 |
|
Модераторы: powerfox, ZeeLax |
 
|
|
CentOS 6. Настройка iptables для vsftp 
| Noviy |
|
|||
|
Шустрый  Профиль Группа: Участник Сообщений: 98 Регистрация: 29.11.2007 Репутация: нет Всего: нет |
Добрый день. Для iptables прописал правила, которые должны оставить открытыми порты для протоколов ssh, http, ftp.
Правила для ftp, http и ssh: iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -p tcp --dport 20 -j ACCEPT iptables -A INPUT -p tcp --dport 21 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 8080 -j ACCEPT service iptables restart К серверу можно подключиться по ssh и посмотреть файлы по http, по ftp подключиться нельзя. Далее добавляю две строки в файл, для работы сервера в пассивном режиме : /etc/vsftpd/vsftpd.conf connect_from_port_20=NO pasv_min_port=50000 pasv_max_port=50100 После чего service vsftpd restart Открываю соответствующие порты в iptables, вот что нужно добавить в файл: /etc/sysconfig/iptables: -A INPUT -m state --state NEW -m tcp -p tcp --dport 50000:50100 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited К ftp невозможно подключиться. Читал, что нужно подключить модули, IPTABLES_MODULES="ip_conntrack_netbios_ns ip_conntrack_ftp", в файле /etc/sysconfig/iptables-config,однако в ядре они отсутствуют. Подскажите, как открыть порты, для пассивного режима ftp? |
|||
|
||||
Загрузка ...
| ZeeLax |
|
|||
 Эксперт Профиль Группа: Модератор Сообщений: 4388 Регистрация: 20.8.2006 Где: Алма-Ата Репутация: 7 Всего: 88 |
У вас к портам 50000-50100 разрешены только пакеты «новых» подключений, то есть SYN-пакеты. А сами пакеты данных запрещены.
Чтобы настроить фаерволл, нужно знать: 1. Как работают протоколы стека TCP/IP 2. В частности, как работает FTP 3. Как работает фильтр пакетов ядра (netfilter) 4. Как настраивать netfilter утилитой iptables. Если хоть в одном месте пробелы — будут проблемы. Добавлено @ 05:58 Ах да, и что значит
-------------------- Utility is when you have one telephone, luxury is when you have two, opulence is when you have three — and paradise is when you have none. — Doug Larson |
|||
|
||||
| krypt3r |
|
|||
|
Опытный Профиль Группа: Участник Сообщений: 359 Регистрация: 9.6.2009 Репутация: 1 Всего: 16 |
И тем самым вы запустили iptables с дефолтными правилами, если вышестоящие команды вы писали руками |
|||
|
||||
| mihanik |
|
|||
 -=Белый Медведь=- Профиль Группа: Комодератор Сообщений: 4054 Регистрация: 24.4.2006 Где: г. Тверь Репутация: 1 Всего: 109 |
Noviy, а ты модуль ip_conntrack_ftp включаешь в настройках?
Если открывать доступ к FTP при помощи гуёвой утилиты, то этот модуль активируется автоматически. Если же всё делать ручками, то нужно его активировать в конфигурационных файлах вручную. Можно, конечно, попробовать и так:
Но это до перезагрузки системы. -------------------- Программистами не рождаются, - это родовая травма...   |
|||
|
||||
|
|
| Правила форума "Linux/UNIX: Администрирование" | |
|
|
Этот форум предназначен для решения вопросов по администрации *n?x-систем, в частности по настройке сложных сетей и обслуживанию серверного оборудования.
За интересные статьи, находки, решения, программы и просто реальную помощь будут ставиться + в репу). В данный момент этот раздел модерируют nerezus, nickless, powerfox, pythonwin, Imple и ZeeLax. Если вы хотите помочь нам, пишите в ПМ и мы обсудим. Спасибо. И use UNIX or die; С уважением, nerezus, nickless, powerfox, pythonwin, Imple, ZeeLax. |
| 1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей) | |
| 0 Пользователей: | |
| « Предыдущая тема | Администрирование *NIX систем | Следующая тема » |
[ Время генерации скрипта: 0.0589 ] [ Использовано запросов: 21 ] [ GZIP включён ]
Реклама на сайте Информационное спонсорство
|
|
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности Powered by Invision Power Board(R) 1.3 © 2003 IPS, Inc. |