Значи пробвах с
ptables -A INPUT -m helper --helper ftp-2221
после с
ptables -A INPUT -m helper --helper ftp-2221 -j ACCEPT
но пак се достига до същото положение.

Този модул трябва от кернела да го добавя нали?
Къде по-точно мога да го намеря?

vlad73:
Това не можах да разбера как да го добавя в iptables.
Иначе го прочетох.
Клиента няма firewall. От моя Уиндоус, от друг и от още едно fbsd съм пробвал. Уиндоусите нямат файруол. Машините са от локалната мрежа, в която е и въпросния линукс генту.

Иначе firewall-a заприлича на това

#!bin/sh
ipt=/sbin/iptables
$ipt -F
$ipt -X
$ipt -t nat -X
$ipt -t nat -F
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
$ipt -t mangle -X
$ipt -t mangle -F
$ipt -P INPUT DROP
$ipt -P OUTPUT ACCEPT
$ipt -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A INPUT -i lo -j ACCEPT
$ipt -A INPUT -p tcp -s 192.168.1.200 --dport 22 -j ACCEPT
$ipt -A INPUT -p tcp -s 192.168.1.200 --dport 2221 -j ACCEPT
$ipt -A INPUT -p tcp -s 192.168.1.12 --dport 2221 -j ACCEPT
$ipt -A INPUT -p tcp  --dport 443 -j ACCEPT
$ipt -A INPUT -p tcp  --dport 80 -j ACCEPT
$ipt -A INPUT -p tcp  -s localhost -j ACCEPT


10x to dr-who  

33325
33327
33329
при всеки следващ опит нарастват
значи са на рандом порт...
отвратителна работа '>

И мене ме устройва да го направя по този начин.
Нещо се затруднявам да намеря в proftpd такава секция...

Hapkoc:
не се стига до там.
Точно преди командата /list спира... и след малк изкарва гореспоменатата грешка.

vlad73:
Ще пробвам с ip_conntrack_ftp...
А как точно си го направил?
В смисъл допуснал си 20порт, аз пробвах така, но уви '>

ftp-то ще се ползва само от локалната мрежа
аз разрешавам 1 Ip
iptables - D INPUT -p tcp --dport 2221 -s 192.168.1.200 -j ACCEPT
iptables - D INPUT -p tcp --dport 20 -s 192.168.1.200 -j ACCEPT

клиента е настроен в passive mode

пробвах, но пак не става....

В FileZilla виждам следното
227 Entering Passive Mode (192,168,1,99,130,19)

като дам нова връзка
227 Entering Passive Mode (192,168,1,99,130,21)

пак нова връзка
227 Entering Passive Mode (192,168,1,99,130,23)
и т.н.

vlad73:
Перфектно '>
Благодаря много
явно този ред, които си маркирал оправя нещата
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Само един проблем имам
пуснал сум proftpd na 2221 порт и от ftp клиента взимам следното съобщение:
Connecting to 192.168.1.99:2221 ...
Status:   Connected with 192.168.1.99:2221. Waiting for welcome message...
Response:   220 ProFTPD 1.2.10 Server (ProFTPD Default Installation) [192.168.1.99]
Command:   USER simo
Response:   331 Password required for simo.
Command:   PASS *******
Response:   230 User simo logged in.
Command:   FEAT
Response:   211-Features:
Response:    MDTM
Response:    REST STREAM
Response:    SIZE
Response:   211 End
Command:   SYST
Response:   215 UNIX Type: L8
Status:   Connected
Status:   Retrieving directory listing...
Command:   PWD
Response:   257 "/" is current directory.
Command:   TYPE A
Response:   200 Type set to A
Command:   PASV
Response:   227 Entering Passive Mode (192,168,1,99,129,247).
Command:   LIST
Error:   Transfer channel can't be opened. Reason: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond.
Error:   Could not retrieve directory listing

В man iptables намерих:

string  can  be  "ftp"  for  packets related to a ftp-session on
              default port.  For other ports append -portnr to the value,  ie.
              "ftp-2121".

Но нещо не успях да го добавя

На какво може да се дължи?
ftp-то бачка, щото като спра iptables-restore /etc/iptables.bak
и няма проблем

Здравейте !

Искам да си настроя някакъв прост firewall. Използвам Linux Gentoo 2005.1 Linux kernel 2-6.12 iptables.
Идеята, която искам да постигна е нещо от рода на ...отказ на всичко, освен на някои нужни портове - 80,443..

Прегледах man iptables,малко из гугъл и много из форума '>
Пробвах с нещо, което беше обявено като просто и работещо:
iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT

След всичко това...направо загубих връзка към машината си '>)
Имам само една мрежова карта, не искам правя някакви пренасочвания и т.н. (не е рутер).
Тъй като машината ще се вижда през интернет, искам да е поне малко засигурен.
Дори пробвам неща от типа на фтп да не е на 21 порт а на 3321 например.
Може ли някой да ми помогне с помощен скрипт, или поне да ме насочи някъде, където е по... по за прости хора написано така да се каже '>

Благодаря!

Така не става ли?

useradd юзъра
passwd  юзъра
?

Оправих го.
Проблема е бил другаде.
Изтрих директориите през UNIX-a и ги създадох през фтп-то със неговият юзър
Благодаря !

Махнах секцията. И аз си мислех че не беше нужна, тъй като работеше и без нея.
махнах файла ftpusers логнах се и....

Status:   Directory listing successful
Command:   CWD /db/
Response:   250 CWD command successful
Command:   MKD New folder
Response:   550 New folder: Permission denied

какво имаш впредив да комбинирам двете Default root i dir
на юзъра - simo - home dir-a mu e /data....

Gentoo + proftpd

Не искам да се ползва анонимно, а само от юзъри в unixa.
Добавил съм юзър simo (от /etc/passw.. съм направил /bin/false и home dir е /data/simo)
Значи юзъра се логва. Може да създава директории,да трие  и т.н. само в /data/simo
Но когато искам да направя промяна в някоя от поддиректориите /data/simo/mp3 ми казва access denied...
Защо така?Искам и в тях да мога да пиша '>

конфига е нещо такова:
ServerName          "ProFTPD Default Installation"
ServerType          standalone
DefaultServer       on
RequireValidShell   off
AuthPAM             off
AuthPAMConfig       ftp

Port                            21
Umask                           022
MaxInstances                    30

User                            ftp
Group                           ftp

<Directory />
  AllowOverwrite                on
</Directory>
# A basic anonymous configuration, no upload directories.
#<Anonymous ~ftp>
#  User                         ftp
#  Group                                ftp
#
#  # We want clients to be able to login with "anonymous" as well as "ftp"
#  UserAlias                    anonymous ftp
#
#  # Limit the maximum number of anonymous logins
#  MaxClients                   10
#
#  # We want 'welcome.msg' displayed at login, and '.message' displayed
#  # in each newly chdired directory.
#  DisplayLogin                 welcome.msg
#  DisplayFirstChdir            .message
#
#  # Limit WRITE everywhere in the anonymous chroot
#  <Limit WRITE>
#    DenyAll
#  </Limit>
#
#</Anonymous>

DefaultRoot ~

<Anonymous ~simo>
  User                          simo
  MaxClients            1
 <Directory incoming>
  <Limit READ WRITE DIRS STOP CWD>
    AllowAll
  </Limit>
 </Directory>
</Anonymous>

Не сайта го отварям https://..... дори нещо не успях да направя редиректа http -> https
нещо друго е, но защо не знам.
Защото самото съобщение, когато отварям сайта показва че има сертификат, пита ме дали съм съгласен..да приема и т.н.
Да не би да има значение как правя двойката ключове и генерирам сертификата...

Здравейте !

Имам инсталирани Linux Gentoo apache2 + mod_ssl + mod_php...
Генерирал съм двойка ключове + сертификати (както е показано и тука)
http://www.openssl.org/docs/HOWTO/keys.txt
http://www.openssl.org/docs/HOWTO/certificates.txt

Когато зареждам страницата - няма проблем - излизат всичките съобщения че има сертификат и т.н..., но долу в дясно на браузъра (ИЕ6,7)не се появява иконката с катинарчето - SecureBit...
На какво може да се дължи това.
Засега сървъра е в локална мрежа - 192.168.XXX.XXX

Има ли връзка м/у CN,O, OU  и името на компютъра?

Благодаря

В крайна сметка...
нещо по въпроса за Status page на самбата?
Да погледна някой файлове, опции?