/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 20 -d 10.1.1.254 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
FTP Cliente em modo Passivo
essa e a regra q coloquei, para nao liberar muito, e funcionou, posso listar as pastas agora...
Versão Imprimível
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 20 -d 10.1.1.254 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
FTP Cliente em modo Passivo
essa e a regra q coloquei, para nao liberar muito, e funcionou, posso listar as pastas agora...
:oops: Eu não sou um grande conhecedor de iptables, mas uma coisa me intrigou, na sua regra você colocou isso:
1024:65535
se vc está liberando da porta 1204 a 65535, como você pode afirmar: "para nao liberar muito" ? :|
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 20 -d 10.1.1.254 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPTCitação:
Postado originalmente por Duca
pq tipo, to liberando da 1024 ate 65535, mas so se vier originada pela porta 20 e ela tem q estar ligada com a conexao da porta 21 já, o q quer dizer q e a porta ftp-data, q e usada para trafegar dados, e se esta vindo pela porta 20 e pq tive a confirmação de conexao que um cliente q ja acessou a porta 21 do teu ftp, e digitou senha e login, o q quer dizer q ele pode usar o serviço, por isso tem a parte -m state --state ESTABLISHED, o q quer dizer q e uma conexao estabelecida (ESTABLISHED)isso quer dizer q uma TCP ja fechou a conexão, ninguem vai poder conectar direto na porta 20, pq o ack nao vai estar marcado como Estabelecido(ESTABLISHED).
deu pra entender ou complicou... vou te mostrar um testo de como funciona o protoloco FTP
Primeiro o cliente envia um pedido de conexão através de uma porta alta (>1024) com destino a porta 21 do servidor de FTP. O servidor de FTP então responde este pedido utilizando a sua porta 21 na porta alta do cliente. Até então o funcionamento é comum a outras conexões TCP conhecidas.
Porém o FTP precisa de uma conexão de dados que pode ser estabelecida de duas formas: Utilizando FTP ATIVO ou PASSIVO.
No FTP ATIVO o cliente informa ao servidor uma porta alta através do comando PORT. O servidor então abre uma conexão utilizando a porta 20 nesta porta alta informada pelo cliente. NO FTP PASSIVO o servidor que informa ao cliente uma porta alta através do comando PORT. O cliente por sua vez abre uma conexão de uma porta alta nesta porta informada pelo servidor.
Enquanto no FTP ATIVO o servidor abre uma nova conexão de dados no cliente, no PASSIVO as conexões são abertas sempre pelo cliente, dessa forma agregando um pouco de segurança, porém temos pouco controle sobre quais portas serão utilizadas na hora de implementar as regras de firewall
Uau, Show de aula !!! :-o
Valeu !!! :-D
precisando posta ae, vlw