PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : ftp ports


buherator
14.12.04, 13:10
Grüß Euch!

Ich hab proftpd auf meinem server laufen. Bei der Firewall hab ich nach außen nur die Ports 20,21,22,80 geöffnet. Über ftp lässt sich das login auch problemlos durchführen (port 21), bei "reading directory" greift der klient aber auf verschiedene ports zu (zb 1058 oder 1056 usw, das variiert immer...)

WIe kann ich nun erreichen, dass meine firewall die ftp ports durchlässt bzw dass ftp nur über 21 rennt?

Danke & tschöö, btm
klemens
14.12.04, 13:28
brauchst connection tracking:

ip_conntrack_ftp

oder mit aktivem ftp sollte es über Port 21,20 gehen.
buherator
14.12.04, 15:47
brauchst connection tracking:
ip_conntrack_ftp
oder mit aktivem ftp sollte es über Port 21,20 gehen.

Danke für die Antwort!
Ich habe jetzt ip_conntrack_ftp als modul kompiliert und in den kernel geladen:

root@luna:~# lsmod | grep ip_conntrack_ftp
ip_conntrack_ftp 71408 0

Leider hilft das auch nichts.
noch ein ausschnitt aus dem script:
...

iptables -A INPUT -t filter -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -t filter -p udp --dport 20 -j ACCEPT
iptables -A INPUT -t filter -p tcp --syn -j DROP 2>/dev/null

Damit sollten doch die Ports 20 und 21 offen sein (sind sie auch), und alle nicht erwähnten zu. Trotz des o.g. Modules komme ich nicht weiter als "reading ftp directory".
Woran kann das liegen?

Danke, btm
buherator
14.12.04, 16:30
so, ich hab jetzt meinen super code nochmal modifiziert, jedoch ohne erfolg:


iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
klemens
14.12.04, 17:01
iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT

Wenn Du der Server bist, dann gehört da wohl --state NEW,ESTABLISHED ...
klemens
14.12.04, 17:01
iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT

Wenn Du der Server bist, dann gehört da wohl --state NEW,ESTABLISHED ...

Außerdem bist Du Zielport ;-) --dport 21