PDA

View Full Version : vsftpd + firewall

eclissi83
26-11-2004, 10:27
salve ragazzi,
come da oggetto ho un problema con il demone vsftpd quando gira dietro al firewall. ovviamente io ho aperto le porte 20 e 21 ed impostato il file di configurazione in modo apposito. Uso il demone attraverso inetd. Il problema che riscontro è che quando mi collego all'ftp e pur usando PORT invece di PASV non riesco a comunicare... tutto ciò ovviamente senza firewall non avviene, quindi il problema è lì :D

vi quoto il mio firewall e vi allego il file di configurazione.
ecco il firewall:
# Generated by iptables-save v1.2.6a on Tue Mar 11 02:16:38 2003
*filter
#Firewall IPv4
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
: OUTPUT ACCEPT [0:0] #ho dovuto mettere lo spazio tra i : e O a causa dello smile
-A INPUT -p icmp -j ACCEPT
-A INPUT -p udp -j ACCEPT
-A INPUT -i lo -p tcp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1024:65530 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A INPUT -p tcp -m tcp --dport 65531:65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 4672 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 4662 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
COMMIT
# Completed on Tue Mar 11 02:16:38 2003

avete idea di quale possa essere il problema?

grazie in anticipo per l'aiuto
ilsensine
26-11-2004, 10:39
Accetta in ingresso anche le connessioni con stato ESTABLISHED e RELATED (questo forse rende superflua l'apertura esplicita della porta 20). Inoltre controlla che il modulo ip_conntrack_ftp sia caricato.

Se non riesci a venirne a capo, logga i pacchetti scartati per vedere quali sono.
ilsensine
26-11-2004, 10:41
-A INPUT -p udp -j ACCEPT

Perché mai vorresti fare una cosa simile?
eclissi83
26-11-2004, 10:52
Originariamente inviato da ilsensine
Accetta in ingresso anche le connessioni con stato ESTABLISHED e RELATED (questo forse rende superflua l'apertura esplicita della porta 20). Inoltre controlla che il modulo ip_conntrack_ftp sia caricato.

Se non riesci a venirne a capo, logga i pacchetti scartati per vedere quali sono.
il modulo non lo carica è vero... stasera aggiusto il firewall...

grazie...

PS: perchè dovrei droppare gli udp?
ilsensine
26-11-2004, 11:12
Originariamente inviato da eclissi83
PS: perchè dovrei droppare gli udp?
Non necessariamente tutti...(alcuni sono necessari per il dns); perché accettarli tutti? Hai sicuramente dei servizi in asculto su porte udp, v. ad es. netstat -avnup
eclissi83
26-11-2004, 18:25
allora...
ho inserito questa stringa:
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
e così funziona, ma solo con la modalità passiva... ho dovuto anche lasciare aperta nel firewall la 20 (anche se l'ho commentata nel file di configurazione)..

farò altre prove...

grazie del suggerimento
Duncan
26-11-2004, 19:44
Scusa, ma visto che parlate di vsftpd e lo sto configurando...

te comel'hai configurato per gli utenti, l'autenticazione e le home dei vari utenti?
eclissi83
26-11-2004, 20:17
sinceramente a me serve solo per alcuni amici che devono uppare delle cose, quindi faccio gli utenti normalmente... pero' diciamo che puoi anche usare anonymous per rendere la cosa un po' più tranquilla... puoi permettere loro di scrivere e creare directory..