iptables - opóźnienie listowania katalogów przez ftp?

zomb25 · Post autor: **zomb25** » 24 sierpnia 2009, 19:38

Witam.
Wraz z kolegą stworzyłem zabezpieczenie serwera - firewall.
Oto on:

#!/bin/sh

case "$1" in
start)

#deklaracje ipv6:
ip6tables -F
ip6tables -X
ip6tables -Z

ip6tables -I INPUT -p icmpv6 -j ACCEPT
ip6tables -A INPUT -s 2001:7d0::6666 -j ACCEPT
ip6tables -A INPUT -s 2a01:270:0:6667::2 -j ACCEPT
ip6tables -A INPUT -s 2001:4c40:1::6667 -j ACCEPT
ip6tables -A INPUT -s 2001:1bf0:2::6666 -j ACCEPT
ip6tables -A INPUT -s 2001:ad0::6666 -j ACCEPT
ip6tables -A INPUT -s 2001:708:310:4952:4320:436c:6965:6e74 -j ACCEPT
ip6tables -P INPUT DROP

##
FIREWALL=iptables

##
#firewall flush:
iptables -F
iptables -X
iptables -Z

##
#default policy:

iptables -P INPUT       DROP
iptables -P OUTPUT      ACCEPT
iptables -P FORWARD     DROP

iptables -A INPUT -j    LOG -m limit --limit 15/hour
iptables -A OUTPUT -j   LOG -m limit --limit 15/hour
iptables -A FORWARD -j  LOG -m limit --limit 15/hour

##
#following:
#modprobe ip_conntarck
#modprobe ip_conntarck_ftp

##
#ping switching off:
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
iptables -A INPUT -i eth0 -s 0/0 -p icmp --icmp-type ping -j DROP
##
#turn off ICMP errors && bugs loging && "source route" disabling:
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route


##
#passive mode enabling
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

##
#exeptions:
iptables -A INPUT -p tcp -s 0/0 --dport 22 -j ACCEPT #ssh
iptables -A INPUT -p tcp -s 0/0 --dport 21 -j ACCEPT #ftp
iptables -A INPUT -p tcp -s 0/0 --dport 20 -j ACCEPT #ftp
iptables -A INPUT -p tcp -s 0/0 --dport 88 -j ACCEPT #wt
iptables -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT #www
iptables -A INPUT -p tcp -s 0/0 --dport 5000 -j ACCEPT #wt2
#
iptables -A INPUT -p udp -s 0/0 --dport 1200 -j ACCEPT #cs
iptables -A INPUT -p udp -s 0/0 --dport 27025 -j ACCEPT #cs
iptables -A INPUT -p tcp -s 0/0 --dport 27025 -j ACCEPT #cs
#
iptables -A INPUT -p tcp -s 0/0 --dport 13254 -j ACCEPT #hub
iptables -A INPUT -p udp -s 0/0 --dport 13254 -j ACCEPT #hub

exit 0
;;

stop)
#firewall flush:
iptables -F
iptables -X
iptables -Z
##
#default policy:
iptables -P INPUT       ACCEPT
iptables -P OUTPUT      ACCEPT
iptables -P FORWARD     ACCEPT
ip6tables -F
ip6tables -X
ip6tables -Z
ip6tables -P INPUT       ACCEPT
ip6tables -P OUTPUT      ACCEPT
ip6tables -P FORWARD     ACCEPT
exit 0
;;
*)
echo "Usage: /etc/init.d/firewall {start|stop}"
exit 1
;;
esac

Działa prawie dobrze, jest tylko jeden problem - gdy włączę firewall opóźnia się listowanie katalogów przez ftp (proftpd) i ogólnie serwer tak jakby "zamula"
Proszę o szybką pomoc.

xmaster · Post autor: **xmaster** » 24 sierpnia 2009, 19:58

ip6tables- co to jest?

zomb25 · Post autor: **zomb25** » 24 sierpnia 2009, 20:07

Deklaracje ipv6?

tomii · Post autor: **tomii** » 24 sierpnia 2009, 20:28

A to

Kod: Zaznacz cały

iptables -A INPUT -j    LOG -m limit --limit 15/hour
iptables -A OUTPUT -j   LOG -m limit --limit 15/hour
iptables -A FORWARD -j  LOG -m limit --limit 15/hour

co ma robić ?

grzesiek · Post autor: **grzesiek** » 24 sierpnia 2009, 21:25

Skoro ftp zamula to czemu

Kod: Zaznacz cały

ip_conntrack_ftp

wyłączyliście? Ftp używa portów losowych >1024 wiesz o tym?
A co do najszybszej pomocy to /etc/init.d/firewall stop :mrgreen:

zomb25 · Post autor: **zomb25** » 25 sierpnia 2009, 19:51

Tak myślałem. Niestety jajka mają to do siebie że są do...
Zaraz skompiluję własne jądro, zrobię te moduły i ma być dobrze.

Rad · Post autor: **Rad** » 27 sierpnia 2009, 14:22

xmaster pisze:ip6tables- co to jest?

Do filtrowania pakietów protokołu IPv6 nie korzystamy ze zwykłego iptables, tylko właśnie ip6tables

.