FTP & iptables

Start eens een tcpdump op je fw en client en maak een ftp connectie. Dan zie je welke pakketten er aankomen en welke niet. Je kunt trwns (IMHO) beter ipv --dport -m state -state ESTABLISHED,RELATED gebruiken...

1 FTP sessie werkt minimaal over 2 poorten (1 voor de informatie etc. en 1 voor het binnenhalen van bestanden)
Heb je daar ook rekening mee gehouden?

idd, ftp-data , poort 20 toch?

Ja.. maar dan natuurlijk ook met SYN lijkt me.. tis opzich een tweede nieuwe connectie..
! --syn wil toch zeggen alles waar geen SYN bit opzit? Dan kan je dus geen connectie opbouwen..

En nou niet zeggen van ik heb al een connectie met de ftp server.. want je moet toch echt een tweede connectie opbouwen lijkt me

.. voor masquerading met IP-CHAINS moest je wel de FTP module (masq_ftp.o dacht ik)in je kernel hebben.. geen idee of dat met ip-tables ook nog zo is.

/sbin/iptables -A INPUT -p tcp --destination-port 21 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --source-port 20 --destination-port 1024:65535 -j ACCEPT

zo dan lijkt me.. gewoon alles toestaan op poort 21, en alles wat vanaf poort 20 komt..

moet dat trouwens ook niet zijn alles wat op poort 20 binnenkomt? dus
/sbin/iptables -A INPUT -p tcp --destination-port 20 -j ACCEPT ??

Geen idee namelijk.. ik heb op mijn firewall al het binnenkomende openstaan..
en dan met behulp van portscanner alle openstaande poorten dichtgegooid (behalve het ftp en www gebeuren)

Heren we gaan toch niet twee dingen door elkaar halen he

Je hebt non-passive ftp (de standaard).
Hierbij verbindt een client op poort 21 op de server (de ftp-control poort). De verbinding vanaf de client gezien gebeurt ook op poort 21. De client geeft aan de server mee op welke poort hij terug mag conecten. Daarna verbindt de server vanaf poort 20 (de ftp-data poort) op de server, terug op de hoge poort die de client zojuist heeft opgegeven. Tja waar zou het woordje non-passive nu vandaan komen

Ofwel in dit geval moet zowel poort 20 als 21 openstaan voor de buitenwereld in beide richtingen.

Dan is er nog passive ftp.
Hierbij verbind de client op poort 21 op de server. De server geeft dit keer het port-commando aan de client. Hierop verbindt de client vanaf een hoge poort met een hoge poort op de server (de poort die de server zojuist heeft terug gegeven dus).

Als je een van beiden wil gebruiken, dan zou ik toch adviseren op de ip_contrack_ftp module te laden en de volgende regels in je firewall op te nemen:

voor beiden:

non-passive:

en voor passive:

Let erop dat bovenstaande dus wel met genoemde module moet, die kan namelijk de port-commando's eruit vissen

De FTP client kiest de modus (passive of non-passive). Browsers lijken altijd passive FTP te gebruiken, een normale FTP client gebruikt gewoonlijk non-passive FTP. In de meeste clients kan je gewoon instellen welke modus (passive/non-passive) je wilt gebruiken.

Een server/firewall moet dus beide ondersteunen wil je geen problemen krijgen/veroorzaken.

Op donderdag 28 juni 2001 15:43 schreef nelske het volgende:

Bij browsers kan je dat ook instellen (tenminste de browser die ik ken) inclusief IE.

Gebruik je ook Mozilla, Opera en Links? Zoja, waar kan je dat dan instellen (mezelf kennende kijk ik er vast overheen)?

Yep, de eerste twee gebruik ik inderdaad en tot mijn verbazing hebben die inderdaad beiden niet de optie om op te kunnen geven of je passive of active ftp wil gebruiken

Tja dat betekent dat (in ieder geval Mozilla) in passive mode verbindt. Aan de andere kant moet je sowieso gewoon een fantsoenlijke ftp-client gebruiken i.p.v. webbrowser als je daardwerkelijk met een ftp-server bezig bent.

Ik heb de 4 regels die volgens nelske nodig waren voor active ftp in mijn firewall gezet, ook heb ik de module ip_conntrack_ftp geladen, maar als ik active wil ftpen dan krijg ik:

passive ftpen gaat wel goed, weet iemand wat er nog mis kan gaan?

Op woensdag 10 oktober 2001 09:54 schreef Haranaka het volgende:
Goh, wat leuk dat iemand mijn oude topic omhoog haalt
Maar ik denk dat ik je wel wat verder kan helpen. Nelske had een klein foutje gemaakt in deze topic.
Het vervolg en de juiste rules vind je in [topic=174649/1/25]

^{*kuch* klein foutje *kuch*}