Re: vsftpd и активный firewal
хм... большое спасибо за высказывания на другой порт пересаживать не имею права - уже достаточно много пользователей этого сервера и всех их предупредить просто невозможно, я их просто не знаю... к тому же квалификация многих из этих пользователей оставляет желать лучшего, а разбираться с тем, что у них где-то что-то не работает - тоже работа не из приятных... так что сервер останется на стандартном, 21м, порту... про fail2ban- посмотрел - вроде как неплоха штучка, надо попробовать... как говориться на безрыбье и рак рыба... если будет глючить - всегда можно написать пару скриптов руками, они будут просты как валенки, но при этом будут выполнять свою функцию... Всем спасибо за дискуссию!
Re: vsftpd и активный firewal
Oleg Rybnikov пишет: >> Некоторое время назад пробегала проблема с iptables и модулем >> ip_conntrack_ftp, >> который не работал, если порт был не 21 и если все это хозяйство за NAT >> стоит. > а оно стоит за NAT разве? ;) На самом деле ip_conntrack_ftp занимается лишь слежением за FTP сессией для вычисления DATA соединений, получающих статус RELATED в conntrack. И благодаря ему FTP сервер может открывать DATA порт не на 20-м порту, а на любом случайном >1024 (как это умеет делать, например, vsftpd), а в iptables достаточно лишь сказать принимать входящие RELATED сессии, и тогда DATA соединения на эти случайные порты будут вычисляться сами и проходить через firewall. Без модуля же надо явно открывать DATA порты в iptables, что не очень элегантно. А вот при FTP сервере, запущенном на порту отличном от 21-го, надо явно информировать модуль соединения по каким портам прослушивать. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: vsftpd и активный firewal
В Срд, 28/01/2009 в 18:15 +0300, Mikhail A Antonov пишет: > 28/01/2009 17:44 (GMT +3) Oleg Rybnikov > > Mikhail A Antonov пишет: > > > 28/01/2009 17:00 (GMT +3) Oleg Rybnikov > > > > > >> hi > > >> > > >> повесь ftp на порт отличный от стандартного и в логах будет чисто > > > > > > И лови грабли при использовании contrack :-/ > > > Это вам не ssh. > > > > ловить грабли fail2ban конечно намного приятнее )) > > и кстати причем здесь контрак? поясните плиз ) > > > > ЗЫ у самого крутится proftpd на левом порту > Некоторое время назад пробегала проблема с iptables и модулем > ip_conntrack_ftp, > который не работал, если порт был не 21 и если все это хозяйство за NAT стоит. > Оно конечно приятнее чем подвисания fail2ban, но я так, на всякий случай > отметил > что могут быть такие вот грабли. У меня были эти грабли, всё делал по факам, а оно не работает! Оказалось мешала опция маскарада proftpd, которая осталась по историческим причинам. -- Покотиленко Костик -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: vsftpd и активный firewal
28/01/2009 18:26 (GMT +3) Stanislav Kruchinin > Sapytsky Ilya wrote: > > Добрый день! > > Есть сервер с vsftpd на борту. Не то, чтобы очень нагруженный, но > > всё-таки... > > Т.к. невозможно определить круг использования по ip то пришлось открыть > > ftp всему интернету... > > Если нагрузка небольшая, то можно перейти на sftp (FTP over SSH), висящем > на левом порту. Никакого идиотского "активного режима" и сопутствующих > костылей для iptables и никаких блокирующих по IP демонов. It just works. Угу, если это возможно - наверное это лучший вариант. ИМХО. -- Best regards, Mikhail signature.asc Description: This is a digitally signed message part.
Re: vsftpd и активный firewal
Sapytsky Ilya wrote: > Добрый день! > Есть сервер с vsftpd на борту. Не то, чтобы очень нагруженный, но > всё-таки... > Т.к. невозможно определить круг использования по ip то пришлось открыть ftp > всему интернету... Если нагрузка небольшая, то можно перейти на sftp (FTP over SSH), висящем на левом порту. Никакого идиотского "активного режима" и сопутствующих костылей для iptables и никаких блокирующих по IP демонов. It just works. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: vsftpd и активный firewal
28/01/2009 17:44 (GMT +3) Oleg Rybnikov > Mikhail A Antonov пишет: > > 28/01/2009 17:00 (GMT +3) Oleg Rybnikov > > > >> hi > >> > >> повесь ftp на порт отличный от стандартного и в логах будет чисто > > > > И лови грабли при использовании contrack :-/ > > Это вам не ssh. > > ловить грабли fail2ban конечно намного приятнее )) > и кстати причем здесь контрак? поясните плиз ) > > ЗЫ у самого крутится proftpd на левом порту Некоторое время назад пробегала проблема с iptables и модулем ip_conntrack_ftp, который не работал, если порт был не 21 и если все это хозяйство за NAT стоит. Оно конечно приятнее чем подвисания fail2ban, но я так, на всякий случай отметил что могут быть такие вот грабли. -- Best regards, Mikhail signature.asc Description: This is a digitally signed message part.
Re: vsftpd и активный firewal
Mikhail A Antonov пишет: >> повесь ftp на порт отличный от стандартного и в логах будет чисто > И лови грабли при использовании contrack :-/ А если указать в параметрах модуля на какие порты обращать внимание? % modinfo nf_conntrack_ftp filename: /lib/modules/2.6.27-8-eeepc/kernel/net/netfilter/nf_conntrack_ftp.ko alias: ip_conntrack_ftp ... parm: ports:array of ushort parm: loose:bool -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: vsftpd и активный firewal
28/01/2009 17:00 (GMT +3) Oleg Rybnikov > hi > > повесь ftp на порт отличный от стандартного и в логах будет чисто И лови грабли при использовании contrack :-/ Это вам не ssh. -- Best regards, Mikhail signature.asc Description: This is a digitally signed message part.
Re: vsftpd и активный firewal
hi повесь ftp на порт отличный от стандартного и в логах будет чисто -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: vsftpd и активный firewal
-[ Sapytsky Ilya 27/01/2009 16:34 (GMT +3) > Добрый день! > Есть сервер с vsftpd на борту. Не то, чтобы очень нагруженный, но > всё-таки... > Т.к. невозможно определить круг использования по ip то пришлось открыть ftp > всему интернету... > Очень достали люди, которые пытаются подобрать пароль к моему ftp.. > например еще не прошло и дня, чтобы кто-то не подбирал пароль к > пользователю Administrator, которого конечно же просто нет :) vsftp хорошая > штука, настроил как надо, всё по уму и враг не пройдёт, но флудят в логи > без дела... > Подскажите, как можно более грамотно сделать блокировку ip этих флудеров? > Просто скрипт - имхо банально и наверняка должны существовать системы, > которые блокируют например ip на некоторое время за, скажем 20, > неправильных попыток набора пароля за 1-2 минуты... > Могу, конечно же, написать скрипт, который будет добавлять в iptables > правило с последующим его удалением, но есть же greylist для почты, может и > ftp фронте чего придумали? > Спасибо... Посоветовал бы тебе fail2ban, да вот только оно работает не всегда - частенько "повисает" при logrotate/logcheck и лечится только kill -9 с последующим запуском. Специально повторить не удается. Может работать месяц, а может каждый день виснуть. -- Best regards, Mikhail signature.asc Description: This is a digitally signed message part.
vsftpd и активный firewal
Добрый день! Есть сервер с vsftpd на борту. Не то, чтобы очень нагруженный, но всё-таки... Т.к. невозможно определить круг использования по ip то пришлось открыть ftp всему интернету... Очень достали люди, которые пытаются подобрать пароль к моему ftp.. например еще не прошло и дня, чтобы кто-то не подбирал пароль к пользователю Administrator, которого конечно же просто нет :) vsftp хорошая штука, настроил как надо, всё по уму и враг не пройдёт, но флудят в логи без дела... Подскажите, как можно более грамотно сделать блокировку ip этих флудеров? Просто скрипт - имхо банально и наверняка должны существовать системы, которые блокируют например ip на некоторое время за, скажем 20, неправильных попыток набора пароля за 1-2 минуты... Могу, конечно же, написать скрипт, который будет добавлять в iptables правило с последующим его удалением, но есть же greylist для почты, может и ftp фронте чего придумали? Спасибо...
