Toon posts:

[iptables] active ftp server werkt niet

Pagina: 1
Acties:

dinsdag 18 februari 2003 02:17

Acties:

Verwijderd

Topicstarter
ik heb een debian woody server draaien met daarop proftpd op poort 5500. ik kan prima verbinden onder passive mode, maar active ftp werkt niet.
code:
1

425 Can't build data connection: Success


ik heb op google en de got search gezocht en had dit scriptje gemaakt om de active ftp verbinding toe te staan.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

# Active ftp.
/sbin/iptables -A INPUT  -i eth0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT  -i eth0 -p tcp --sport 5499 -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 5499 -m state --state ESTABLISHED -j ACCEPT
# Passive ftp.
/sbin/iptables -A INPUT  -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow ftp inbound.
/sbin/iptables -A INPUT  -i eth0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT  -i eth0 -p tcp --dport 5500 -m state --state NEW,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 5500 -m state --state ESTABLISHED,RELATED -j ACCEPT

# enable ftp conntrack inbound and outbound.
/sbin/iptables -A INPUT  -i eth0 -p tcp --dport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 20 -m state --state NEW,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT  -i eth0 -p tcp --dport 5499 -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 5499 -m state --state NEW,ESTABLISHED -j ACCEPT


ik wist niet of ik die poort 20 moest vervangen door 5499 en 21 door 5500(ik draai de server @ 5500) dus heb ze er maar gewoon bij gezet om te testen. het werkt echter voor geen meter :/


ps. ik heb /sbin/modprobe ip_conntrack en ip_conntrack_ftp gedaan.

dinsdag 18 februari 2003 06:53

Acties:

Verwijderd

Please note, if you setup PORTFW to an internal FTP server that is running on a NON-standard FTP port, say port 8021, you MUST tell the "ip_conntrack_ftp" module about the new FTP port. The reason for this is that FTP is not a NAT-friendly protocol. By telling the NAT module about this new non-standard FTP port, the NAT module and do it's job again. To do this, edit your rc.firewall file and change the loading of the FTP module to look something like this:

/sbin/insmod ip_conntrack_ftp ports=21,8021
:)

dinsdag 18 februari 2003 16:50

Acties:

Verwijderd

Topicstarter
helaas, dat helpt er niet aan :/

ik heb eerst geprobeer;
/sbin/rmmod ip_conntrack_ftp
/sbin/insmod ip_conntrack_ftp ports=21,5500

dat werkte niet, nog steeds de melding "425 Can't build data connection: Success
" als ik list doe met active mode.

toen heb ik geprobeert het firewall script aan te passen;
modprobe ip_conntrack_ftp
vervangen door
/sbin/insmod ip_conntrack_ftp ports=21,5500
script restarten.

ook geen effect.


edit:
als ik "/sbin/lsmod" doe krijg ik;
code:
1
2
3
4
5
6
7
8
9
10

Module                  Size  Used by    Not tainted
ip_conntrack_ftp        4272   0  (unused)
ipt_LOG                 3288  27  (autoclean)
ipt_limit               1048  42  (autoclean)
ipt_state                632  28  (autoclean)
ipt_TCPMSS              2392   3  (autoclean)
iptable_mangle          2228   0  (autoclean) (unused)
iptable_nat            21880   1  (autoclean)
ip_conntrack           28896   4  (autoclean) [ip_conntrack_ftp ipt_state iptable_nat]
iptable_filter          1736   1  (autoclean)

[ Voor 41% gewijzigd door Verwijderd op 18-02-2003 16:56 . Reden: toevoeging ]

dinsdag 18 februari 2003 21:37

Acties:
  • Guru Evi
  • Registratie: Januari 2003
  • Laatst online: 17-04 13:12

Guru Evi

dump eens je hele iptables configuratie hierheen. Ook wat precies waar zit in je firewall. Wat is eth0 (internet, netwerk) en hoe is je router compleet geconfigureerd.
Doe eens een nmap op je systeem zonder je firewall aan te zetten (iptables -F) en zie eens of hij wel degelijk openstaat (je deamon staat aan). Is het wel de standalone ProFTPd anders moet je in je inetd nog et een en et ander veranderen.

Als je ftp deamon op 5500 draait en de input van gerelateerde sessie's wilt toelaten moet je gewoon die poort openzetten met.
De output moet alleen geblokkeerd worden voor bepaalde poorten die openstaan en die je beslist niet wilt openhebben.
code:
1
2
3
4

iptables -A OUTPUT -i eth0 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED, RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 5500 -j ACCEPT
zet hier verdere rules om je output & input van bepaalde programma's te blokkeren

Pandora FMS - Open Source Monitoring - pandorafms.org

woensdag 19 februari 2003 00:21

Acties:

Verwijderd

Topicstarter
Guru Evi,
m'n proftpd installatie werkt prima, zolang ik passive mode gebruik. verder is het dan, volgens mij, niet van belang of ie standalone draait of niet. ook is het duidelijk dat mijn firewall sessies toestaat op poort 5500, anders werkte de FTP server ook niet met passive mode clients.

de vraag is of iemand weet hoe ik mbv iptables connection state tracking een actieve FTP server kan draaien (ftp server en firewall zitten op dezelfde machine).

woensdag 19 februari 2003 00:49

Acties:
  • Buffy
  • Registratie: April 2002
  • Laatst online: 26-12-2024

Buffy

Fire bad, Tree pretty

Waarom specificeer je eigenlijk --dport en --sport in de ESTABLISHED en RELATED rules.
Het voordeel van state tracking is dat je juiste geen zorgen hoeft te maken over (o.a.) welke poorten je door door laat en welke je niet door laat.

Probeer het is met alleen:
code:
1
2

iptables -A INPUT  -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

en verder alleen state NEW in de OUTPUT chain voor de services die je open wilt hebben.

En anders een LOG rule toevoegen die de gedropte pakketjes logt zodat je kan zien welke poorten er precies gebruikt worden.
Zie ook /proc/net/ip_conntrack voor de status van de huidige verbindingen.

That which doesn't kill us, makes us stranger - Trevor (AEon FLux)
When a finger points at the moon, the imbecile looks at the finger (Chinese Proverb)

woensdag 19 februari 2003 00:54

Acties:

Verwijderd

Ik zit met het zelfde probleem, alleen bij mij draait de ftpd niet op een interne bak. Ik kan simpel weg niet active ftp'n vanaf of naar m'n linux router.

donderdag 20 februari 2003 02:07

Acties:

Verwijderd

Topicstarter
Dawns_sister;
ik heb inderdaad in mijn firewall script die ESTABLISHED en RELATED rules al staan.
dat stukkie code dat ik daarboven heb staan is van een voorbeeldje uit een iptables connection tracking tutorial. die had ik ff gecopy/paste en geprobeerd. de new chain bij output zit ook in dat script, dus dat moet werken.

ik zal eens kijken of ik iets kan met /proc/net/ip_conntrack.
ook zal ik kijken of ik op een of andere manier de pakketjes op de ftp poort kan loggen zodat ik kan zien wat ermee gebeurt.

donderdag 20 februari 2003 12:30

Acties:

Verwijderd

Bij active ftp connect de client terug naar poort 20 op je server dacht ik, op je firewall heb je alleen state related,established aan staan. hierdoor laat je geen incoming connections to op je firewall. Ik denk dat je dit ff open moet zetten.

Je zou ook packets kunnen gaan loggen in je syslog ofzo dan zie je wat er gebeurt ... en dus niet doorgelaten word

Good luck

[ Voor 19% gewijzigd door Verwijderd op 20-02-2003 12:32 ]

Pagina: 1
Reageer