Изпечатай

[emagi]

Имам следната дилема:
задавам политика DROP на веригата FORWARD ( само да поясня,ротирам нет през LINUX (Slackware 11) машина)!Та искам Windows-ката машина да има само достъп по ftp!
Ето и това,което пиша:
iptables -P FORWARD DROP
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp --syn -m state --state NEW,RELATED -j ACCEPT
И сега идва въпроса,как трябва да е?:

iptables -A FORWARD -p tcp -s 172.16.2.60 -m state --state NEW,RELATED --dport 21 -j ACCEPT

или

iptables -A FORWARD -p tcp --dport 21 -j ACCEPT

КАкто и да го правя,няма ftp връзка с store2.data.bg
Кога се ползва примерно -p tcp -m state --state .............
и кога директно -p tcp --dport .......
Извинявам се,ако е глупав въпроса,но ме интересува много!
Предварително благодаря на отзовалите се!

[vasilvalchev]

Защо ти е само ftp достъп като трябва все пак да има нет на тая машина ?

[bboy]

По добре няма ли да е ако просто на входа на рутиращата машина да се пусне само ftp трафика идваш от другата:

Примерен код

iptables -A INPUT --in-interface ethX -s 172.16.2.60 -p tcp --dport ! 21 -j DROP

тука ethX да е интерфейса на който идва трафика от уиндоус машината. И ще трябва още едно правило да разрешава вече установените връзки.

[emagi]

Въпроса е сления,ще имам изпит,и преподавателя такива "задачки-закачки"!Иска да пуснем само fto примерно!

[emagi]

Цитат (bboy @ Фев. 09 2007,14:22)

По добре няма ли да е ако просто на входа на рутиращата машина да се пусне само ftp трафика идваш от другата: Примерен код iptables -A INPUT --in-interface ethX -s 172.16.2.60 -p tcp --dport ! 21 -j DROP тука ethX да е интерфейса на който идва трафика от уиндоус машината. И ще трябва още едно правило да разрешава вече установените връзки.

Относно това,веригите INPUT и OUTPUT тях не искам да ползвам,става дума за FORWARD веригата!Идеи?? '>  '>

[VladSun]

Някакви странни правила пишеш '>
С тия първите три правила вече си дал на всички(!!!'> достъп (поне по tcp)

Малко подсказка:
заредил ли си

ip_nat_ftp
ip_conntrack_ftp

модулите '>

[VladSun]

Цитат (bboy @ Фев. 09 2007,13:22)

По добре няма ли да е ако просто на входа на рутиращата машина да се пусне само ftp трафика идваш от другата: Примерен код iptables -A INPUT --in-interface ethX -s 172.16.2.60 -p tcp --dport ! 21 -j DROP тука ethX да е интерфейса на който идва трафика от уиндоус машината. И ще трябва още едно правило да разрешава вече установените връзки.

Освен това, което вече спомена emagi (да доуточня - INPUT веригата на рутера е за пакети предназначени за самия рутер) има и още един прблем - data port-a, който отваря FTP сесията и който не е 21!

[emagi]

А е 20,нали?!! '>  '>  '>

[VladSun]

Цитат (emagi @ Фев. 09 2007,13:45)

А е 20,нали?!! '>  '>  '>

Еми не винаги '>

http://slacksite.com/other/ftp.html

За това не се занимавай с портовете, ами си пусни ftp_conntrack и работи с RELATED.

[emagi]

ЕЕЕЕЕЕ,голям съм ПЪПЕШ      
Как да стане,като не съм отворил порт 53,а пиша
ftp
open
store2.data.bg
Аде,ако бях да го напиша вместо store2.data.bg 195.149.248.137,щях да Ви спестя много време!
Благодаря на всички!