Proftpd + iptables

Luc3k · Post autor: **Luc3k** » 15 czerwca 2015, 07:37

W swoim serwerze domyślną politykę mam ustawioną na DROP

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

Przepuszczam sobie tylko te usługi, które potrzebuję. Jedną z nich jest FTP (proftpd):

Kod: Zaznacz cały

iptables -A INPUT --protocol tcp --destination-port 20 -j ACCEPT
iptables -A INPUT --protocol tcp --destination-port 21 -j ACCEPT

Niestety, logując się do serwera z zewnątrz nawiązywane jest połączenie, ale nie odświeża listy katalogów. W Total Commanderze otrzymuję taki komunikat: "Polecenie PORT nie powiodło się".
Połączenie na serwerze jest nawiązane i wisi. Jakie jeszcze porty muszę odblokować, aby móc uzyskiwać połączenie do serwera FTP?

Post autor: **pawkrol** » 15 czerwca 2015, 08:10

Wyłącz firewalla i sprawdź czy problem nadal występuje.
Bo generalnie usługa FTP działa właśnie na ustawionych przez Ciebie portach.

Jak masz ustawiony na firewallu interfejs lo

Luc3k · Post autor: **Luc3k** » 15 czerwca 2015, 08:17

pawkrol pisze:Wyłącz firewalla i sprawdź czy problem nadal występuje.
Bo generalnie usługa FTP działa właśnie na ustawionych przez Ciebie portach.

Jak masz ustawiony na firewallu interfejs lo

Kiedy ustawię w firewallu:

Kod: Zaznacz cały

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

Połączenie działa bezproblemowo.

Konfiguracja lo:

Kod: Zaznacz cały

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

Post autor: **dedito** » 15 czerwca 2015, 08:47

Pokaż całego firewalla.
Jaki tryb aktywny/pasywny?

Post autor: **LordRuthwen** » 15 czerwca 2015, 08:57

Ustaw dla dla połączeń RELATED i ESTABLISHED na accept.

Post autor: **pawkrol** » 15 czerwca 2015, 10:02

Ewentualnie dodaj logowanie do firewalla i zobacz co Ci blokuje listowanie.

Natomiast

Ustaw dla dla połączeń RELATED i ESTABLISHED na accept.

jest jak najbardziej pożądanym zabiegiem.

Luc3k · Post autor: **Luc3k** » 15 czerwca 2015, 10:32

Oto wycinek z mojej zpory: http://83.218.119.6/firewall

Macie na myśli coś takiego?

Kod: Zaznacz cały


iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED 
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED 
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

Takie wpisy w zaporze już posiadam.

dedito pisze: Jaki tryb aktywny/pasywny?

Wydaje mi się, że aktywny. W configu profptd nie dodawałem, żanych portów pasywnych, ani też innych wpisów, aby działał w trybie pasywnym. Mogę wycinek z configa również wystawić.

Aczkolwiek: kiedy Total Commander łaczy się z serwerem to zatrzymuje się na komunikacie "Entering pasive mode...", przy czy opcja w TC "użyj trybu pasywnego..." nie jest włączona.

Post autor: **pawkrol** » 15 czerwca 2015, 11:23

Tak z tym że:

Kod: Zaznacz cały

iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

Jest nie potrzebne bo masz już domyślną regułę na ACCEPT

A na regule tak dajesz:

Kod: Zaznacz cały

iptables -A INPUT -s 0/0 -p tcp -m tcp -m state --state NEW --dport 20 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp -m tcp -m state --state NEW --dport 21 -j ACCEPT

Tu masz fajnie opisane tryby ftp - link

Luc3k · Post autor: **Luc3k** » 15 czerwca 2015, 12:42

pawkrol pisze: A na regule tak dajesz:

Kod: Zaznacz cały

iptables -A INPUT -s 0/0 -p tcp -m tcp -m state --state NEW --dport 20 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp -m tcp -m state --state NEW --dport 21 -j ACCEPT

Ten wpis nie rozwiązał problemu.
Z linku, który podałeś wynika, że na zaporze muszą być otwarte porty powyżej 1024. W mojej zaporze wpuszam tylko 20, 21, 22, 80 i 8080.

Logi podczas próby łączenia się z proftpd wyglądają następująco:

Kod: Zaznacz cały

79.189.44.186 UNKNOWN kzgrzeblak [15/cze/2015:12:43:15 +0200] "QUIT" 221 -
79.189.44.186 UNKNOWN kzgrzeblak [15/cze/2015:12:43:17 +0200] "USER kzgrzeblak" 331 -
79.189.44.186 UNKNOWN kzgrzeblak [15/cze/2015:12:43:17 +0200] "PASS (hidden)" 230 -
79.189.44.186 UNKNOWN kzgrzeblak [15/cze/2015:12:43:17 +0200] "SYST" 215 -
79.189.44.186 UNKNOWN kzgrzeblak [15/cze/2015:12:43:17 +0200] "FEAT" - -
79.189.44.186 UNKNOWN kzgrzeblak [15/cze/2015:12:43:17 +0200] "OPTS_UTF8 ON" 200 -
79.189.44.186 UNKNOWN kzgrzeblak [15/cze/2015:12:43:17 +0200] "OPTS UTF8 ON" - -
79.189.44.186 UNKNOWN kzgrzeblak [15/cze/2015:12:43:17 +0200] "PWD" 257 -
79.189.44.186 UNKNOWN kzgrzeblak [15/cze/2015:12:43:18 +0200] "TYPE A" 200 -
79.189.44.186 UNKNOWN kzgrzeblak [15/cze/2015:12:43:18 +0200] "PORT 10,0,0,213,213,156" 500 -
79.189.44.186 UNKNOWN kzgrzeblak [15/cze/2015:12:43:18 +0200] "PASV" 227 -

Wydaje mi się, że trzeba będzie przestawić proftpd w tryb pasywny i otworzyć dla niego jakiś zakres portów. Chyba, że macie jeszcze jakieś pomysły.

Post autor: **pawkrol** » 15 czerwca 2015, 14:50

Może być tak że jednak korzystasz z trybu pasywnego. Wtedy należy dodatkowo otworzyć porty wysokie. Nie wiem jak to jest w pro ftp, ale w pure ftp odpowiadała za to opcja "PassivePortRange"