#0
by raykom
Уважаемые знатоки Linux. Подскажите пожалуйста, как правильно прописать цепочку правил в iptables сервера, что бы был доступ по ftp (пассивный) в обе стороны. Если еще намекнете как сделать, что бы только с определенного ip, вообще здорово. Только пожалуйста практические советы. Какие модули поднять, какие правила прописать. Спасибо. Тему курил, но пока чего то не получается. Вот в частности не могу понять, нужны ли modprobe ip_conntrack modprobe ip_conntrack_ftp Если да, то как их поднимать. Еще раз спасибо.
#1
by pwei
много, но после прочтения хорошо разберешься с айпитэйблс. а разрешить доступ к фтп сервера тока с одного адреса, наверняка можно в конфиге фтп сервака.
#2
by raykom
Спасибо. По ссылке был. Это для сильно одаренных, у меня нет интеллекта от22 см ... По этому прошу помощи. Про конфиг в курсе, но чего то зациклился на iptables, есть мысль потом сделать динамическое отрытие портов. Если ни кто не подскажет, буду в конфиге править.
#3
by pwei
а как бушь делать динамическое открытия портов? тему на мисте создавать? кури мануал до просветления.
#4
by raykom
> кури мануал до просветления ... адептом запахло ... Вот так примерно, по примеру ssh modprobe ip_conntrack modprobe ip_conntrack_ftp iptables -P INPUT DROP iptables -A INPUT -m conntrack --ctstate INVALID -j DROP iptables -A OUTPUT -m conntrack --ctstate INVALID -j DROP iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m conntrack --ctstate NEW -p tcp --sport 1024:65535 --dport 20:21 -j ACCEPT Только со статичными правилами разобраться надо.
#5
by pwei
ды не. года 3 назад нужда заставила использовать iptables. все уже позабыто. но прекрасно помню с какой легкостью и удовольствием (после изучения сабжа) создавались и тюнинговались правила. так что, совет тока один))
#7
by raykom
Вот так. iptables -N sshguard # Если адрес в списке, то подключение разрешено iptables -A sshguard -m state --state NEW -m recent --rcheck --name SSH -j ACCEPT # Разрешить пакеты для уже установленных соединений iptables -A sshguard -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A sshguard -j DROP # Заносит адрес в список iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 1500 -m recent --name SSH --set -j DROP # Удаляет адрес из списка iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 1499 -m recent --name SSH --remove -j DROP # Применение для трафика ssh цепочку sshguard iptables -A INPUT -p tcp --dport 22 -j sshguard Порт открывается только для ip с которого был открыт
#10
by raykom
и Коллеги, в сабже было обращение > Уважаемые ЗНАТОКИ Linux Где вы там видели > Уважаемые Linuxoidы ??? Почувствуйте разницу ... Ваша манера давать советы выдаст Ваш статус даже в темной комнате :)
#12
by raykom
да и Прошу извинить, за неуместное сравнение :)) Но вот по сути. По первой ссылке я был и раньше, отсюда и вопрос про modprobe ip_conntrack modprobe ip_conntrack_ftp но самое главное, не могу понять, где прописать команды, для поднятия этих модулей.
#17
by raykom
И к стати, у меня прои попытке ввести с консоли modprobe ip_conntrack выдает FATAL: Could not load /lib/modules/2.6.18-128.2.1.el5.028stab064.8/modules.dep: No such file or directory Директория такая есть, а в ней пусто.
#18
by raykom
Хотелось бы вручную понимать, а то машина то удаленная. Но вообще то для ssh уже проверено.
#23
by raykom
При попытке установить ip_conntrack сообщает, что такой пакет не найден, но есть пакет в который он включен. Пакет этот netstat-nat. Ставить его, что ли ?
#24
by smaharbA
единственное правило которое тебе нужно /sbin/modprobe ip_conntrack_ftp $IPT -A INPUT -p TCP --dport 21 -j ACCEPT
#26
by raykom
Спасибо. Буду курить. Пока закрылся так: в proftpd.conf <Limit LOGIN> Order allow,deny Allow from ххх.ххх.ххх.ххх Allow from 127.0.0.1 Deny from all </Limit>
#29
by smaharbA
если запускается из inetd/xinetd то можно так ограничить в /etc/host.allow in.proftpd: 192.168.0.104 mail.karat-e.ru 192.168.0.3 88.86.213.124 в /etc/host.deny in.proftpd: ALL и на всяк случай перегружаем инетд kill -1 `pgrep inetd`
Тэги: Unix / Linux
Ответить:
Комментарии доступны только авторизированным пользователям
Похожие вопросы 1С
В этой группе 1С
- Подрядчик строительства 2.3. ключ защиты.
- v8: Неправильный формат выгрузки файла 2-НДФЛ.
- HELP добавил реквизит в регистр - что будет если прервать работу конфигур-ра?
- Нулевая себестоимость внутренних продаж в УТ11
- Инвентаризация (по складу) -> инвентаризация (розница)
- v7: Почему функция СводныйОстаток не дает результата?
- СКД - отбор по пользовательскому полю
- ЗУП 2.5.30.4 Больничный за счет работодателя считает 3 дня
- УТ Сканер драйвер 8.0.8.4 - обработка 2,22
- Вебклиент:Неверные или отсутствующие параметры соединения с информационной базой
- Записать в реквизит "Ответственный" в документе
- Камин 3,0 сзв -6
- Терминал сбора данных CASIO DT-930. Нужна помощь.
- Ошибка при выполнении операции с информационной базой Транзакция активна
- БП 2.0. Убытки прошлых лет.
- СКД: как выбрать значение первой строки одного из столбцов табличной части?
- Зик: изменение тарифных разрядов
- КА. Как правильно вести первичку. Зачет реализации и оплаты
- ЗУП расчет больничного из МРОТ
- Вопрос о транзакциях 8.2 Запись в регистр сведений при отказе от проведения.