Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2006-10-11 00:13:56

  stepien86 - Członek DUG

stepien86
Członek DUG
Skąd: Łódź
Zarejestrowany: 2006-03-26

problem z FTP przez firewall

Witam jak w temacie, Polityki INPUT OUTPUT sa ustawione na DROP
# zezwolenie nna laczenie sie z naszym zewnetrznym ip po FTP
$ipt -A INPUT -d 0/0 -d IP -p tcp --dport 21 -j ACCEP
$ipt -A INPUT -d 0/0 -d IP -p tcp --dport 21 -j ACCEPT
$ipt -A INPUT -s 0/0 -d IP -p tcp --dport 21 -j ACCEPT
$ipt -A INPUT -s 0/0 -d IP -p tcp --dport 21 -j ACCEPT

# polaczenia nawiazane
$ipt -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
$ipt -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
$ipt -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED


i gdy probuje polaczyc sie z FTP to sie nie da :( Pyta o uzytkownika i haslo i KONIEC :/ Z tego co mi wiadomo to ftp 21 port na negocjacje polaczenia i losowy wysoki na transfer
Jak z tym sobiie poradzic
korzystalem z art
http://www.dug.net.pl/texty/masq.php


dzieki za odp !! :)


manual ponad wszysytko....konsola ponad manual

Debian GNU Linux

Offline

 

#2  2006-10-11 08:50:41

  GuruPL - Członek DUG

GuruPL
Członek DUG
Zarejestrowany: 2006-03-13
Serwis

Re: problem z FTP przez firewall

ftp wymaga portow 21 i 20

Offline

 

#3  2006-10-11 09:14:41

  stepien86 - Członek DUG

stepien86
Członek DUG
Skąd: Łódź
Zarejestrowany: 2006-03-26

Re: problem z FTP przez firewall

nie dziala :/


manual ponad wszysytko....konsola ponad manual

Debian GNU Linux

Offline

 

#4  2006-10-11 15:59:49

  Szczur[R] - Użytkownik

Szczur[R]
Użytkownik
Skąd: Czestochowa
Zarejestrowany: 2006-03-29

Re: problem z FTP przez firewall

$IPTABLES -A INPUT -p tcp -s xxx -d yyy --dport 21 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -s xxx -d yyy --dport 21 -m state --state NEW -j ACCEPT

xxx - ip zrodlowe, yyy ip serwera gdzie nasluchuje ftp.

Powyzsze wpisy dzialaja bez problemu kiedy na serwerze mam proftpd a za klienta urzywam http://www.smartftp.com/
Pamietaj ze jesli chcesz polaczyc sie z WEWNATRZ sieci z ip zewnetrzynym serwera, to potrzebujesz jeszcze wpisow na FORWARD gdyz te pakiety nigdy nie dotra bez nich do zewnetrznego ip....
Wiec muszisz wtedy dopisac:

$IPTABLES -A FORWARD -p tcp -s (twoje ip wew) -d (serwera ip zew) --dport 21 -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p udp -s (twoje ip wew) -d (serwera ip zew) --dport 21 -m state --state NEW -j ACCEPT


ftp wymaga portow 21 i 20

nie prawda - zalezy od klienta i serwera - u mnie dziala tylko na 21, ale np. przez nortoncommander juz sie nie podlaczysz - musisz otworzyc dodatkowo port 20 (tylko nie pamietam: tcp czy udp)


pozdr


http://sopot.i365.pl/neo/i/us4.jpg

Offline

 

#5  2006-10-11 17:03:15

  stepien86 - Członek DUG

stepien86
Członek DUG
Skąd: Łódź
Zarejestrowany: 2006-03-26

Re: problem z FTP przez firewall

niestety nie dzialaja te wpisy z zewnatrz sieci.FTP dziala gdy wklepe taka regulke iptables -A INPUT -i eth1 -j ACCEPT :/ to po co tu polityka wczesniej na DROP ?? :/
z xxx wstawialem 0/0 , ip wew serwera za yyy wstawialem moje zwe ip :/ ehhh HELP ME !!


manual ponad wszysytko....konsola ponad manual

Debian GNU Linux

Offline

 

#6  2006-10-11 17:10:14

  Szczur[R] - Użytkownik

Szczur[R]
Użytkownik
Skąd: Czestochowa
Zarejestrowany: 2006-03-29

Re: problem z FTP przez firewall

napisz dokladnie jaka masz konfiguracje sieci
jakie ethx na jakim adresie, wypisz maske, zapodaj calego firewalla, jaki daemon ftp urzywasz itd... jak dasz kompletn informacji to sie cos wymysli :-)


pozdr


http://sopot.i365.pl/neo/i/us4.jpg

Offline

 

#7  2006-10-11 17:27:15

  stepien86 - Członek DUG

stepien86
Członek DUG
Skąd: Łódź
Zarejestrowany: 2006-03-26

Re: problem z FTP przez firewall

eth1 - zewnetrzby adres ip
eth0 - 192.168.1.1

firewall
#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
ipt="/sbin/iptables"


$ipt -F
$ipt -X
$ipt -t nat -F
$ipt -t nat -X
$ipt -t nat -Z

#polityka dzialania
$ipt -P INPUT DROP
$ipt -P FORWARD DROP
$ipt -P OUTPUT DROP

#$ipt -A INPUT -i eth1 -j ACCEPT

# zezwolenie nna laczenie sie z naszym zewnetrznym ip po ssh
$ipt -A INPUT -s 0/0 -d 85.89.168.117 -p tcp --dport 22 -j ACCEPT
$ipt -A OUTPUT -s 0/0 -d 85.89.168.117 -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -s 0/0 -d 85.89.168.117 -p udp --dport 22 -j ACCEPT
$ipt -A OUTPUT -s 0/0 -d 85.89.168.117 -p udp --dport 22 -j ACCEPT

# Apache
$ipt -A INPUT -s 0/0 -d 85.89.168.117 -p tcp --dport 80 -j ACCEPT
$ipt -A OUTPUT -s 0/0 -d 85.89.168.117 -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -s 0/0 -d 85.89.168.117 -p udp --dport 80 -j ACCEPT
$ipt -A OUTPUT -s 0/0 -d 85.89.168.117 -p udp --dport 80 -j ACCEPT

# zezwolenie nna laczenie sie z ssh po LAN
$ipt -A INPUT -s 0/0 -d 192.168.1.1 -p tcp --dport 22 -j ACCEPT
$ipt -A OUTPUT -s 0/0 -d 192.168.1.1 -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -s 0/0 -d 192.168.1.1 -p udp --dport 22 -j ACCEPT
$ipt -A OUTPUT -s 0/0 -d 192.168.1.1 -p udp --dport 22 -j ACCEPT

# FTP

$ipt -A FORWARD -p tcp -s 192.168.1.1 -d 85.89.168.117 --dport 21 -m state --state NEW -j ACCEPT
$ipt -A FORWARD -p udp -s 192.168.1.1 -d 85.89.168.117 --dport 21 -m state --state NEW -j ACCEPT
$ipt -A FORWARD -p tcp -s 192.168.1.1 -d 85.89.168.117 --dport 20 -m state --state NEW -j ACCEPT
$ipt -A FORWARD -p udp -s 192.168.1.1 -d 85.89.168.117 --dport 20 -m state --state NEW -j ACCEPT

$ipt -A INPUT -p tcp -s 0/0 -d 85.89.168.117 --dport 21 -m state --state NEW -j ACCEPT
$ipt -A INPUT -p udp -s 0/0 -d 85.89.168.117 --dport 21 -m state --state NEW -j ACCEPT
$ipt -A INPUT -p tcp -s 0/0 -d 85.89.168.117 --dport 20 -m state --state NEW -j ACCEPT
$ipt -A INPUT -p udp -s 0/0 -d 85.89.168.117 --dport 20 -m state --state NEW -j ACCEPT


# polaczenia nawiazane
$ipt -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
$ipt -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
$ipt -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

#Moj komputer(old)==================j

$ipt -t nat -A POSTROUTING -o eth1 -s 192.168.1.2 -j SNAT --to 85.89.168.117
$ipt -A FORWARD -m mac --mac-source 00:A0:CC:7B:81:92 -j ACCEPT
#iptables -A PREROUTING -t nat -s 192.168.1.2 -p tcp --dport 1:65535 -j DNAT --to-destination 192.168.1.1:999

#==============================  P O R T Y 


#Karolina===============================Karolina=============================================
$ipt -t nat -A POSTROUTING -o eth1 -s 192.168.1.3 -j SNAT --to 85.89.168.117
$ipt -A FORWARD -m mac --mac-source 00:05:1C:1C:4A:5C -j ACCEPT
#Blokada P2P
#iptables -A FORWARD -d 192.168.1.3 -m ipp2p --ipp2p -j DROP
#iptables -A FORWARD -s 192.168.1.3 -m ipp2p --ipp2p -j DROP


#Blokada Netu
#iptables -A PREROUTING -t nat -s 192.168.1.9 -p tcp --dport 1:65535 -j DNAT --to-destination 192.168.1.1:200




#Darek===========================Darek================================================================
$ipt -t nat -A POSTROUTING -o eth1 -s 192.168.1.4 -j SNAT --to 85.89.168.117
    $ipt -A FORWARD -m mac --mac-source 00:14:85:88:23:A2 -j ACCEPT

#Blokada P2P
#iptables -A FORWARD -d 192.168.1.4 -m ipp2p --ipp2p -j DROP
#iptables -A FORWARD -s 192.168.1.4 -m ipp2p --ipp2p -j DROP


#Blokada Netu
#iptables -A PREROUTING -t nat -s 192.168.1.4 -p tcp --dport 1:65535 -j DNAT --to-destination 192.168.1.1:200

#----------------------------------------------------------------------------------------------------------------------------


deamon ftp vsftpd


manual ponad wszysytko....konsola ponad manual

Debian GNU Linux

Offline

 

#8  2006-10-11 17:58:21

  Szczur[R] - Użytkownik

Szczur[R]
Użytkownik
Skąd: Czestochowa
Zarejestrowany: 2006-03-29

Re: problem z FTP przez firewall


deamon ftp vsftpd

wiec jeszcze config daemona poprosze


Ten Firewall to wogole chaos straszny jest.... czy eth0 (lokalny) jest "bezpieczny" w sesie - czy nikt Ci sie nie podlaczy do niego na lewo ??
jesli tak to pozwole sobie zaproponowac do tego firewall pare zmian....


pozdr


http://sopot.i365.pl/neo/i/us4.jpg

Offline

 

#9  2006-10-11 18:08:39

  stepien86 - Członek DUG

stepien86
Członek DUG
Skąd: Łódź
Zarejestrowany: 2006-03-26

Re: problem z FTP przez firewall

oto konfig vsftpd

Kod:

# Standalone?
listen=YES
#Anonimowi
anonymous_enable=NO
no_anon_password=NO
anon_world_readable_only=NO
anon_upload_enable=NO
hide_ids=YES
anon_max_rate=7000
write_enable=YES
local_umask=0177
# Czy lokalni userzy mog. si� logowa
local_enable=YES
# Mo�na zapisywa
write_enable=YES
# Standardowy umask plik
local_umask=022
# Logowanie?
xferlog_enable=YES
# Katalog log
xferlog_file=/var/log/xferlog
# Format log
xferlog_std_format=YES
# Mo�liwo.� uploadu ascii?
ascii_upload_enable=YES
# Mo�liwo.� downloadu ascii?
ascii_download_enable=YES
# Po�.czenia z portu 20? (port ftp-data)
connect_from_port_20=YES
# Zamyka� user�w w ich home?
chroot_list_enable=YES
chroot_local_user=NO
chroot_list_file=/etc/vsftpd.chroot_list
# Bez zmian
userlist_deny=NO
pam_service_name=vsftpd

xferlog_std_format=YES
xferlog_file=/var/log/xferlog.log

Czy jest bezpieczny tego nie wiem :|
Bardzo prosze o wszelkie uwagi i jakies zmiany w celu lepszego zabezpieczenie serwera. Dopiero sie ucze wiec za wszelkie informacje bede wdzieczny


manual ponad wszysytko....konsola ponad manual

Debian GNU Linux

Offline

 

#10  2006-10-11 20:57:34

  stepien86 - Członek DUG

stepien86
Członek DUG
Skąd: Łódź
Zarejestrowany: 2006-03-26

Re: problem z FTP przez firewall

$ipt -F powinno byc nad maskarada, takto net dziala, ale FTP nadal nie :/ FUCK FUCK FUCK


btw w art BieXi
najpierw jest czyszczenie reguł
pozniej polityka
zezwolenie nna laczenie sie z naszym zewnetrznym ip po ssh
polaczenia nawiazane
udostepniaie internetu w sieci lokalnej

Natomiast u mnie aktualnie:
czyszczenie regul
natujemy kompy userow - maskarada
polityka dzialania
polaczenia nawiazane
zezwolenie nna laczenie sie z naszym zewnetrznym ip po ssh

Jaka powinna byc prawidłowa kolejnosc :) ??


manual ponad wszysytko....konsola ponad manual

Debian GNU Linux

Offline

 

#11  2006-10-11 21:30:45

  Szczur[R] - Użytkownik

Szczur[R]
Użytkownik
Skąd: Czestochowa
Zarejestrowany: 2006-03-29

Re: problem z FTP przez firewall

eee zaraz chwila.... bo ja dzisiaj troszke niekontaktujacy jestem....

wstukaj ten skrypt co Ci zapodalem i sprawdz czy dziala - jaki jest efekt


ipt -F powinno byc nad maskarada, takto net dziala, ale FTP nadal nie :/ FUCK FUCK FUCK

chyba ze juz wstukales i efekt masz taki jak powyzej... :-)

FTP: Twoj serwer prawdopodobnie nasluchuje tylko na ip lokalnym dlatego nie mozesz sie podlaczyc na publiczne.
zainstaluj proftpd zamiast tego co masz teraz i z moim skryptem sprawdz czy dziala - powinno.

jesli nada nie - zainstaluj nmap i zapodaj wynik polecen
nmap 192.168.1.1
nmap twoje_ip_publiczne


pozdr


http://sopot.i365.pl/neo/i/us4.jpg

Offline

 

#12  2006-10-11 21:54:20

  stepien86 - Członek DUG

stepien86
Członek DUG
Skąd: Łódź
Zarejestrowany: 2006-03-26

Re: problem z FTP przez firewall

Szczur[R] moglbys mi dac jakis pliczek konfiguracyjny proftpd??


manual ponad wszysytko....konsola ponad manual

Debian GNU Linux

Offline

 

#13  2006-10-11 21:59:27

  Szczur[R] - Użytkownik

Szczur[R]
Użytkownik
Skąd: Czestochowa
Zarejestrowany: 2006-03-29

Re: problem z FTP przez firewall

moglbym.... standardowy :)
proftpd nie wymaga zadnych zmian w configu do uruchomienia: pisalem zebys z niego skorzystal bo on domyslnie nasluchuje na wszystkich interfajsach i wykluczysz w ten sposob problem z konfigiem daemona ftp.

Wiec poprostu zainstaluj i sprawdz czy sie polaczysz. Urzyj tez ewentualnie tego klienta smartftp do ktorego linka juz gdzies dalem w tym topic'u
jesli nie idzie dalej to zeskanuj nmapem - bedzie widac czy sa porty otwarte i czy cos na nich nasluchuje. Najlepiej jakbys skanowal z innego kompa - nie lokalnie z serwera - czyli ip publiczne z jakiegos kompa w necie a lokalne z sieci wewnetrznej.


pozdr


http://sopot.i365.pl/neo/i/us4.jpg

Offline

 

#14  2006-10-12 08:23:19

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: problem z FTP przez firewall

20 i 21 to już  historia w sumie :)

teraz najczęściej 21 i passive ports

z proftpd.conf

Kod:

# Port 21 is the standard FTP port.
Port                            21
PassivePorts 49152 49999

Jak masz firewall stateless to te porty (49152 - 49999) odblokuj na firewallu , jak masz stateful , to wpuszczasz --dport 21 -m state --state NEW  , a porty dla passive mode wpuszczasz już regułką dla -m state --state RELATED

Kod:

router ~ # cat /etc/proftpd/proftpd.conf  |grep -v "#"

ServerName                      "INGRAM FTP server"
ServerType                      standalone
DeferWelcome                    off

MultilineRFC2228                on
DefaultServer                   on
ShowSymlinks                    on

TimeoutNoTransfer               600
TimeoutStalled                  600
TimeoutIdle                     1200

DisplayLogin                    welcome.msg
DisplayFirstChdir               .message
ListOptions                     "-l"

DenyFilter                      *.*/


TLSEngine                       on

Port                            21
PassivePorts 49152 49999

MaxLoginAttempts                3
MaxClients 20 ">>> Za duzy tlok na serwerze sproboj pozniej <<<"
MaxClientsPerHost 5 ">>> Za duzo polaczen z tego samego hosta(IP)!!! <<<"
ExtendedLog /var/log/proftpd/proftp.log
DefaultRoot ~
RequireValidShell off

MaxInstances                    30

User                            nobody
Group                           nogroup

Umask                           022  022
AllowOverwrite                  on



<IfModule mod_tls.c>
    TLSEngine on
    TLSLog /var/log/proftpd/tls.log
    TLSProtocol TLSv1

    TLSRequired off

    TLSRSACertificateFile /etc/proftpd/server.crt
    TLSRSACertificateKeyFile /etc/proftpd/server.key

    TLSCACertificateFile /etc/proftpd/ca.crt

    TLSVerifyClient off
</IfModule>

<Limit SITE_CHMOD>
AllowUser frutico
AllowUser przemekk
AllowUser lukaszm
AllowUser kppsp
DenyAll
</Limit>

Offline

 

#15  2006-10-12 18:58:59

  stepien86 - Członek DUG

stepien86
Członek DUG
Skąd: Łódź
Zarejestrowany: 2006-03-26

Re: problem z FTP przez firewall

nadal NIC !!!! :/:/:/:/ nie dziala, ma ktos moze jeszcze jakis pomysł ??????


manual ponad wszysytko....konsola ponad manual

Debian GNU Linux

Offline

 

#16  2006-10-12 19:14:43

  Szczur[R] - Użytkownik

Szczur[R]
Użytkownik
Skąd: Czestochowa
Zarejestrowany: 2006-03-29

Re: problem z FTP przez firewall


teraz najczęściej 21 i passive ports

zlyZwierz: wogole o tym nie pomyslalem, nawet nie wzialem tego pod uwage
I..... sie juz sam pogubilem :) w proftpd domyslnie jest passive mode ?? no bo wsumie to mam u siebie tylko 21 i RELATED wpuszczone i mi dziala - nawet nie wiedzialem ze na portach 49152 49999 (swiecie bylem przekonany ze na 21 wlasnie) bo nie zagladlem do configa.... lol :)

Wczoraj zapodalem tu firewalla zamiast tego co kolega wyskrobal (ale gdzies zniknal...) Powiedz mi gdzie jest blad w nim - bo stepien86 napisal ze z tym skryptem + proftpd tez mu nie dziala.  Wiec albo mnie to chorubsko juz calkiem ztepilo :) albo szukamy przyczyny tam gdzie nie trzeba bo wpuszcza on RALATED i port 21 - wiec czemu proftp nie smiga.

firewall
#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward

ipt="/sbin/iptables"
wanip="85.89.168.117"
ip1="192.168.1.1"


#Natujemy kompy userow - maskarada
$ipt -F -t nat
$ipt -t nat -I POSTROUTING -s 192.168.1.2 -o eth1 -j MASQUERADE
$ipt -t nat -I POSTROUTING -s 192.168.1.3 -o eth1 -j MASQUERADE
$ipt -t nat -I POSTROUTING -s 192.168.1.4 -o eth1 -j MASQUERADE


$ipt -F

#polityka dzialania
$ipt -P INPUT DROP
$ipt -P FORWARD DROP
$ipt -P OUTPUT DROP

# polaczenia nawiazane
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -m state --state ! INVALID -j ACCEPT


# SSH - 192.168.1.0/24 oznacza cala siec, jesli chcesz tylko z jednego kompa to wpisz jego ip.
$ipt -A INPUT -s 0/0 -d $wanip -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -s 192.168.1.0/24 -d $ip1 -p tcp --dport 22 -j ACCEPT

# Apache - napewno chcesz zeby Twoj serwer www byl widoczny z kadkolwiek ?? moze z lanu wystarczy.....
$ipt -A INPUT -s 0/0 -d $wanip -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -s 0/0 -d $wanip -p udp --dport 80 -j ACCEPT

# FTP
$ipt -A INPUT -p tcp -s 0/0 -d $wanip --dport 21 -m state --state NEW -j ACCEPT
$ipt -A INPUT -p udp -s 0/0 -d $wanip --dport 21 -m state --state NEW -j ACCEPT
$ipt -A INPUT -p tcp -s 0/0 -d $wanip --dport 20 -m state --state NEW -j ACCEPT
$ipt -A INPUT -p udp -s 0/0 -d $wanip --dport 20 -m state --state NEW -j ACCEPT


#Moj komputer

$ipt -A FORWARD -m mac --mac-source 00:A0:CC:7B:81:92 -j ACCEPT
#iptables -A PREROUTING -t nat -s 192.168.1.2 -p tcp --dport 1:65535 -j DNAT --to-destination $ip1:999


#Karolina
#Blokada P2P
#iptables -A FORWARD -d 192.168.1.3 -m ipp2p --ipp2p -j DROP
#iptables -A FORWARD -s 192.168.1.3 -m ipp2p --ipp2p -j DROP

#Blokada Netu
#iptables -A PREROUTING -t nat -s 192.168.1.9 -p tcp --dport 1:65535 -j DNAT --to-destination $ip1:200

$ipt -A FORWARD -m mac --mac-source 00:05:1C:1C:4A:5C -j ACCEPT


#Darek
#Blokada P2P
#iptables -A FORWARD -d 192.168.1.4 -m ipp2p --ipp2p -j DROP
#iptables -A FORWARD -s 192.168.1.4 -m ipp2p --ipp2p -j DROP

#Blokada Netu
#iptables -A PREROUTING -t nat -s 192.168.1.4 -p tcp --dport 1:65535 -j DNAT --to-destination $ip1:200

$ipt -A FORWARD -m mac --mac-source 00:14:85:88:23:A2 -j ACCEPT


http://sopot.i365.pl/neo/i/us4.jpg

Offline

 

#17  2006-10-12 19:55:51

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: problem z FTP przez firewall

a kto odblokuje ruch na interfejsie lo ?
kto sprawdzi , czy stanie na etapie logowania to nie wina braku dnsa i niedostępnej bramy ?

Ja nie , bo nie mam czasu :)

Offline

 

#18  2006-10-12 20:52:20

  Szczur[R] - Użytkownik

Szczur[R]
Użytkownik
Skąd: Czestochowa
Zarejestrowany: 2006-03-29

Re: problem z FTP przez firewall

hahahahaha no fakt.... ladny lol....

$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT

powinno byc powiedzmy pod

#polityka dzialania
$ipt -P INPUT DROP
$ipt -P FORWARD DROP
$ipt -P OUTPUT DROP

dodatkowo moszesz wpuscic port 53 - dns - jak masz np. bind'a

dodaj wiec te linijki i sprawdz jeszcze raz.


pozdr


http://sopot.i365.pl/neo/i/us4.jpg

Offline

 

#19  2006-10-12 21:12:43

  oress - Użytkownik

oress
Użytkownik
Skąd: Opole
Zarejestrowany: 2004-09-06

Re: problem z FTP przez firewall

ja mam tak jak poniżej na serwerze hostingowym i nigdy nie było problemów, nikt ani razu nie narzekał że coś jest nie tak z FTP czy z pocztą , wsio bangla az miło nawet jesli klientem FTP jest IE :)), - moze ze sie to komus przyda, no a do omawianego przypadku dodac tylko tą maskarade

proftpd.conf

Kod:

ServerName            "serwerek.com
ServerType            standalone
DeferWelcome            off

ShowSymlinks            on
MultilineRFC2228        on
DefaultServer            on
ShowSymlinks            on
AllowOverwrite            on

LogFormat             traff "%b %u"

TimeoutNoTransfer        600
TimeoutStalled            600
TimeoutIdle            1200

DisplayLogin                    welcome.msg
DisplayFirstChdir               .message

#LsDefaultOptions                "-l"

DenyFilter            *.*/

DefaultRoot            ~

# Uncomment this if you are using NIS or LDAP to retrieve passwords:
#PersistentPasswd        off

# Port 21 is the standard FTP port.

Port                21


MaxInstances            30

User                nobody
Group                nogroup

# Normally, we want files to be overwriteable.

<Directory /*>
  # Umask 022 is a good standard umask to prevent new files and dirs
  # (second parm) from being group and world writable.
  Umask                022  022

  AllowOverwrite        on
  HideNoAccess on

</Directory>

<Limit ALL>
  IgnoreHidden on
</Limit>

<Global>
    TransferLog                     /var/log/xferlog
    ExtendedLog                     /var/log/ftp_traff.log read,write traff
    PathDenyFilter ".quota$"
</Global>

<IfModule mod_delay.c>
    DelayEngine off
</IfModule>



SQLAuthTypes         Crypt
SQLAuthenticate        on
SQLConnectInfo        vhcs2@localhost vftp 1SZTV9hzBCp0
SQLUserInfo            ftp_users userid passwd uid gid homedir shell
SQLGroupInfo        ftp_group groupname gid members
SQLMinID            2000        


QuotaEngine on
QuotaShowQuotas on
QuotaDisplayUnits Mb

SQLNamedQuery get-quota-limit SELECT "name, quota_type, per_session, limit_type, bytes_in_avail, bytes_out_avail, bytes_xfer_avail, files_in_avail, files_out_avail, files_xfer_avail FROM quotalimits WHERE name = '%{0}' AND quota_type = '%{1}'"
SQLNamedQuery get-quota-tally SELECT "name, quota_type, bytes_in_used, bytes_out_used, bytes_xfer_used, files_in_used, files_out_used, files_xfer_used FROM quotatallies WHERE name = '%{0}' AND quota_type = '%{1}'"
SQLNamedQuery update-quota-tally UPDATE "bytes_in_used = bytes_in_used + %{0}, bytes_out_used = bytes_out_used + %{1}, bytes_xfer_used = bytes_xfer_used + %{2}, files_in_used = files_in_used + %{3}, files_out_used = files_out_used + %{4}, files_xfer_used = files_xfer_used + %{5} WHERE name = '%{6}' AND quota_type = '%{7}'" quotatallies
SQLNamedQuery insert-quota-tally INSERT "%{0}, %{1}, %{2}, %{3}, %{4}, %{5}, %{6}, %{7}" quotatallies

QuotaLock /var/run/proftpd/tally.lock
QuotaLimitTable sql:/get-quota-limit
QuotaTallyTable sql:/get-quota-tally/update-quota-tally/insert-quota-tally

firewall

Kod:

#!/bin/bash
IPT="iptables"
if [ "$1" = "stop" ]
then
echo "Czyszczenie firewalla rozpoczete"
$IPT -F
$IPT -t mangle -F
$IPT -P FORWARD ACCEPT
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -X syn-flood
/bin/echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all
/bin/echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/accept_source_route
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/accept_redirects
/bin/echo "0" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/rp_filter
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/log_martians
echo "Czyszczenie firewalla zakonczone"
exit
fi

echo "Konfiguracja firewalla rozpoczeta"

# ustawiamy zmienne potrzebne firewallowi
MOJEIP="IP.IP.IP.IP"
ALIAS0="IP.IP.IP.IP"
ALIAS1="IP.IP.IP.IP"
ALIAS2="IP.IP.IP.IP"
ALIAS3="IP.IP.IP.IP"
ALIAS4="IP.IP.IP.IP"
ALIAS5="IP.IP.IP.IP"
ALIAS6="IP.IP.IP.IP"
ALIAS7="IP.IP.IP.IP"
DNS1="IP.IP.IP.IP"
DNS2="IP.IP.IP.IP"

# czyscimy wszystko
$IPT -F -t nat
$IPT -X -t nat
$IPT -F -t filter
$IPT -X -t filter


######################
# ustawienia wstepne #
######################


echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians

################
# co blokujemy #
################

$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP

# zakazane IP

$IPT -A INPUT -s 88.226.67.89 -j DROP      # Turkey
$IPT -A INPUT -s 213.189.64.0/24 -j DROP    # Kuwait
$IPT -A INPUT -s 213.189.68.0/24 -j DROP    # Kuwait
$IPT -A INPUT -s 85.102.40.0/21 -j DROP  # Turkey        
$IPT -A INPUT -s 85.102.48.0/20 -j DROP  # Turkey        
$IPT -A INPUT -s 85.102.64.0/18 -j DROP  # Turkey        
$IPT -A INPUT -s 85.102.128.0/17 -j DROP  # Turkey        
$IPT -A INPUT -s 85.101.0.0/17 -j DROP  # Turkey        
$IPT -A INPUT -s 85.97.16.0/20 -j DROP  # Turkey        
$IPT -A INPUT -s 85.97.32.0/21 -j DROP  # Turkey        
$IPT -A INPUT -s 211.206.123.0/23 -j DROP   # Korean
$IPT -A INPUT -s 61.152.0.0/255.255.0.0 -j DROP     # China
$IPT -A INPUT -s 61.191.0.0/255.255.0.0 -j DROP     # China
$IPT -A INPUT -s 218.22.0.0/15 -j DROP       # China
$IPT -A INPUT -s 220.192.0.0/12 -j DROP       # China
$IPT -A INPUT -s 222.176.0.0/13 -j DROP       # China
$IPT -A INPUT -s 202.3.208.0/20 -j DROP      # Indonesia
$IPT -A INPUT -s 217.27.112.0/22 -j DROP     # Italy
$IPT -A INPUT -s 217.27.116.0/23 -j DROP     # Italy
$IPT -A INPUT -s 217.27.118.0/24 -j DROP     # Italy
$IPT -A INPUT -s 200.49.160/20 -j DROP    # Guatemala
$IPT -A INPUT -s 212.138.113.0/24 -j DROP    # Saudi Arabia
$IPT -A INPUT -s 222.124.136.0/25 -j DROP # Indonesia
$IPT -A INPUT -s 71.208.0.0/13 -j DROP # USA California 
$IPT -A INPUT -s 71.216.0.0/16 -j DROP # USA Californa
$IPT -A INPUT -s 61.17.14.0/255.255.255.0 -j DROP # India
$IPT -A INPUT -s 61.17.15.0/255.255.255.0 -j DROP # India
$IPT -A INPUT -s 59.104.0.0/15 -j DROP # Taiwan
$IPT -A INPUT -s 62.252.64.0/19 -j DROP # GB
$IPT -A INPUT -s 58.208.0.0/12 -j DROP # China
$IPT -A INPUT -s 220.192.0.0/12 -j DROP # China
$IPT -A INPUT -s 219.128.0.0/13 -j DROP # China
$IPT -A INPUT -s 219.136.0.0/15 -j DROP # China
$IPT -A INPUT -s 218.93.112.0/30 -j DROP # China
$IPT -A INPUT -s 202.105.0.0/16 -j DROP # China
$IPT -A INPUT -s 61.128.128.0/19 -j DROP # China
$IPT -A INPUT -s 59.32.0.0/13 -j DROP # China
$IPT -A INPUT -s 59.40.0.0/15 -j DROP # China
$IPT -A INPUT -s 59.42.0.0/16 -j DROP # China
$IPT -A INPUT -s 131.107.0.0/16 -j DROP # Microsoft Redmond
#$IPT -A INPUT -s 57.0.0.0/8 -j DROP # France

######################
# dodatkowe atrakcje #
######################


$IPT -A INPUT -p tcp --tcp-flags ALL NONE -m limit --limit 10/s --limit-burst 4 -j LOG --log-level debug --log-prefix "SKAN_NULL: "
$IPT -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

$IPT -N skany
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j skany
$IPT -A skany -p tcp --tcp-flags ALL RST -m limit --limit 10/s --limit-burst 4 -j LOG --log-level debug --log-prefix "SKAN_INVERSE: "
$IPT -A skany -p tcp --tcp-flags ALL RST -j DROP
$IPT -A skany -p tcp --tcp-flags ALL ACK -m limit --limit 10/s --limit-burst 4 -j LOG --log-level debug --log-prefix "SKAN_TCP_PING: "
$IPT -A skany -p tcp --tcp-flags ALL ACK -j DROP
$IPT -A skany -p tcp --tcp-flags ALL FIN -m limit --limit 10/s --limit-burst 4 -j LOG --log-level debug --log-prefix "SKAN_FIN: "
$IPT -A skany -p tcp --tcp-flags ALL FIN -j DROP
$IPT -A skany -p tcp --tcp-flags ALL FIN,PSH,URG -m limit --limit 10/s --limit-burst 4 -j LOG --log-level debug --log-prefix "SKAN_XMAS-NMAP: "
$IPT -A skany -p tcp --tcp-flags ALL FIN,PSH,URG -j DROP
$IPT -A skany -p tcp -m limit --limit 10/s --limit-burst 4 -j LOG --log-level debug --log-prefix "SKAN_INNE: "
$IPT -A skany -j DROP

#$IPT -N syn-flood
#$IPT -A INPUT -p tcp --syn -j syn-flood
#$IPT -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
#$IPT -A syn-flood -m limit --limit 1/s --limit-burst 4 -j LOG --log-level debug --log-prefix "SYN-FLOOD: "
#$IPT -A syn-flood -j DROP
#$IPT -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
#$IPT -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#-------zamknicie luki w iptables---------------------
$IPT -A OUTPUT -m state -p icmp --state INVALID -j DROP
echo "zamknięcia luki w iptables             [OK]"

# pakiety z nieporzadanych adresow
$IPT -A INPUT -s $MOJEIP -j DROP # atak Land
$IPT -A INPUT -s $ALIAS0 -j DROP # atak Land
$IPT -A INPUT -s $ALIAS1 -j DROP # atak Land
$IPT -A INPUT -s $ALIAS2 -j DROP # atak Land
$IPT -A INPUT -s $ALIAS3 -j DROP # atak Land
$IPT -A INPUT -s $ALIAS4 -j DROP # atak Land
$IPT -A INPUT -s $ALIAS5 -j DROP # atak Land
$IPT -A INPUT -s $ALIAS6 -j DROP # atak Land
$IPT -A INPUT -s $ALIAS7 -j DROP # atak Land
$IPT -A INPUT -s 10.0.0.0/8 -j DROP # klasa A
$IPT -A INPUT -s 172.16.0.0/12 -j DROP # klasa B
$IPT -A INPUT -s 192.168.0.0/16 -j DROP # klasa C
$IPT -A INPUT -s 224.0.0.0/4 -j DROP # multicast
$IPT -A INPUT -d 224.0.0.0/4 -j DROP # multicast
$IPT -A INPUT -s 240.0.0.0/5 -j DROP # reserved


#nowe poł&plusmn;czenia
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A INPUT -p tcp -m state --state ESTABLISHED,RELATED   -j ACCEPT
$IPT -A INPUT -p udp -m state --state ESTABLISHED -j ACCEPT
#$IPT -A INPUT -p icmp -m state --state ESTABLISHED,RELATED  -j ACCEPT
echo "nowe poł&plusmn;czenia                        [OK]" 


#ICMP
$IPT -A INPUT -p icmp -s 0/0 -m limit --limit 3/s --limit-burst 4 -j ACCEPT

#-------------zezwolenia na nowe poł&plusmn;czenia----------------------
# HTTP
$IPT -m state -A INPUT -p tcp --state NEW --dport 80 -j ACCEPT
# FTP
$IPT -m state -A INPUT -p tcp --state NEW --dport 21 -j ACCEPT
# SSH
$IPT -m state -A INPUT -p tcp --state NEW --dport 1960 -j ACCEPT
#  DNS
$IPT -m state -A INPUT -p tcp --state NEW --dport 53 -j ACCEPT
$IPT -m state -A INPUT -p udp --state NEW --dport 53 -j ACCEPT
# HTTPS
$IPT -m state -A INPUT -p tcp --state NEW --dport 443 -j ACCEPT
# SMTP
$IPT -m state -A INPUT -p tcp --state NEW --dport 25 -j ACCEPT
# POP3
$IPT -m state -A INPUT -p tcp --state NEW --dport 110 -j ACCEPT
# ufo ssh tunel
$IPT -m state -A INPUT -p tcp --state NEW --dport 22 -j ACCEPT
# Asterisk
#$IPT -m state -A INPUT -p tcp --state NEW --dport 5060 -j ACCEPT
#$IPT -m state -A INPUT -p udp --state NEW --dport 5060 -j ACCEPT
# shoutcast
#$IPT -m state -A INPUT -p tcp --state NEW --dport 8000 -j ACCEPT
#$IPT -m state -A INPUT -p tcp --state NEW --dport 8001 -j ACCEPT
echo "zezwolenia nowych poł&plusmn;czeń             [OK]"

#----------------polaczenia nawiazane--------------------------------
$IPT -A FORWARD -p tcp -j ACCEPT -m state --state  ESTABLISHED,RELATED
$IPT -A OUTPUT -p tcp -j ACCEPT -m state --state ESTABLISHED,RELATED
$IPT -A FORWARD -p udp -j ACCEPT -m state --state  ESTABLISHED,RELATED
$IPT -A OUTPUT -p udp -j ACCEPT -m state --state ESTABLISHED,RELATED
$IPT -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED,RELATED
$IPT -A OUTPUT -p icmp -j ACCEPT -m state --state ESTABLISHED,RELATED
echo "poł&plusmn;czenia nawi&plusmn;zane                   [OK]"

# bity TOS dla poł&plusmn;czen lokalnych
$IPT -t mangle -A OUTPUT -p tcp --dport 20 -j TOS --set-tos 8
$IPT -t mangle -A OUTPUT -p tcp --dport 21 -j TOS --set-tos 16
$IPT -t mangle -A OUTPUT -p tcp --dport 1960 -j TOS --set-tos 16
$IPT -t mangle -A OUTPUT -p tcp --dport 23 -j TOS --set-tos 16
$IPT -t mangle -A OUTPUT -p tcp --dport 25 -j TOS --set-tos 16
$IPT -t mangle -A OUTPUT -p tcp --dport 53 -j TOS --set-tos 16
$IPT -t mangle -A OUTPUT -p udp --dport 53 -j TOS --set-tos 16
$IPT -t mangle -A OUTPUT -p tcp --dport 80 -j TOS --set-tos 8
$IPT -t mangle -A OUTPUT -p tcp --dport 443 -j TOS --set-tos 8
echo "ustawienie bitów TOS                   [OK]"
echo "Konfiguracja firewalla zakonczona"

Linux register user: #369347
http://img.uptime-project.net/img/12/95717.png http://img.uptime-project.net/img/2/53561.png

Offline

 

#20  2006-10-13 15:18:21

  stepien86 - Członek DUG

stepien86
Członek DUG
Skąd: Łódź
Zarejestrowany: 2006-03-26

Re: problem z FTP przez firewall

dziekuje za zainteresowanie moim problemem...Wszystko dziala :D


manual ponad wszysytko....konsola ponad manual

Debian GNU Linux

Offline

 

#21  2007-06-12 00:27:00

  koms - Użytkownik

koms
Użytkownik
Zarejestrowany: 2006-05-23

Re: problem z FTP przez firewall

dziekuje za zainteresowanie moim problemem...Wszystko dziala :D

Fajnie i po problemie - czy mozna sie dowiedziec co bylo nie tak ze niedzialalo !!!???, a teraz dziala - dajmy innym sznse sie dowiedziec.

Offline

 

#22  2007-06-14 13:21:14

  stepien86 - Członek DUG

stepien86
Członek DUG
Skąd: Łódź
Zarejestrowany: 2006-03-26

Re: problem z FTP przez firewall

No napisane było.... nalezalo odblokowac ruch na interfejsie lo :

$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT


manual ponad wszysytko....konsola ponad manual

Debian GNU Linux

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)