+ Responder ao Tópico



  1. #6
    dispatcher
    Citação Postado originalmente por estanisgeyer
    Boa tarde...

    Amigos, tenho o seguinte ambiente: Servidor FTP com ip válido na eth0. Estou com problemas para criar uma regra para o tráfego de ftp passivo, que está bloqueado. Segue o que já tenho no firewall, em suma:

    iptables -P INPUT DROP
    iptables -P FORWARD ACCEPT
    iptables -P OUTPUT ACCEPT

    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A INPUT -p tcp -m multiport --dports 21,80,53,110,143 -j ACCEPT

    Resumindo é isso... fazendo conexão ftp passiva não tenho resposta, lembrando que não tenho NAT pois se trata de um servidor com ip válido.

    Acrescenta um NEW na regra : iptables -A INPUT -m state --state RELATED, ESTABLISHED -j ACCEPT . Entao ela ficara assim:
    iptables -A INPUT -m state --state RELATED, NEW, ESTABLISHED -j ACCEPT
    e ve no que dá! Depois posta ai o resultado.

    Att.

  2. #7
    Danilo_Montagna
    dispatcher

    Nao sei se é esse o problema...

    pois na regra ele de ACCEPT na porta 21 a flag --syn (NEW) ja esta habilitada por default..

    o estado de conexao dele é para os pactes da regra que libera o ACCEPT do --syn na porta 21.

    a regra de -m state ESTABLISHED,RELATED tb ja garante o fluxo do trafego pelo o NEW que foi aberta pela regra dele de multport



  3. #8
    estanisgeyer
    Danilo...

    Segui a sugestão do Dispatcher em acrescetar o state NEW, inserindo na primeira posição da chain INPUT para teste:

    iptables -I INPUT -m state --state NEW -j ACCEPT

    E não é que funcionou? Mas fico pensando... o estado NEW indica que o pacote está criando uma nova conexão e na regra acima estou aceitando, não seria a mesma coisa que fazer:

    iptables -I INPUT --dport 0:65325 -j ACCEPT

    Altos problemas de segurança

    Att.

  4. #9
    Danilo_Montagna
    pois é..

    muito estranho..

    nao vejo o pq do NEW esta enfluenciando essa conexao passiva..

    eu nunca usei isso ... pois a ideia do -m state é justamente vc liberar estados de conexoes para nao ter que ficar criando o retorno dos pacotes para cada regra..

    e no caso do ESTABLISHED,RELATED nao tem problemas de segurança, pois o NEW é controlado pela regra que vc da o ACCEPT das portas..., e o retorno disso.. cae nessa regra de estado de conexao.. e como ali so libera o retorno de respostar de pacotes., nao tem problema nenhum..

    em uma regra de ACCEPT, se vc nao informar nada.. por default a regra ja considera que a flag --syn esta liberada por default.. ou seja.. a conexao pode ser aberta...

    o ESTABLISHED,RELATED seriam para o firewall nao barrar a respostas de pacotes tais como... ACK, etc. para essa conexao --syn que foi solicitada... entao .. muito estranho isso ae... nao deveria precisar do NEW no estado de pacotes...

    mais como eu nao analisei seu script de firewall.. nao posso te dizer o que vc tem de errado ae para ter que por o NEW ae nas regras de estado de pacotes... e isso ae acaba se tornando um problema... pois isso diz ao firewall que qualquer conexao nao barrada pela police default ou por regra.. seja aceita a flag --syn ... acaba se tornando um problema de segurança..

    eu recomendaria vc re-analisar seu script.. sequencia de regras.. etc..

    pois nao precisaria ter o NEW ae na regra para isso funcionar...



  5. #10
    estanisgeyer
    Bem... vou passar então as minhas regras, em ordem:

    iptables -P INPUT DROP
    iptables -P FORWARD ACCEPT
    iptables -P OUTPUT ACCEPT

    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -p tcp -m multiport --dports 21,25,53,80,110,143 -j ACCEPT
    iptables -A INPUT -p udp --dport 53 -j ACCEPT
    iptables -A FORWARD -i eth0 -p icmp --icmp-type 8 -j DROP
    iptables -A FORWARD -p tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/s -j ACCEPT
    iptables -I OUTPUT -o lo -j ACCEPT


    Era isso.

    Abraços






Tópicos Similares

  1. Dificuldade para liberar FTP
    Por cleyton no fórum Servidores de Rede
    Respostas: 1
    Último Post: 03-05-2005, 17:03
  2. liberar ftp
    Por daniell no fórum Servidores de Rede
    Respostas: 7
    Último Post: 01-12-2004, 12:51
  3. Ajuda com FTP Passivo
    Por budairc no fórum Servidores de Rede
    Respostas: 1
    Último Post: 08-07-2004, 13:41
  4. Liberar FTP
    Por doliveira no fórum Servidores de Rede
    Respostas: 1
    Último Post: 06-05-2004, 19:40
  5. FTP PASSIVO
    Por wrochal no fórum Servidores de Rede
    Respostas: 0
    Último Post: 02-06-2003, 11:14

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L