[HELP] Firewall ed FTP attivo...

The X · 27-10-2005, 13:59

Ciao, ho 2 PC in rete (che chiamerò Client e Server); sul Server è attivo il firewall. Dal PC-Client non riesco a collegarmi a quasi tutti i Server-Ftp impostati in modalità ATTIVA. Per quello ke riguarda la rete non ho dato limitazioni...

Sul mio server come devo configurare il firewall x far funzionare il client-ftp ? Devo ank'io (come x i server-ftp) aprire in ingresso la porta 20/21? Devo reinderizzare sul client qlc porta ?

TNK

gurutech · 27-10-2005, 14:18

ai ai ai ... il protocollo FTP ... il dolore di ogni amministratore di rete!
ti consiglio di usare qualche accrocchio/proxy ftp trasparente come
http://frox.sourceforge.net/
o
http://www.suse.com/en/whitepapers/proxy_suite/

The X · 27-10-2005, 14:22

Quote:

Originariamente inviato da gurutech

ai ai ai ... il protocollo FTP ... il dolore di ogni amministratore di rete!
ti consiglio di usare qualche accrocchio/proxy ftp trasparente come
http://frox.sourceforge.net/
o
http://www.suse.com/en/whitepapers/proxy_suite/

Praticamente devo installlare sul mio Server un Proxy SOLO x far uscire dalla mia rete le connessioni del mio client-ftp ?

gurutech · 27-10-2005, 14:30

si ti assicuro che FTP è una brutta bestia.
per le connessioni ATTIVE ti servono solo la porta 20 e 21, ma se la connessione deve essere passiva, e alcuni server FTP ti costringono (per buoni motivi) a questo, allora la porta 21 viene sempre usata per i comandi, e per i dati viene allocata una porta dinamica mi pare sopra la 40000.

se non vuoi proxare puoi usare il modulo ip_conntrack_ftp.ko che però non ho mai smanettato più di tanto e non saprei che dirti. la soluzione proxy rimane la più semplice e sicura secondo me: alla fine chi stabilisce la connessione FTP è la macchina che ha l'IP pubblico per cui dovrebbe sempre riuscirci e poi passa le info alla macchina nattata

The X · 27-10-2005, 20:13

Capisco.... Grazie x le info !

gurutech · 27-10-2005, 20:37

ecco la configurazione di frox sul mio server epurata dei commenti

Codice:

Listen 192.168.4.1
Port 3129
BindToDevice eth0
ResolvLoadHack wontresolve.doesntexist.abc
User nobody
Group nogroup
WorkingDir /var/lib/frox
DontChroot Yes
LogLevel 20
LogFile /var/log/frox.log
PidFile /var/run/frox.pid
APConv yes
BounceDefend yes
DoNTP no
MaxForks 10
MaxForksPerHost 4
ACL Allow * - *

192.168.4.1 è l'interfaccia di rete locale
notare APConv Yes: tutte le connessioni attive dei client vengono automaticamente trasformate in passive

su iptables ho fatto così (è un riassunto delle mie regole

)

Codice:

www:~# iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport sports 20,21,25,53,80,110,22
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:53
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp !type 8
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spts:40000:50000 state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpts:40000:50000 state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  192.168.4.0/24       0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            192.168.4.0/24

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 20,21,25,53,80,110,22
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp !type 0
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpts:40000:50000 state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spts:40000:50000 state NEW,RELATED,ESTABLISHED

www:~# iptables -L -n -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  192.168.4.1          0.0.0.0/0
REDIRECT   tcp  --  192.168.4.0/24       0.0.0.0/0           tcp dpt:21 redir ports 3129

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  192.168.4.1          0.0.0.0/0
SNAT       all  --  192.168.4.0/24       0.0.0.0/0           to:62.94.78.208

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

62.94.78.208 è il mio ip pubblico (statico). se hai un ip dinamico DEVI usare il target MASQUERADE nella catena di POSTROUTING.

non ti ho scritto i comandi che generano le regole di questa tabella: te lo lascio per esercizio

The X · 03-12-2005, 17:13

Quote:

Originariamente inviato da gurutech

....se hai un ip dinamico DEVI usare il target MASQUERADE nella catena di POSTROUTING.

non ti ho scritto i comandi che generano le regole di questa tabella: te lo lascio per esercizio

Gentilissimo

Ho risolto....anke se rode non poco dover avere 1 servizio in + solo x questo....

TNK

27-10-2005, 13:59	#1
The X Senior Member Iscritto dal: Apr 2003 Città: Rimini Messaggi: 3970	[HELP] Firewall ed FTP attivo... Ciao, ho 2 PC in rete (che chiamerò Client e Server); sul Server è attivo il firewall. Dal PC-Client non riesco a collegarmi a quasi tutti i Server-Ftp impostati in modalità ATTIVA. Per quello ke riguarda la rete non ho dato limitazioni... Sul mio server come devo configurare il firewall x far funzionare il client-ftp ? Devo ank'io (come x i server-ftp) aprire in ingresso la porta 20/21? Devo reinderizzare sul client qlc porta ? TNK __________________ Powered by Apple Macbook Pro Retina

27-10-2005, 14:18	#2
gurutech Senior Member Iscritto dal: Jun 2000 Città: S.Giuliano (MI) Messaggi: 1047	ai ai ai ... il protocollo FTP ... il dolore di ogni amministratore di rete! ti consiglio di usare qualche accrocchio/proxy ftp trasparente come http://frox.sourceforge.net/ o http://www.suse.com/en/whitepapers/proxy_suite/ __________________ “No te tomes tan en serio la vida, al fin y al cabo no saldrás vivo de ella”

27-10-2005, 14:30	#4
gurutech Senior Member Iscritto dal: Jun 2000 Città: S.Giuliano (MI) Messaggi: 1047	si ti assicuro che FTP è una brutta bestia. per le connessioni ATTIVE ti servono solo la porta 20 e 21, ma se la connessione deve essere passiva, e alcuni server FTP ti costringono (per buoni motivi) a questo, allora la porta 21 viene sempre usata per i comandi, e per i dati viene allocata una porta dinamica mi pare sopra la 40000. se non vuoi proxare puoi usare il modulo ip_conntrack_ftp.ko che però non ho mai smanettato più di tanto e non saprei che dirti. la soluzione proxy rimane la più semplice e sicura secondo me: alla fine chi stabilisce la connessione FTP è la macchina che ha l'IP pubblico per cui dovrebbe sempre riuscirci e poi passa le info alla macchina nattata __________________ “No te tomes tan en serio la vida, al fin y al cabo no saldrás vivo de ella”

27-10-2005, 20:13	#5
The X Senior Member Iscritto dal: Apr 2003 Città: Rimini Messaggi: 3970	Capisco.... Grazie x le info ! __________________ Powered by Apple Macbook Pro Retina

Strumenti
Mostra una versione stampabile Invia questa pagina per email