[rlug] Re: ftp si iptables

Wed, 11 Dec 2002 01:42:20 -0800 

M-am gandit si la asta, dar nu cred ca e asa.

ftp> pass
Passive mode on.
ftp> ls
227 Entering Passive Mode (xxx,xxx,xxx,xxx,173,97).
ftp: connect: Connection refused
ftp>


Adrian Rapa wrote:
hmm... mie unu mi se pare, dat fiind ca pe unele merge si pe altele nu,
ca cele de pe care nu merge, nu folosesc passive mode pentru ftp.

Adrian

----- Original Message ----- From: "George Mihalcea" <[EMAIL PROTECTED]>
To: "rlug" <[EMAIL PROTECTED]>
Sent: Wednesday, December 11, 2002 10:58 AM
Subject: [rlug] ftp si iptables



Incerc sa setez pe calculatorul meu un firewall cu iptables. Am 2 placi de retea si incerc sa simultez un router cu eth0 catre reteaua interna si mai multe placi de retea catre exterior, si de aceea folosesc ! eth0 ca interfata pe unde intra pachetele.
Deocamdata testez pe INPUT.

Problema este ca pentru ftp am pus regulile:

iptables -t filter -A INPUT -p tcp -i ! eth0 --dport 21 --syn -j ACCEPT
iptables -t filter -A INPUT -p tcp -i ! eth0 --dport 21 -j ACCEPT
iptables -t filter -A INPUT -p tcp -i ! eth0 --dport 20 --syn -j ACCEPT
iptables -t filter -A INPUT -p tcp -i ! eth0 --dport 20 -j ACCEPT

si de pe unele calculatoare functioneaza ftp-ul absolut normal, de pe altele in schimb nu functioneaza decat conectarea si comanda "cd". Comenzile "ls" si "get" nu functioneaza.
Nu stiu daca e concidenta sau nu, dar calculatoarele de pe care nu functioneaza au red hat 8.0 pe ele.
Am incercat din command prompt si de pe un windows, si functioneaza si de acolo.

Explicatia e faptul ca acele calculatoare pentru care ftp-ul nu functioneaza incearca sa se conecteze pe porturi inalte (in loc de 20) pentru comenzile ls si get. Daca as accepta conexiuni pe porturile inalte, ar insemna sa renunt la ceea ce vreau eu de fapt sa fac cu acest firewall, si anume sa permit conectarea numai la anumite porturi, iar la restul sa dau drop.

As vrea sa stiu daca exista vreo solutie pentru a rezolva problema asta.
Multumesc.



---
Pentru dezabonare, trimiteti mail la [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'.
REGULI, arhive si alte informatii: http://www.lug.ro/mlist/



---
Pentru dezabonare, trimiteti mail la [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'.
REGULI, arhive si alte informatii: http://www.lug.ro/mlist/




---
Pentru dezabonare, trimiteti mail la [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'.
REGULI, arhive si alte informatii: http://www.lug.ro/mlist/


Raspunde prin e-mail lui