Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2006-10-11 00:13:56
stepien86 - 
Członek DUG
- stepien86
- Członek DUG
- Skąd: Łódź
- Zarejestrowany: 2006-03-26
problem z FTP przez firewall
Witam jak w temacie, Polityki INPUT OUTPUT sa ustawione na DROP
# zezwolenie nna laczenie sie z naszym zewnetrznym ip po FTP
$ipt -A INPUT -d 0/0 -d IP -p tcp --dport 21 -j ACCEP
$ipt -A INPUT -d 0/0 -d IP -p tcp --dport 21 -j ACCEPT
$ipt -A INPUT -s 0/0 -d IP -p tcp --dport 21 -j ACCEPT
$ipt -A INPUT -s 0/0 -d IP -p tcp --dport 21 -j ACCEPT
# polaczenia nawiazane
$ipt -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
$ipt -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
$ipt -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
i gdy probuje polaczyc sie z FTP to sie nie da :( Pyta o uzytkownika i haslo i KONIEC :/ Z tego co mi wiadomo to ftp 21 port na negocjacje polaczenia i losowy wysoki na transfer
Jak z tym sobiie poradzic
korzystalem z art
http://www.dug.net.pl/texty/masq.php
dzieki za odp !! :)
manual ponad wszysytko....konsola ponad manual
Debian GNU Linux
Offline
#2 2006-10-11 08:50:41
GuruPL - Członek DUG
#3 2006-10-11 09:14:41
stepien86 - Członek DUG
- stepien86
- Członek DUG
- Skąd: Łódź
- Zarejestrowany: 2006-03-26
Re: problem z FTP przez firewall
nie dziala :/
manual ponad wszysytko....konsola ponad manual
Debian GNU Linux
Offline
#4 2006-10-11 15:59:49
Szczur[R] - Użytkownik
- Szczur[R]
- Użytkownik
- Skąd: Czestochowa
- Zarejestrowany: 2006-03-29
Re: problem z FTP przez firewall
$IPTABLES -A INPUT -p tcp -s xxx -d yyy --dport 21 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -s xxx -d yyy --dport 21 -m state --state NEW -j ACCEPT
xxx - ip zrodlowe, yyy ip serwera gdzie nasluchuje ftp.
Powyzsze wpisy dzialaja bez problemu kiedy na serwerze mam proftpd a za klienta urzywam http://www.smartftp.com/
Pamietaj ze jesli chcesz polaczyc sie z WEWNATRZ sieci z ip zewnetrzynym serwera, to potrzebujesz jeszcze wpisow na FORWARD gdyz te pakiety nigdy nie dotra bez nich do zewnetrznego ip....
Wiec muszisz wtedy dopisac:
$IPTABLES -A FORWARD -p tcp -s (twoje ip wew) -d (serwera ip zew) --dport 21 -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p udp -s (twoje ip wew) -d (serwera ip zew) --dport 21 -m state --state NEW -j ACCEPT
ftp wymaga portow 21 i 20
nie prawda - zalezy od klienta i serwera - u mnie dziala tylko na 21, ale np. przez nortoncommander juz sie nie podlaczysz - musisz otworzyc dodatkowo port 20 (tylko nie pamietam: tcp czy udp)
pozdr
Offline
#5 2006-10-11 17:03:15
stepien86 - Członek DUG
- stepien86
- Członek DUG
- Skąd: Łódź
- Zarejestrowany: 2006-03-26
Re: problem z FTP przez firewall
niestety nie dzialaja te wpisy z zewnatrz sieci.FTP dziala gdy wklepe taka regulke iptables -A INPUT -i eth1 -j ACCEPT :/ to po co tu polityka wczesniej na DROP ?? :/
z xxx wstawialem 0/0 , ip wew serwera za yyy wstawialem moje zwe ip :/ ehhh HELP ME !!
manual ponad wszysytko....konsola ponad manual
Debian GNU Linux
Offline
#6 2006-10-11 17:10:14
Szczur[R] - Użytkownik
- Szczur[R]
- Użytkownik
- Skąd: Czestochowa
- Zarejestrowany: 2006-03-29
Re: problem z FTP przez firewall
napisz dokladnie jaka masz konfiguracje sieci
jakie ethx na jakim adresie, wypisz maske, zapodaj calego firewalla, jaki daemon ftp urzywasz itd... jak dasz kompletn informacji to sie cos wymysli :-)
pozdr
Offline
#7 2006-10-11 17:27:15
stepien86 - Członek DUG
- stepien86
- Członek DUG
- Skąd: Łódź
- Zarejestrowany: 2006-03-26
Re: problem z FTP przez firewall
eth1 - zewnetrzby adres ip
eth0 - 192.168.1.1
firewall
#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
ipt="/sbin/iptables"
$ipt -F
$ipt -X
$ipt -t nat -F
$ipt -t nat -X
$ipt -t nat -Z
#polityka dzialania
$ipt -P INPUT DROP
$ipt -P FORWARD DROP
$ipt -P OUTPUT DROP
#$ipt -A INPUT -i eth1 -j ACCEPT
# zezwolenie nna laczenie sie z naszym zewnetrznym ip po ssh
$ipt -A INPUT -s 0/0 -d 85.89.168.117 -p tcp --dport 22 -j ACCEPT
$ipt -A OUTPUT -s 0/0 -d 85.89.168.117 -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -s 0/0 -d 85.89.168.117 -p udp --dport 22 -j ACCEPT
$ipt -A OUTPUT -s 0/0 -d 85.89.168.117 -p udp --dport 22 -j ACCEPT
# Apache
$ipt -A INPUT -s 0/0 -d 85.89.168.117 -p tcp --dport 80 -j ACCEPT
$ipt -A OUTPUT -s 0/0 -d 85.89.168.117 -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -s 0/0 -d 85.89.168.117 -p udp --dport 80 -j ACCEPT
$ipt -A OUTPUT -s 0/0 -d 85.89.168.117 -p udp --dport 80 -j ACCEPT
# zezwolenie nna laczenie sie z ssh po LAN
$ipt -A INPUT -s 0/0 -d 192.168.1.1 -p tcp --dport 22 -j ACCEPT
$ipt -A OUTPUT -s 0/0 -d 192.168.1.1 -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -s 0/0 -d 192.168.1.1 -p udp --dport 22 -j ACCEPT
$ipt -A OUTPUT -s 0/0 -d 192.168.1.1 -p udp --dport 22 -j ACCEPT
# FTP
$ipt -A FORWARD -p tcp -s 192.168.1.1 -d 85.89.168.117 --dport 21 -m state --state NEW -j ACCEPT
$ipt -A FORWARD -p udp -s 192.168.1.1 -d 85.89.168.117 --dport 21 -m state --state NEW -j ACCEPT
$ipt -A FORWARD -p tcp -s 192.168.1.1 -d 85.89.168.117 --dport 20 -m state --state NEW -j ACCEPT
$ipt -A FORWARD -p udp -s 192.168.1.1 -d 85.89.168.117 --dport 20 -m state --state NEW -j ACCEPT
$ipt -A INPUT -p tcp -s 0/0 -d 85.89.168.117 --dport 21 -m state --state NEW -j ACCEPT
$ipt -A INPUT -p udp -s 0/0 -d 85.89.168.117 --dport 21 -m state --state NEW -j ACCEPT
$ipt -A INPUT -p tcp -s 0/0 -d 85.89.168.117 --dport 20 -m state --state NEW -j ACCEPT
$ipt -A INPUT -p udp -s 0/0 -d 85.89.168.117 --dport 20 -m state --state NEW -j ACCEPT
# polaczenia nawiazane
$ipt -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
$ipt -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
$ipt -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
#Moj komputer(old)==================j
$ipt -t nat -A POSTROUTING -o eth1 -s 192.168.1.2 -j SNAT --to 85.89.168.117
$ipt -A FORWARD -m mac --mac-source 00:A0:CC:7B:81:92 -j ACCEPT
#iptables -A PREROUTING -t nat -s 192.168.1.2 -p tcp --dport 1:65535 -j DNAT --to-destination 192.168.1.1:999
#============================== P O R T Y
#Karolina===============================Karolina=============================================
$ipt -t nat -A POSTROUTING -o eth1 -s 192.168.1.3 -j SNAT --to 85.89.168.117
$ipt -A FORWARD -m mac --mac-source 00:05:1C:1C:4A:5C -j ACCEPT
#Blokada P2P
#iptables -A FORWARD -d 192.168.1.3 -m ipp2p --ipp2p -j DROP
#iptables -A FORWARD -s 192.168.1.3 -m ipp2p --ipp2p -j DROP
#Blokada Netu
#iptables -A PREROUTING -t nat -s 192.168.1.9 -p tcp --dport 1:65535 -j DNAT --to-destination 192.168.1.1:200
#Darek===========================Darek================================================================
$ipt -t nat -A POSTROUTING -o eth1 -s 192.168.1.4 -j SNAT --to 85.89.168.117
$ipt -A FORWARD -m mac --mac-source 00:14:85:88:23:A2 -j ACCEPT
#Blokada P2P
#iptables -A FORWARD -d 192.168.1.4 -m ipp2p --ipp2p -j DROP
#iptables -A FORWARD -s 192.168.1.4 -m ipp2p --ipp2p -j DROP
#Blokada Netu
#iptables -A PREROUTING -t nat -s 192.168.1.4 -p tcp --dport 1:65535 -j DNAT --to-destination 192.168.1.1:200
#----------------------------------------------------------------------------------------------------------------------------
deamon ftp vsftpd
manual ponad wszysytko....konsola ponad manual
Debian GNU Linux
Offline
#8 2006-10-11 17:58:21
Szczur[R] - Użytkownik
- Szczur[R]
- Użytkownik
- Skąd: Czestochowa
- Zarejestrowany: 2006-03-29
Re: problem z FTP przez firewall
deamon ftp vsftpd
wiec jeszcze config daemona poprosze
Ten Firewall to wogole chaos straszny jest.... czy eth0 (lokalny) jest "bezpieczny" w sesie - czy nikt Ci sie nie podlaczy do niego na lewo ??
jesli tak to pozwole sobie zaproponowac do tego firewall pare zmian....
pozdr
Offline
#9 2006-10-11 18:08:39
stepien86 - Członek DUG
- stepien86
- Członek DUG
- Skąd: Łódź
- Zarejestrowany: 2006-03-26
Re: problem z FTP przez firewall
oto konfig vsftpd
Kod:
# Standalone? listen=YES #Anonimowi anonymous_enable=NO no_anon_password=NO anon_world_readable_only=NO anon_upload_enable=NO hide_ids=YES anon_max_rate=7000 write_enable=YES local_umask=0177 # Czy lokalni userzy mog. si� logowa local_enable=YES # Mo�na zapisywa write_enable=YES # Standardowy umask plik local_umask=022 # Logowanie? xferlog_enable=YES # Katalog log xferlog_file=/var/log/xferlog # Format log xferlog_std_format=YES # Mo�liwo.� uploadu ascii? ascii_upload_enable=YES # Mo�liwo.� downloadu ascii? ascii_download_enable=YES # Po�.czenia z portu 20? (port ftp-data) connect_from_port_20=YES # Zamyka� user�w w ich home? chroot_list_enable=YES chroot_local_user=NO chroot_list_file=/etc/vsftpd.chroot_list # Bez zmian userlist_deny=NO pam_service_name=vsftpd xferlog_std_format=YES xferlog_file=/var/log/xferlog.log
Czy jest bezpieczny tego nie wiem :|
Bardzo prosze o wszelkie uwagi i jakies zmiany w celu lepszego zabezpieczenie serwera. Dopiero sie ucze wiec za wszelkie informacje bede wdzieczny
manual ponad wszysytko....konsola ponad manual
Debian GNU Linux
Offline
#10 2006-10-11 20:57:34
stepien86 - Członek DUG
- stepien86
- Członek DUG
- Skąd: Łódź
- Zarejestrowany: 2006-03-26
Re: problem z FTP przez firewall
$ipt -F powinno byc nad maskarada, takto net dziala, ale FTP nadal nie :/ FUCK FUCK FUCK
btw w art BieXi
najpierw jest czyszczenie reguł
pozniej polityka
zezwolenie nna laczenie sie z naszym zewnetrznym ip po ssh
polaczenia nawiazane
udostepniaie internetu w sieci lokalnej
Natomiast u mnie aktualnie:
czyszczenie regul
natujemy kompy userow - maskarada
polityka dzialania
polaczenia nawiazane
zezwolenie nna laczenie sie z naszym zewnetrznym ip po ssh
Jaka powinna byc prawidłowa kolejnosc :) ??
manual ponad wszysytko....konsola ponad manual
Debian GNU Linux
Offline
#11 2006-10-11 21:30:45
Szczur[R] - Użytkownik
- Szczur[R]
- Użytkownik
- Skąd: Czestochowa
- Zarejestrowany: 2006-03-29
Re: problem z FTP przez firewall
eee zaraz chwila.... bo ja dzisiaj troszke niekontaktujacy jestem....
wstukaj ten skrypt co Ci zapodalem i sprawdz czy dziala - jaki jest efekt
ipt -F powinno byc nad maskarada, takto net dziala, ale FTP nadal nie :/ FUCK FUCK FUCK
chyba ze juz wstukales i efekt masz taki jak powyzej... :-)
FTP: Twoj serwer prawdopodobnie nasluchuje tylko na ip lokalnym dlatego nie mozesz sie podlaczyc na publiczne.
zainstaluj proftpd zamiast tego co masz teraz i z moim skryptem sprawdz czy dziala - powinno.
jesli nada nie - zainstaluj nmap i zapodaj wynik polecen
nmap 192.168.1.1
nmap twoje_ip_publiczne
pozdr
Offline
#12 2006-10-11 21:54:20
stepien86 - Członek DUG
- stepien86
- Członek DUG
- Skąd: Łódź
- Zarejestrowany: 2006-03-26
Re: problem z FTP przez firewall
Szczur[R] moglbys mi dac jakis pliczek konfiguracyjny proftpd??
manual ponad wszysytko....konsola ponad manual
Debian GNU Linux
Offline
#13 2006-10-11 21:59:27
Szczur[R] - Użytkownik
- Szczur[R]
- Użytkownik
- Skąd: Czestochowa
- Zarejestrowany: 2006-03-29
Re: problem z FTP przez firewall
moglbym.... standardowy :)
proftpd nie wymaga zadnych zmian w configu do uruchomienia: pisalem zebys z niego skorzystal bo on domyslnie nasluchuje na wszystkich interfajsach i wykluczysz w ten sposob problem z konfigiem daemona ftp.
Wiec poprostu zainstaluj i sprawdz czy sie polaczysz. Urzyj tez ewentualnie tego klienta smartftp do ktorego linka juz gdzies dalem w tym topic'u
jesli nie idzie dalej to zeskanuj nmapem - bedzie widac czy sa porty otwarte i czy cos na nich nasluchuje. Najlepiej jakbys skanowal z innego kompa - nie lokalnie z serwera - czyli ip publiczne z jakiegos kompa w necie a lokalne z sieci wewnetrznej.
pozdr
Offline
#14 2006-10-12 08:23:19
zlyZwierz - Moderator
Re: problem z FTP przez firewall
20 i 21 to już historia w sumie :)
teraz najczęściej 21 i passive ports
z proftpd.conf
Kod:
# Port 21 is the standard FTP port. Port 21 PassivePorts 49152 49999
Jak masz firewall stateless to te porty (49152 - 49999) odblokuj na firewallu , jak masz stateful , to wpuszczasz --dport 21 -m state --state NEW , a porty dla passive mode wpuszczasz już regułką dla -m state --state RELATED
Kod:
router ~ # cat /etc/proftpd/proftpd.conf |grep -v "#"
ServerName "INGRAM FTP server"
ServerType standalone
DeferWelcome off
MultilineRFC2228 on
DefaultServer on
ShowSymlinks on
TimeoutNoTransfer 600
TimeoutStalled 600
TimeoutIdle 1200
DisplayLogin welcome.msg
DisplayFirstChdir .message
ListOptions "-l"
DenyFilter *.*/
TLSEngine on
Port 21
PassivePorts 49152 49999
MaxLoginAttempts 3
MaxClients 20 ">>> Za duzy tlok na serwerze sproboj pozniej <<<"
MaxClientsPerHost 5 ">>> Za duzo polaczen z tego samego hosta(IP)!!! <<<"
ExtendedLog /var/log/proftpd/proftp.log
DefaultRoot ~
RequireValidShell off
MaxInstances 30
User nobody
Group nogroup
Umask 022 022
AllowOverwrite on
<IfModule mod_tls.c>
TLSEngine on
TLSLog /var/log/proftpd/tls.log
TLSProtocol TLSv1
TLSRequired off
TLSRSACertificateFile /etc/proftpd/server.crt
TLSRSACertificateKeyFile /etc/proftpd/server.key
TLSCACertificateFile /etc/proftpd/ca.crt
TLSVerifyClient off
</IfModule>
<Limit SITE_CHMOD>
AllowUser frutico
AllowUser przemekk
AllowUser lukaszm
AllowUser kppsp
DenyAll
</Limit>
Offline
#15 2006-10-12 18:58:59
stepien86 - Członek DUG
- stepien86
- Członek DUG
- Skąd: Łódź
- Zarejestrowany: 2006-03-26
Re: problem z FTP przez firewall
nadal NIC !!!! :/:/:/:/ nie dziala, ma ktos moze jeszcze jakis pomysł ??????
manual ponad wszysytko....konsola ponad manual
Debian GNU Linux
Offline
#16 2006-10-12 19:14:43
Szczur[R] - Użytkownik
- Szczur[R]
- Użytkownik
- Skąd: Czestochowa
- Zarejestrowany: 2006-03-29
Re: problem z FTP przez firewall
teraz najczęściej 21 i passive ports
zlyZwierz: wogole o tym nie pomyslalem, nawet nie wzialem tego pod uwage
I..... sie juz sam pogubilem :) w proftpd domyslnie jest passive mode ?? no bo wsumie to mam u siebie tylko 21 i RELATED wpuszczone i mi dziala - nawet nie wiedzialem ze na portach 49152 49999 (swiecie bylem przekonany ze na 21 wlasnie) bo nie zagladlem do configa.... lol :)
Wczoraj zapodalem tu firewalla zamiast tego co kolega wyskrobal (ale gdzies zniknal...) Powiedz mi gdzie jest blad w nim - bo stepien86 napisal ze z tym skryptem + proftpd tez mu nie dziala. Wiec albo mnie to chorubsko juz calkiem ztepilo :) albo szukamy przyczyny tam gdzie nie trzeba bo wpuszcza on RALATED i port 21 - wiec czemu proftp nie smiga.
firewall
#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
ipt="/sbin/iptables"
wanip="85.89.168.117"
ip1="192.168.1.1"
#Natujemy kompy userow - maskarada
$ipt -F -t nat
$ipt -t nat -I POSTROUTING -s 192.168.1.2 -o eth1 -j MASQUERADE
$ipt -t nat -I POSTROUTING -s 192.168.1.3 -o eth1 -j MASQUERADE
$ipt -t nat -I POSTROUTING -s 192.168.1.4 -o eth1 -j MASQUERADE
$ipt -F
#polityka dzialania
$ipt -P INPUT DROP
$ipt -P FORWARD DROP
$ipt -P OUTPUT DROP
# polaczenia nawiazane
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -m state --state ! INVALID -j ACCEPT
# SSH - 192.168.1.0/24 oznacza cala siec, jesli chcesz tylko z jednego kompa to wpisz jego ip.
$ipt -A INPUT -s 0/0 -d $wanip -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -s 192.168.1.0/24 -d $ip1 -p tcp --dport 22 -j ACCEPT
# Apache - napewno chcesz zeby Twoj serwer www byl widoczny z kadkolwiek ?? moze z lanu wystarczy.....
$ipt -A INPUT -s 0/0 -d $wanip -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -s 0/0 -d $wanip -p udp --dport 80 -j ACCEPT
# FTP
$ipt -A INPUT -p tcp -s 0/0 -d $wanip --dport 21 -m state --state NEW -j ACCEPT
$ipt -A INPUT -p udp -s 0/0 -d $wanip --dport 21 -m state --state NEW -j ACCEPT
$ipt -A INPUT -p tcp -s 0/0 -d $wanip --dport 20 -m state --state NEW -j ACCEPT
$ipt -A INPUT -p udp -s 0/0 -d $wanip --dport 20 -m state --state NEW -j ACCEPT
#Moj komputer
$ipt -A FORWARD -m mac --mac-source 00:A0:CC:7B:81:92 -j ACCEPT
#iptables -A PREROUTING -t nat -s 192.168.1.2 -p tcp --dport 1:65535 -j DNAT --to-destination $ip1:999
#Karolina
#Blokada P2P
#iptables -A FORWARD -d 192.168.1.3 -m ipp2p --ipp2p -j DROP
#iptables -A FORWARD -s 192.168.1.3 -m ipp2p --ipp2p -j DROP
#Blokada Netu
#iptables -A PREROUTING -t nat -s 192.168.1.9 -p tcp --dport 1:65535 -j DNAT --to-destination $ip1:200
$ipt -A FORWARD -m mac --mac-source 00:05:1C:1C:4A:5C -j ACCEPT
#Darek
#Blokada P2P
#iptables -A FORWARD -d 192.168.1.4 -m ipp2p --ipp2p -j DROP
#iptables -A FORWARD -s 192.168.1.4 -m ipp2p --ipp2p -j DROP
#Blokada Netu
#iptables -A PREROUTING -t nat -s 192.168.1.4 -p tcp --dport 1:65535 -j DNAT --to-destination $ip1:200
$ipt -A FORWARD -m mac --mac-source 00:14:85:88:23:A2 -j ACCEPT
Offline
#17 2006-10-12 19:55:51
zlyZwierz - Moderator
#18 2006-10-12 20:52:20
Szczur[R] - Użytkownik
- Szczur[R]
- Użytkownik
- Skąd: Czestochowa
- Zarejestrowany: 2006-03-29
Re: problem z FTP przez firewall
hahahahaha no fakt.... ladny lol....
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
powinno byc powiedzmy pod
#polityka dzialania
$ipt -P INPUT DROP
$ipt -P FORWARD DROP
$ipt -P OUTPUT DROP
dodatkowo moszesz wpuscic port 53 - dns - jak masz np. bind'a
dodaj wiec te linijki i sprawdz jeszcze raz.
pozdr
Offline
#19 2006-10-12 21:12:43
oress - Użytkownik
- oress
- Użytkownik
- Skąd: Opole
- Zarejestrowany: 2004-09-06
Re: problem z FTP przez firewall
ja mam tak jak poniżej na serwerze hostingowym i nigdy nie było problemów, nikt ani razu nie narzekał że coś jest nie tak z FTP czy z pocztą , wsio bangla az miło nawet jesli klientem FTP jest IE :)), - moze ze sie to komus przyda, no a do omawianego przypadku dodac tylko tą maskarade
proftpd.conf
Kod:
ServerName "serwerek.com
ServerType standalone
DeferWelcome off
ShowSymlinks on
MultilineRFC2228 on
DefaultServer on
ShowSymlinks on
AllowOverwrite on
LogFormat traff "%b %u"
TimeoutNoTransfer 600
TimeoutStalled 600
TimeoutIdle 1200
DisplayLogin welcome.msg
DisplayFirstChdir .message
#LsDefaultOptions "-l"
DenyFilter *.*/
DefaultRoot ~
# Uncomment this if you are using NIS or LDAP to retrieve passwords:
#PersistentPasswd off
# Port 21 is the standard FTP port.
Port 21
MaxInstances 30
User nobody
Group nogroup
# Normally, we want files to be overwriteable.
<Directory /*>
# Umask 022 is a good standard umask to prevent new files and dirs
# (second parm) from being group and world writable.
Umask 022 022
AllowOverwrite on
HideNoAccess on
</Directory>
<Limit ALL>
IgnoreHidden on
</Limit>
<Global>
TransferLog /var/log/xferlog
ExtendedLog /var/log/ftp_traff.log read,write traff
PathDenyFilter ".quota$"
</Global>
<IfModule mod_delay.c>
DelayEngine off
</IfModule>
SQLAuthTypes Crypt
SQLAuthenticate on
SQLConnectInfo vhcs2@localhost vftp 1SZTV9hzBCp0
SQLUserInfo ftp_users userid passwd uid gid homedir shell
SQLGroupInfo ftp_group groupname gid members
SQLMinID 2000
QuotaEngine on
QuotaShowQuotas on
QuotaDisplayUnits Mb
SQLNamedQuery get-quota-limit SELECT "name, quota_type, per_session, limit_type, bytes_in_avail, bytes_out_avail, bytes_xfer_avail, files_in_avail, files_out_avail, files_xfer_avail FROM quotalimits WHERE name = '%{0}' AND quota_type = '%{1}'"
SQLNamedQuery get-quota-tally SELECT "name, quota_type, bytes_in_used, bytes_out_used, bytes_xfer_used, files_in_used, files_out_used, files_xfer_used FROM quotatallies WHERE name = '%{0}' AND quota_type = '%{1}'"
SQLNamedQuery update-quota-tally UPDATE "bytes_in_used = bytes_in_used + %{0}, bytes_out_used = bytes_out_used + %{1}, bytes_xfer_used = bytes_xfer_used + %{2}, files_in_used = files_in_used + %{3}, files_out_used = files_out_used + %{4}, files_xfer_used = files_xfer_used + %{5} WHERE name = '%{6}' AND quota_type = '%{7}'" quotatallies
SQLNamedQuery insert-quota-tally INSERT "%{0}, %{1}, %{2}, %{3}, %{4}, %{5}, %{6}, %{7}" quotatallies
QuotaLock /var/run/proftpd/tally.lock
QuotaLimitTable sql:/get-quota-limit
QuotaTallyTable sql:/get-quota-tally/update-quota-tally/insert-quota-tally
firewall
Kod:
#!/bin/bash IPT="iptables" if [ "$1" = "stop" ] then echo "Czyszczenie firewalla rozpoczete" $IPT -F $IPT -t mangle -F $IPT -P FORWARD ACCEPT $IPT -P INPUT ACCEPT $IPT -P OUTPUT ACCEPT $IPT -X syn-flood /bin/echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all /bin/echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts /bin/echo "1" > /proc/sys/net/ipv4/conf/all/accept_source_route /bin/echo "1" > /proc/sys/net/ipv4/conf/all/accept_redirects /bin/echo "0" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses /bin/echo "0" > /proc/sys/net/ipv4/conf/all/rp_filter /bin/echo "0" > /proc/sys/net/ipv4/conf/all/log_martians echo "Czyszczenie firewalla zakonczone" exit fi echo "Konfiguracja firewalla rozpoczeta" # ustawiamy zmienne potrzebne firewallowi MOJEIP="IP.IP.IP.IP" ALIAS0="IP.IP.IP.IP" ALIAS1="IP.IP.IP.IP" ALIAS2="IP.IP.IP.IP" ALIAS3="IP.IP.IP.IP" ALIAS4="IP.IP.IP.IP" ALIAS5="IP.IP.IP.IP" ALIAS6="IP.IP.IP.IP" ALIAS7="IP.IP.IP.IP" DNS1="IP.IP.IP.IP" DNS2="IP.IP.IP.IP" # czyscimy wszystko $IPT -F -t nat $IPT -X -t nat $IPT -F -t filter $IPT -X -t filter ###################### # ustawienia wstepne # ###################### echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter echo 1 > /proc/sys/net/ipv4/conf/all/log_martians ################ # co blokujemy # ################ $IPT -P INPUT DROP $IPT -P OUTPUT ACCEPT $IPT -P FORWARD DROP # zakazane IP $IPT -A INPUT -s 88.226.67.89 -j DROP # Turkey $IPT -A INPUT -s 213.189.64.0/24 -j DROP # Kuwait $IPT -A INPUT -s 213.189.68.0/24 -j DROP # Kuwait $IPT -A INPUT -s 85.102.40.0/21 -j DROP # Turkey $IPT -A INPUT -s 85.102.48.0/20 -j DROP # Turkey $IPT -A INPUT -s 85.102.64.0/18 -j DROP # Turkey $IPT -A INPUT -s 85.102.128.0/17 -j DROP # Turkey $IPT -A INPUT -s 85.101.0.0/17 -j DROP # Turkey $IPT -A INPUT -s 85.97.16.0/20 -j DROP # Turkey $IPT -A INPUT -s 85.97.32.0/21 -j DROP # Turkey $IPT -A INPUT -s 211.206.123.0/23 -j DROP # Korean $IPT -A INPUT -s 61.152.0.0/255.255.0.0 -j DROP # China $IPT -A INPUT -s 61.191.0.0/255.255.0.0 -j DROP # China $IPT -A INPUT -s 218.22.0.0/15 -j DROP # China $IPT -A INPUT -s 220.192.0.0/12 -j DROP # China $IPT -A INPUT -s 222.176.0.0/13 -j DROP # China $IPT -A INPUT -s 202.3.208.0/20 -j DROP # Indonesia $IPT -A INPUT -s 217.27.112.0/22 -j DROP # Italy $IPT -A INPUT -s 217.27.116.0/23 -j DROP # Italy $IPT -A INPUT -s 217.27.118.0/24 -j DROP # Italy $IPT -A INPUT -s 200.49.160/20 -j DROP # Guatemala $IPT -A INPUT -s 212.138.113.0/24 -j DROP # Saudi Arabia $IPT -A INPUT -s 222.124.136.0/25 -j DROP # Indonesia $IPT -A INPUT -s 71.208.0.0/13 -j DROP # USA California $IPT -A INPUT -s 71.216.0.0/16 -j DROP # USA Californa $IPT -A INPUT -s 61.17.14.0/255.255.255.0 -j DROP # India $IPT -A INPUT -s 61.17.15.0/255.255.255.0 -j DROP # India $IPT -A INPUT -s 59.104.0.0/15 -j DROP # Taiwan $IPT -A INPUT -s 62.252.64.0/19 -j DROP # GB $IPT -A INPUT -s 58.208.0.0/12 -j DROP # China $IPT -A INPUT -s 220.192.0.0/12 -j DROP # China $IPT -A INPUT -s 219.128.0.0/13 -j DROP # China $IPT -A INPUT -s 219.136.0.0/15 -j DROP # China $IPT -A INPUT -s 218.93.112.0/30 -j DROP # China $IPT -A INPUT -s 202.105.0.0/16 -j DROP # China $IPT -A INPUT -s 61.128.128.0/19 -j DROP # China $IPT -A INPUT -s 59.32.0.0/13 -j DROP # China $IPT -A INPUT -s 59.40.0.0/15 -j DROP # China $IPT -A INPUT -s 59.42.0.0/16 -j DROP # China $IPT -A INPUT -s 131.107.0.0/16 -j DROP # Microsoft Redmond #$IPT -A INPUT -s 57.0.0.0/8 -j DROP # France ###################### # dodatkowe atrakcje # ###################### $IPT -A INPUT -p tcp --tcp-flags ALL NONE -m limit --limit 10/s --limit-burst 4 -j LOG --log-level debug --log-prefix "SKAN_NULL: " $IPT -A INPUT -p tcp --tcp-flags ALL NONE -j DROP $IPT -N skany $IPT -A INPUT -p tcp ! --syn -m state --state NEW -j skany $IPT -A skany -p tcp --tcp-flags ALL RST -m limit --limit 10/s --limit-burst 4 -j LOG --log-level debug --log-prefix "SKAN_INVERSE: " $IPT -A skany -p tcp --tcp-flags ALL RST -j DROP $IPT -A skany -p tcp --tcp-flags ALL ACK -m limit --limit 10/s --limit-burst 4 -j LOG --log-level debug --log-prefix "SKAN_TCP_PING: " $IPT -A skany -p tcp --tcp-flags ALL ACK -j DROP $IPT -A skany -p tcp --tcp-flags ALL FIN -m limit --limit 10/s --limit-burst 4 -j LOG --log-level debug --log-prefix "SKAN_FIN: " $IPT -A skany -p tcp --tcp-flags ALL FIN -j DROP $IPT -A skany -p tcp --tcp-flags ALL FIN,PSH,URG -m limit --limit 10/s --limit-burst 4 -j LOG --log-level debug --log-prefix "SKAN_XMAS-NMAP: " $IPT -A skany -p tcp --tcp-flags ALL FIN,PSH,URG -j DROP $IPT -A skany -p tcp -m limit --limit 10/s --limit-burst 4 -j LOG --log-level debug --log-prefix "SKAN_INNE: " $IPT -A skany -j DROP #$IPT -N syn-flood #$IPT -A INPUT -p tcp --syn -j syn-flood #$IPT -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN #$IPT -A syn-flood -m limit --limit 1/s --limit-burst 4 -j LOG --log-level debug --log-prefix "SYN-FLOOD: " #$IPT -A syn-flood -j DROP #$IPT -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT #$IPT -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #-------zamknicie luki w iptables--------------------- $IPT -A OUTPUT -m state -p icmp --state INVALID -j DROP echo "zamknięcia luki w iptables [OK]" # pakiety z nieporzadanych adresow $IPT -A INPUT -s $MOJEIP -j DROP # atak Land $IPT -A INPUT -s $ALIAS0 -j DROP # atak Land $IPT -A INPUT -s $ALIAS1 -j DROP # atak Land $IPT -A INPUT -s $ALIAS2 -j DROP # atak Land $IPT -A INPUT -s $ALIAS3 -j DROP # atak Land $IPT -A INPUT -s $ALIAS4 -j DROP # atak Land $IPT -A INPUT -s $ALIAS5 -j DROP # atak Land $IPT -A INPUT -s $ALIAS6 -j DROP # atak Land $IPT -A INPUT -s $ALIAS7 -j DROP # atak Land $IPT -A INPUT -s 10.0.0.0/8 -j DROP # klasa A $IPT -A INPUT -s 172.16.0.0/12 -j DROP # klasa B $IPT -A INPUT -s 192.168.0.0/16 -j DROP # klasa C $IPT -A INPUT -s 224.0.0.0/4 -j DROP # multicast $IPT -A INPUT -d 224.0.0.0/4 -j DROP # multicast $IPT -A INPUT -s 240.0.0.0/5 -j DROP # reserved #nowe poł±czenia $IPT -A INPUT -i lo -j ACCEPT $IPT -A OUTPUT -o lo -j ACCEPT $IPT -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A INPUT -p udp -m state --state ESTABLISHED -j ACCEPT #$IPT -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT echo "nowe poł±czenia [OK]" #ICMP $IPT -A INPUT -p icmp -s 0/0 -m limit --limit 3/s --limit-burst 4 -j ACCEPT #-------------zezwolenia na nowe poł±czenia---------------------- # HTTP $IPT -m state -A INPUT -p tcp --state NEW --dport 80 -j ACCEPT # FTP $IPT -m state -A INPUT -p tcp --state NEW --dport 21 -j ACCEPT # SSH $IPT -m state -A INPUT -p tcp --state NEW --dport 1960 -j ACCEPT # DNS $IPT -m state -A INPUT -p tcp --state NEW --dport 53 -j ACCEPT $IPT -m state -A INPUT -p udp --state NEW --dport 53 -j ACCEPT # HTTPS $IPT -m state -A INPUT -p tcp --state NEW --dport 443 -j ACCEPT # SMTP $IPT -m state -A INPUT -p tcp --state NEW --dport 25 -j ACCEPT # POP3 $IPT -m state -A INPUT -p tcp --state NEW --dport 110 -j ACCEPT # ufo ssh tunel $IPT -m state -A INPUT -p tcp --state NEW --dport 22 -j ACCEPT # Asterisk #$IPT -m state -A INPUT -p tcp --state NEW --dport 5060 -j ACCEPT #$IPT -m state -A INPUT -p udp --state NEW --dport 5060 -j ACCEPT # shoutcast #$IPT -m state -A INPUT -p tcp --state NEW --dport 8000 -j ACCEPT #$IPT -m state -A INPUT -p tcp --state NEW --dport 8001 -j ACCEPT echo "zezwolenia nowych poł±czeń [OK]" #----------------polaczenia nawiazane-------------------------------- $IPT -A FORWARD -p tcp -j ACCEPT -m state --state ESTABLISHED,RELATED $IPT -A OUTPUT -p tcp -j ACCEPT -m state --state ESTABLISHED,RELATED $IPT -A FORWARD -p udp -j ACCEPT -m state --state ESTABLISHED,RELATED $IPT -A OUTPUT -p udp -j ACCEPT -m state --state ESTABLISHED,RELATED $IPT -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED,RELATED $IPT -A OUTPUT -p icmp -j ACCEPT -m state --state ESTABLISHED,RELATED echo "poł±czenia nawi±zane [OK]" # bity TOS dla poł±czen lokalnych $IPT -t mangle -A OUTPUT -p tcp --dport 20 -j TOS --set-tos 8 $IPT -t mangle -A OUTPUT -p tcp --dport 21 -j TOS --set-tos 16 $IPT -t mangle -A OUTPUT -p tcp --dport 1960 -j TOS --set-tos 16 $IPT -t mangle -A OUTPUT -p tcp --dport 23 -j TOS --set-tos 16 $IPT -t mangle -A OUTPUT -p tcp --dport 25 -j TOS --set-tos 16 $IPT -t mangle -A OUTPUT -p tcp --dport 53 -j TOS --set-tos 16 $IPT -t mangle -A OUTPUT -p udp --dport 53 -j TOS --set-tos 16 $IPT -t mangle -A OUTPUT -p tcp --dport 80 -j TOS --set-tos 8 $IPT -t mangle -A OUTPUT -p tcp --dport 443 -j TOS --set-tos 8 echo "ustawienie bitów TOS [OK]" echo "Konfiguracja firewalla zakonczona"
Linux register user: #369347
Offline
#20 2006-10-13 15:18:21
stepien86 - Członek DUG
- stepien86
- Członek DUG
- Skąd: Łódź
- Zarejestrowany: 2006-03-26
Re: problem z FTP przez firewall
dziekuje za zainteresowanie moim problemem...Wszystko dziala :D
manual ponad wszysytko....konsola ponad manual
Debian GNU Linux
Offline
#21 2007-06-12 00:27:00
koms - Użytkownik
- koms
- Użytkownik
- Zarejestrowany: 2006-05-23
Re: problem z FTP przez firewall
dziekuje za zainteresowanie moim problemem...Wszystko dziala :D
Fajnie i po problemie - czy mozna sie dowiedziec co bylo nie tak ze niedzialalo !!!???, a teraz dziala - dajmy innym sznse sie dowiedziec.
Offline
#22 2007-06-14 13:21:14
stepien86 - Członek DUG
- stepien86
- Członek DUG
- Skąd: Łódź
- Zarejestrowany: 2006-03-26
Re: problem z FTP przez firewall
No napisane było.... nalezalo odblokowac ruch na interfejsie lo :
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
manual ponad wszysytko....konsola ponad manual
Debian GNU Linux
Offline