Hej, pisze bo juz nie wiem co mam sadzic na ten temat :) Na serwerze jest ftp - chce aby klienci mogli sie z nim polaczyc - jednoczesnie aby nie mozna sie bylo polaczyc na inna usluge ktore nie jest z osobna wpisywana na firewallu.
Obecnie czesc firewalla (odpowiedzialna za ftp) wyglada tak: iptables -P INPUT DROP ## Make sure NEW tcp connections are SYN packets iptables -A INPUT -i eth0 -p tcp ! --syn -m state --state NEW -j DROP # ICMP stuff iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT # Wszyscy moga podlaczyc sie do FTP/21 iptables -A INPUT -s $ALL -d $LOCALHOST1 -p tcp --dport 21 -j ACCEPT iptables -A INPUT -s $ALL -d $LOCALHOST1 -p udp --dport 21 -j ACCEPT # Wszyscy moga podlaczyc sie do FTP-DATA/20 iptables -A INPUT -s $ALL -d $LOCALHOST1 -p tcp --dport 20 -j ACCEPT UNPRIVPORTS="1024:65535" # Allow ftp outbound. iptables -A INPUT -i eth0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT # 1) Active ftp. # involves connection INbound from remote port 20 to a local port iptables -A INPUT -i eth0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT # 2) Passive ftp. # involves connection outbound from port >1023 to a port >1023 (*)iptables -A INPUT -i eth0 -p tcp --sport $UNPRIVPORTS --dport $UNPRIVPORTS -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport $UNPRIVPORTS --dport $UNPRIVPORTS -m state--state ESTABLISHED,RELATED -j ACCEPT Regulki pochodza ze strony http://www.sns.ias.edu/~jns/security/iptables/rules.html Przy takich ustawieniach PASSIVE ftp nie dziala (nie moze wylistowac katalogu choc sie loguje). Zmiana linijki (*) na --state NEW,ESTABLISHED pomaga ale z kolei otwiera ona wszystkie porty wysokie do nawiazywania polacze bo jest NEW (czy gdzies sie myle??). Jednak mimo nawet takich ustawien jak powyzej bywaja klienci ktorym ftp nie przechodzi - zawsze sa za jakas maskarada - ale nie potrafie znalezc reguly. Czy ktos moze podac jaka regule dla firewalla ktory by na pewno pozwalal przejsc calemu ftp nie odkrywajac wszystkich wysokich portow? Pozdrawiam -- Adrian (Sauron) Siemieniak /,/ .. Who can destroy The Thing, sauron{at}rpg{dot}pl /`/ controls The Thing ... (DUNE)