iptables и ftp Debian #530713

Уважаемые знатоки Linux. Подскажите пожалуйста, как правильно прописать цепочку правил в iptables сервера, что бы был доступ по ftp (пассивный) в обе стороны. Если еще намекнете как сделать, что бы только с определенного ip, вообще здорово. Только пожалуйста практические советы. Какие модули поднять, какие правила прописать. Спасибо.  Тему курил, но пока чего то не получается. Вот в частности не могу понять, нужны ли modprobe ip_conntrack modprobe ip_conntrack_ftp Если да, то как их поднимать. Еще раз спасибо.

много, но после прочтения хорошо разберешься с айпитэйблс. а разрешить доступ к фтп сервера тока с одного адреса, наверняка можно в конфиге фтп сервака.

Спасибо. По ссылке был. Это для сильно одаренных, у меня нет интеллекта от22 см ... По этому прошу помощи. Про конфиг в курсе, но чего то зациклился на iptables, есть мысль потом сделать динамическое отрытие портов. Если ни кто не подскажет, буду в конфиге править.

а как бушь делать динамическое открытия портов? тему на мисте создавать? кури мануал до просветления.

> кури мануал до просветления ... адептом запахло ... Вот так примерно, по примеру ssh modprobe ip_conntrack modprobe ip_conntrack_ftp iptables  -P INPUT DROP iptables  -A INPUT  -m conntrack --ctstate INVALID -j DROP iptables  -A OUTPUT -m conntrack --ctstate INVALID -j DROP iptables  -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT iptables  -A INPUT -m conntrack --ctstate NEW -p tcp --sport 1024:65535 --dport 20:21 -j ACCEPT Только со статичными правилами разобраться надо.

ды не. года 3 назад нужда заставила использовать iptables. все уже позабыто. но прекрасно помню с какой легкостью и удовольствием (после изучения сабжа) создавались и тюнинговались правила. так что, совет тока один))

Блин, не то

Вот так. iptables -N sshguard # Если адрес в списке, то подключение разрешено iptables -A sshguard -m state --state NEW -m recent --rcheck --name SSH -j ACCEPT # Разрешить пакеты для уже установленных соединений iptables -A sshguard -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A sshguard -j DROP # Заносит адрес в список iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 1500 -m recent --name SSH --set -j DROP # Удаляет адрес из списка iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 1499 -m recent --name SSH --remove -j DROP # Применение для трафика ssh цепочку sshguard iptables -A INPUT -p tcp --dport 22 -j sshguard Порт открывается только для ip с которого был открыт

на вот

а вообще

и Коллеги, в сабже было обращение > Уважаемые ЗНАТОКИ Linux Где вы там видели > Уважаемые Linuxoidы ??? Почувствуйте разницу ... Ваша манера давать советы выдаст Ваш статус даже в темной комнате :)

Надо то 5 строчек ... Проверенных.

да и Прошу извинить, за неуместное сравнение :)) Но вот по сути. По первой ссылке я был и раньше, отсюда и вопрос про modprobe ip_conntrack modprobe ip_conntrack_ftp но самое главное, не могу понять, где прописать команды, для поднятия этих модулей.

не нужны по сути тебе правила для фтп

Допустим. А что нужно ?

команды в скрипте поднятия файрвола скрипт ложить сюда /etc/network/if-up.d/

/sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp

И к стати, у меня прои попытке ввести с консоли modprobe ip_conntrack выдает FATAL: Could not load /lib/modules/2.6.18-128.2.1.el5.028stab064.8/modules.dep: No such file or directory Директория такая есть, а в ней пусто.

Хотелось бы вручную понимать, а то машина то удаленная. Но вообще то для ssh уже проверено.

понимать - поднимать

+ Ну и при инициализации .config, куда прописал команды - то же самое.

АГа, чего то я про /sbin/ не подумал. Щас попробую

Нет, не находит, нет их у меня, похоже. ИЛи не там лежат

При попытке установить ip_conntrack сообщает, что такой пакет не найден, но есть пакет в который он включен. Пакет этот netstat-nat. Ставить его, что ли ?

единственное правило которое тебе нужно /sbin/modprobe ip_conntrack_ftp $IPT -A INPUT -p TCP --dport 21 -j ACCEPT

ls /lib/modules/`uname -r`/kernel/net/ipv4/netfilter

Спасибо. Буду курить. Пока закрылся так: в proftpd.conf <Limit LOGIN> Order allow,deny Allow from ххх.ххх.ххх.ххх Allow from 127.0.0.1 Deny from all </Limit>

proftpd ?

Да

если запускается из inetd/xinetd то можно так ограничить в /etc/host.allow in.proftpd: 192.168.0.104 mail.karat-e.ru 192.168.0.3 88.86.213.124 в /etc/host.deny in.proftpd: ALL и на всяк случай перегружаем инетд kill -1 `pgrep inetd`

да, xinetd