
- tukaj preveri če se ti poveže na pravilni port (jaz sem to preveril s snifferjem - Wireshark (pognat ga moram s "sudo Wireshark"))
poglej si še kako deluje pasivni način ftp-ja (v primeru če še ne veš)
več ali manj sem informacije dobil iz: http://www.dd-wrt.com/wiki/index.php/Ip...
Lp, Blaž
datoteke:
--- skripta ---
# predpriprave za ftp, to nastavi MasqueradeAddres v datoteki proftpd.conf na zunanji ip-naslov
# ukaz $(nvram get wan_ipaddr) samo ugotovi globalni ip-naslov
# ukaz S58proftpd samo požene skripto za zagon ftp-ja, v tej skripti nato požene ftp s določeno konfiguracijsko datoteko
sed "/MasqueradeAddress/d" /opt/etc/proftpd.conf > /opt/etc/proftpd.confTmp # delete line with MasqueradeAddress
echo MasqueradeAddress $(nvram get wan_ipaddr) >> /opt/etc/proftpd.confTmp # puts wan address in ftp config file
rm /opt/etc/proftpd.conf
mv /opt/etc/proftpd.confTmp /opt/etc/proftpd.conf
/opt/etc/init.d/S58proftpd
# iptable rules for forwarding ports for ftp server
iptables -I INPUT -p tcp -d 192.168.1.1 --dport 9993 -j logaccept
iptables -t nat -I PREROUTING -p tcp -d $(nvram get wan_ipaddr) --dport 9993 -j DNAT --to 192.168.1.1:9993
iptables -I INPUT -p tcp -d 192.168.1.1 --dport 9994 -j logaccept
iptables -t nat -I PREROUTING -p tcp -d $(nvram get wan_ipaddr) --dport 9994 -j DNAT --to 192.168.1.1:9994
... ponovi za ostale porte med 9993-9994
--- end skripte ---
# ftp zaženem takole s pripadajočo proftpd.conf datoteko (ta datoteka je spodaj)
--- S58proftpd ---
/opt/sbin/proftpd --config /opt/etc/proftpd.conf (ta ukaz je v datoteki S58proftpd)
--- end S58proftpd ---
--- proftpd.conf ---
# This is a basic ProFTPD configuration file (rename it to
# 'proftpd.conf' for actual use. It establishes a single server
# and a single anonymous login. It assumes that you have a user/group
# "nobody" and "ftp" for normal operation and anon.
ServerName "ProFTPD Default Installation"
ServerType standalone
DefaultServer on
WtmpLog off
# Port 21 is the standard FTP port.
Port 9999
PassivePorts 9993 9999
# Umask 022 is a good standard umask to prevent new dirs and files
# from being group and world writable.
Umask 022
# To prevent DoS attacks, set the maximum number of child processes
# to 30. If you need to allow more than 30 concurrent connections
# at once, simply increase this value. Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd).
MaxInstances 10
< Global >
RootLogin Off
RequireValidShell off
AuthUserFile /opt/etc/proftpd.passwd
AllowStoreRestart on
# TransferRate RETR 25
# TransferRate APPE,STOR 100:2048
< /Global >
# Set the user and group under which the server will run.
User nobody
Group root
# To cause every FTP user to be "jailed" (chrooted) into their home
# directory, uncomment this line.
DefaultRoot /home
# Normally, we want files to be overwriteable.
AllowOverwrite on
# Bar use of SITE CHMOD by default
#< Limit SITE_CHMOD >
# DenyAll
#< /Limit >
MasqueradeAddress gl.ip.add.ress
--- end proftpd.conf ---
Ko tehnologija odpove, uporabi macolo.
Brane2 ::
- Odpri kontrolni port za ftp ( IIRC 21)
- določi iptables pravilo, da mašina spušča skozi odvisne in povezane pakete
- naloži/vgradi kernel modul za spremljanje FTP prometa
- določi iptables pravilo, da mašina spušča skozi odvisne in povezane pakete
- naloži/vgradi kernel modul za spremljanje FTP prometa
On the journey of life, I chose the psycho path.
jabka ::
@Brane2, lahko mogoce malo bol opises druga dva koraka?
@blaz_ bom primerjal tvoj in mojn conf. hvala zaenkrat
@blaz_ bom primerjal tvoj in mojn conf. hvala zaenkrat
Brane2 ::
AD2: Nekaj v stilu $IPTABLES -A INPUT -i $INET_IFACE -p UDP -m state --state RELATED,ESTABLISHED -j ACCEPT
AD3: Zrolaj si kernel in ko rečeš "make menuconfig", pojdi v "Networking support -- Networking options -- Network packet filtering framework (Netfilter) -- Core Netfilter Configuration " in tam izberi opcijo "FTP protocol support" tako, da bo tam "*" kar pomeni, da bo ta možnost vgrajena v kernel.
Tak kernel potem scompilaš in postaviš na boot particijo ter poskrbiš, da ga bo "grub" znal pograbit ob bootu.
AD3: Zrolaj si kernel in ko rečeš "make menuconfig", pojdi v "Networking support -- Networking options -- Network packet filtering framework (Netfilter) -- Core Netfilter Configuration " in tam izberi opcijo "FTP protocol support" tako, da bo tam "*" kar pomeni, da bo ta možnost vgrajena v kernel.
Tak kernel potem scompilaš in postaviš na boot particijo ter poskrbiš, da ga bo "grub" znal pograbit ob bootu.
On the journey of life, I chose the psycho path.
jabka ::
@Brane2, lahko mogoce malo bol opises druga dva koraka?
@blaz_ bom primerjal tvoj in mojn conf. hvala zaenkrat
EDIT: zanima me se nekaj, ce je server v NAT-u in za firewallom, a moram uporabiti passive mode? Lahko samo PORT ?
Brane2 ::
Pojma nimam. Odvisno od nastavitev firewalla.
On the journey of life, I chose the psycho path.
jabka ::
Hmm se vedno se mucim s tem... zanima me, kako naj odprem porte ( sedaj jih imamm tako kot je napisal blaz_ ) 9993-9996, ker imamm obcutek, da mi ne dela stvar ker niso odprti.
Sem skeniral prek www.canyouseeme.org in mi kaze da so zaprti...
Sem skeniral prek www.canyouseeme.org in mi kaze da so zaprti...
blaz_ ::
Teli skenerji ni nujno da ti bojo povedal da so odprti, tudi če so. Namreč večina, če ne vsi delujejo tako, da proba nek port na nekem ip-ju, ter pogleda če je kak service tam, če je se bo ta service običajno odzival. (lahk probaš tko da če ti najde vsaj en service (Recimo ftp na portu 9999), da ta port spreminjaš, pa pogledaš na drugih portih če so odprti)
Tale ftp v pasivnem načinu pa če se ne motm deluje tako, da posluša na nekem standardnem portu (recimo Port 9999 ) v tisti proftpd.conf datoteki, preko tega porta se pogovarja z ukazi, ls, cd, login, password itd..., ko pa pride do prenosa datoteke, pa bo podatke začel prenašati preko drugih portov (po defaultu je to port 21 za komunikacijo, ter 20 za prenos podatkov).
Če ftp deluje v aktivnem načinu, bo ftp-client odprl neke porte in sporočil serverju, sem mi lahko pošiljaš podatke. V pasivnem načinu je pa to ravno obrnjeno, ftp-server bo povedal client-u iz kje lahko pobere podatke, zato mora ftp-server imeti odprte porte. Posledično ti tudi s kakšnim scanerjem ne boš vedel da so odprti, ker dokler se kakšen prenos ne začne, tam ne bo (običajno) tekel še noben service.
Precej boljša razlaga je tule: http://slacksite.com/other/ftp.html
Predlagov bi ti, da preveriš raje če se ftp-client res na pravi način prijavi na server - to je v pasivnem načinu(ali pa če greš po korakih po zgornjem linku), ter nato izračunaš če ti vrne pravi port na katerem naj bi te čakali podatki.
če ti bo kaj bolje pomagalo še izpis iz ruterja:
root@DD-WRT:~# iptables -n --line-number -L
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 logaccept tcp -- 0.0.0.0/0 192.168.1.1 tcp dpt:9999
2 logaccept tcp -- 0.0.0.0/0 192.168.1.1 tcp dpt:9998
3 logaccept tcp -- 0.0.0.0/0 192.168.1.1 tcp dpt:9997
... še ostala pravila
Chain logaccept (5 references)
num target prot opt source destination
1 ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0
root@DD-WRT:~# iptables -t nat -n --line-number -L
Chain PREROUTING (policy ACCEPT)
num target prot opt source destination
1 DNAT tcp -- 0.0.0.0/0 84.255.xxx.xxx tcp dpt:9999 to:192.168.1.1:9999
2 DNAT tcp -- 0.0.0.0/0 84.255.xxx.xxx tcp dpt:9998 to:192.168.1.1:9998
3 DNAT tcp -- 0.0.0.0/0 84.255.xxx.xxx tcp dpt:9997 to:192.168.1.1:9997
... še ostala pravila
Še enkrat poudarjam, da moraš paziti na line-number (čisto prvi stolpec), ker če imaš kje kakšno pravilo drop all ali kaj takega v vrstici 18, ter nato neko pravilo 19, to ne bo nikoli upoštevano, ker ga bo že 18-to pravilo vse pakete vrglo stran. Več o tem: http://www.dd-wrt.com/wiki/index.php/Ip...
Upam da ti bo uspelo uštimat, drugače pač ponovno napiši kje se zatakne.
Lp, Blaž
Aja, še nekaj: če to lavfaš ftp-server + iptables na istem računalniku, potem bi mogla moja pravila delovat, če pa je ftp-server kje na mreži, pa najbrž da ne (jaz imam ftp server+iptables vse na ruterju).
Tale ftp v pasivnem načinu pa če se ne motm deluje tako, da posluša na nekem standardnem portu (recimo Port 9999 ) v tisti proftpd.conf datoteki, preko tega porta se pogovarja z ukazi, ls, cd, login, password itd..., ko pa pride do prenosa datoteke, pa bo podatke začel prenašati preko drugih portov (po defaultu je to port 21 za komunikacijo, ter 20 za prenos podatkov).
Če ftp deluje v aktivnem načinu, bo ftp-client odprl neke porte in sporočil serverju, sem mi lahko pošiljaš podatke. V pasivnem načinu je pa to ravno obrnjeno, ftp-server bo povedal client-u iz kje lahko pobere podatke, zato mora ftp-server imeti odprte porte. Posledično ti tudi s kakšnim scanerjem ne boš vedel da so odprti, ker dokler se kakšen prenos ne začne, tam ne bo (običajno) tekel še noben service.
Precej boljša razlaga je tule: http://slacksite.com/other/ftp.html
Predlagov bi ti, da preveriš raje če se ftp-client res na pravi način prijavi na server - to je v pasivnem načinu(ali pa če greš po korakih po zgornjem linku), ter nato izračunaš če ti vrne pravi port na katerem naj bi te čakali podatki.
če ti bo kaj bolje pomagalo še izpis iz ruterja:
root@DD-WRT:~# iptables -n --line-number -L
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 logaccept tcp -- 0.0.0.0/0 192.168.1.1 tcp dpt:9999
2 logaccept tcp -- 0.0.0.0/0 192.168.1.1 tcp dpt:9998
3 logaccept tcp -- 0.0.0.0/0 192.168.1.1 tcp dpt:9997
... še ostala pravila
Chain logaccept (5 references)
num target prot opt source destination
1 ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0
root@DD-WRT:~# iptables -t nat -n --line-number -L
Chain PREROUTING (policy ACCEPT)
num target prot opt source destination
1 DNAT tcp -- 0.0.0.0/0 84.255.xxx.xxx tcp dpt:9999 to:192.168.1.1:9999
2 DNAT tcp -- 0.0.0.0/0 84.255.xxx.xxx tcp dpt:9998 to:192.168.1.1:9998
3 DNAT tcp -- 0.0.0.0/0 84.255.xxx.xxx tcp dpt:9997 to:192.168.1.1:9997
... še ostala pravila
Še enkrat poudarjam, da moraš paziti na line-number (čisto prvi stolpec), ker če imaš kje kakšno pravilo drop all ali kaj takega v vrstici 18, ter nato neko pravilo 19, to ne bo nikoli upoštevano, ker ga bo že 18-to pravilo vse pakete vrglo stran. Več o tem: http://www.dd-wrt.com/wiki/index.php/Ip...
Upam da ti bo uspelo uštimat, drugače pač ponovno napiši kje se zatakne.
Lp, Blaž
Aja, še nekaj: če to lavfaš ftp-server + iptables na istem računalniku, potem bi mogla moja pravila delovat, če pa je ftp-server kje na mreži, pa najbrž da ne (jaz imam ftp server+iptables vse na ruterju).
Ko tehnologija odpove, uporabi macolo.
jabka ::
Aha, ftp in iptables je na istem ... A je mogoce to problem, ker meni izpis vrze
Imam samo ACCEPT ne logaccept, ker ce dam loggacept na koncu rula, mi tega ne zazna (logaccept)
Bom zdele se zgornji link pregledal...
EDIT: Pomoje nebi smel delat ACCEPT probleme, ker je razlika med logaccept in ACCEPT samo, da se pri logaccept se vse skupaj logira v nek .log fajl ane?
1 ACCEPT tcp -- 0.0.0.0/0 192.168.0.99 tcp dpt:9996
Imam samo ACCEPT ne logaccept, ker ce dam loggacept na koncu rula, mi tega ne zazna (logaccept)
Bom zdele se zgornji link pregledal...
EDIT: Pomoje nebi smel delat ACCEPT probleme, ker je razlika med logaccept in ACCEPT samo, da se pri logaccept se vse skupaj logira v nek .log fajl ane?
Zgodovina sprememb…
- spremenil: jabka ()
blaz_ ::
EDIT: Pomoje nebi smel delat ACCEPT probleme, ker je razlika med logaccept in ACCEPT samo, da se pri logaccept se vse skupaj logira v nek .log fajl ane?
da, nekako tako naj bi bilo
če je računalnik na ip-ju 0.99, potlej bi verjetno moralo biti to vredu (jaz imam pač ruter na 1.1 =) )
Ko tehnologija odpove, uporabi macolo.
jabka ::
Hmm gledam po login proftp-ja in mi izpisuje naslednje
Se pravi so tej porti zaprti...
A mislis da jih kr takole lahko odprem
+ da dodam se tist PREROUTING da iz globalnega IP-ja leti na lokalni?
unable to find open port in PassivePorts range 9996-9999: defaulting to INPORT_ANY
Se pravi so tej porti zaprti...
A mislis da jih kr takole lahko odprem
/sbin/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9996 -j ACCEPT
+ da dodam se tist PREROUTING da iz globalnega IP-ja leti na lokalni?
Zgodovina sprememb…
- spremenil: jabka ()
Brane2 ::
Ne verjamem,d a so porti zaprti v firewallu samo zato, ker jih tvoj program ne more odpreti.
Prej je to zato, ker na drugi strani ni poslušalca na teh portih.
Prej je to zato, ker na drugi strani ni poslušalca na teh portih.
On the journey of life, I chose the psycho path.
Brane2 ::
Imam samo ACCEPT ne logaccept, ker ce dam loggacept na koncu rula, mi tega ne zazna (logaccept)
Seveda ti ga ne zazna. Stvar skenira pravila toliko časa, dokler ji neko od pravil ne dovoli sprejema ali drop-a paketa. Takrat, ko se to zgodi, preneha s skeniranjem.
Kakršenkoli *LOG rule mora biti torje pred ACCEPT/REJECT/DROP etc.
Sploh pa mislim, da bi bilo bolje, če bi si prebral iptables man page namesto da bi kar tako nekaj ugibal in plonkal.
On the journey of life, I chose the psycho path.
jabka ::
Hmm sej opazil se eno stvari... ko se skonektam v FTP, in ce napisem epsv, mi javi
In sedaj, ce sedaj 200 pomnozim z 256 in pristejem 242 ne dobim, stevilke porta ki mam vpisanega v PassivePorts
227 Entering Passive Mode (xx,xx,xxx,zz,200,242).
In sedaj, ce sedaj 200 pomnozim z 256 in pristejem 242 ne dobim, stevilke porta ki mam vpisanega v PassivePorts
blaz_ ::
227 Entering Passive Mode (xx,xx,xxx,zz,200,242).
In sedaj, ce sedaj 200 pomnozim z 256 in pristejem 242 ne dobim, stevilke porta ki mam vpisanega v PassivePorts
če ti to izpiše client, je to definitivno narobe, ta cifra bi morala potem priti v tistem rangu, ki ga imaš pod PassivePorts napisanega.
še ena varianta, si siguren proftpd uporablja pravilno datoteko .conf? če ne, potem probaj zagnati ftp takole: proftpd --config /opt/etc/proftpd.conf (pač ta tvoja datoteka)
Ko tehnologija odpove, uporabi macolo.
SasoS ::
Odkar je iptables je odpiranje portov za passive ftp neumnost. Lepo dela s kernel modulom, ki porte odpira po potrebi.
jabka ::
modprobe ip_conntrack
modprobe ip_conntrack_ftp
Za tole vem, sem tudi vkljucil v firewall skripto, ampak ne pomaga nic...
modprobe ip_conntrack_ftp
Za tole vem, sem tudi vkljucil v firewall skripto, ampak ne pomaga nic...
Brane2 ::
Pa ti dela ta modprobe ?
Sploh imaš v kertnelu scompilane ustrezne module ?
Sploh imaš v kertnelu scompilane ustrezne module ?
On the journey of life, I chose the psycho path.
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | iptables problemOddelek: Operacijski sistemi | 2110 (1876) | poweroff |
| » | iptables "whitelist" težavicaOddelek: Omrežja in internet | 1716 (1462) | McMallar |
| » | iptables problem z SSHOddelek: Omrežja in internet | 1795 (1649) | sverde21 |
| » | iptables + forwardOddelek: Operacijski sistemi | 2253 (1828) | tx-z |
| » | Debian blokira IP...Oddelek: Operacijski sistemi | 1052 (838) | BigWhale |