Титла: Пак този iptables
Публикувано от: emagi в Feb 09, 2007, 12:45
Имам следната дилема:
задавам политика DROP на веригата FORWARD ( само да поясня,ротирам нет през LINUX (Slackware 11) машина)!Та искам Windows-ката машина да има само достъп по ftp!
Ето и това,което пиша:
iptables -P FORWARD DROP
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp --syn -m state --state NEW,RELATED -j ACCEPT
И сега идва въпроса,как трябва да е?:
iptables -A FORWARD -p tcp -s 172.16.2.60 -m state --state NEW,RELATED --dport 21 -j ACCEPT
или
iptables -A FORWARD -p tcp --dport 21 -j ACCEPT
КАкто и да го правя,няма ftp връзка с store2.data.bg
Кога се ползва примерно -p tcp -m state --state .............
и кога директно -p tcp --dport .......
Извинявам се,ако е глупав въпроса,но ме интересува много!
Предварително благодаря на отзовалите се!
задавам политика DROP на веригата FORWARD ( само да поясня,ротирам нет през LINUX (Slackware 11) машина)!Та искам Windows-ката машина да има само достъп по ftp!
Ето и това,което пиша:
iptables -P FORWARD DROP
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp --syn -m state --state NEW,RELATED -j ACCEPT
И сега идва въпроса,как трябва да е?:
iptables -A FORWARD -p tcp -s 172.16.2.60 -m state --state NEW,RELATED --dport 21 -j ACCEPT
или
iptables -A FORWARD -p tcp --dport 21 -j ACCEPT
КАкто и да го правя,няма ftp връзка с store2.data.bg
Кога се ползва примерно -p tcp -m state --state .............
и кога директно -p tcp --dport .......
Извинявам се,ако е глупав въпроса,но ме интересува много!
Предварително благодаря на отзовалите се!
Титла: Пак този iptables
Публикувано от: vasilvalchev в Feb 09, 2007, 12:56
Защо ти е само ftp достъп като трябва все пак да има нет на тая машина ?
Титла: Пак този iptables
Публикувано от: bboy в Feb 09, 2007, 13:22
По добре няма ли да е ако просто на входа на рутиращата машина да се пусне само ftp трафика идваш от другата:
тука ethX да е интерфейса на който идва трафика от уиндоус машината. И ще трябва още едно правило да разрешава вече установените връзки.
| Примерен код |
iptables -A INPUT --in-interface ethX -s 172.16.2.60 -p tcp --dport ! 21 -j DROP |
тука ethX да е интерфейса на който идва трафика от уиндоус машината. И ще трябва още едно правило да разрешава вече установените връзки.
Титла: Пак този iptables
Публикувано от: emagi в Feb 09, 2007, 13:32
Въпроса е сления,ще имам изпит,и преподавателя такива "задачки-закачки"!Иска да пуснем само fto примерно!
Титла: Пак този iptables
Публикувано от: emagi в Feb 09, 2007, 13:35
| Цитат (bboy @ Фев. 09 2007,14:22) | ||
По добре няма ли да е ако просто на входа на рутиращата машина да се пусне само ftp трафика идваш от другата:
тука ethX да е интерфейса на който идва трафика от уиндоус машината. И ще трябва още едно правило да разрешава вече установените връзки. |
Относно това,веригите INPUT и OUTPUT тях не искам да ползвам,става дума за FORWARD веригата!Идеи??
Титла: Пак този iptables
Публикувано от: VladSun в Feb 09, 2007, 13:39
Някакви странни правила пишеш 
С тия първите три правила вече си дал на всички(!!!
достъп (поне по tcp)
Малко подсказка:
заредил ли си
ip_nat_ftp
ip_conntrack_ftp
модулите
С тия първите три правила вече си дал на всички(!!!
достъп (поне по tcp)Малко подсказка:
заредил ли си
ip_nat_ftp
ip_conntrack_ftp
модулите
Титла: Пак този iptables
Публикувано от: VladSun в Feb 09, 2007, 13:43
| Цитат (bboy @ Фев. 09 2007,13:22) | ||
По добре няма ли да е ако просто на входа на рутиращата машина да се пусне само ftp трафика идваш от другата:
тука ethX да е интерфейса на който идва трафика от уиндоус машината. И ще трябва още едно правило да разрешава вече установените връзки. |
Освен това, което вече спомена emagi (да доуточня - INPUT веригата на рутера е за пакети предназначени за самия рутер) има и още един прблем - data port-a, който отваря FTP сесията и който не е 21!
Титла: Пак този iptables
Публикувано от: emagi в Feb 09, 2007, 13:45
А е 20,нали?!!
Титла: Пак този iptables
Публикувано от: VladSun в Feb 09, 2007, 13:48
| Цитат (emagi @ Фев. 09 2007,13:45) |
| А е 20,нали?!! |
Еми не винаги
http://slacksite.com/other/ftp.html
За това не се занимавай с портовете, ами си пусни ftp_conntrack и работи с RELATED.
Титла: Пак този iptables
Публикувано от: emagi в Feb 09, 2007, 15:52
ЕЕЕЕЕЕ,голям съм ПЪПЕШ 
Как да стане,като не съм отворил порт 53,а пиша
ftp
open
store2.data.bg
Аде,ако бях да го напиша вместо store2.data.bg 195.149.248.137,щях да Ви спестя много време!
Благодаря на всички!
Как да стане,като не съм отворил порт 53,а пиша
ftp
open
store2.data.bg
Аде,ако бях да го напиша вместо store2.data.bg 195.149.248.137,щях да Ви спестя много време!
Благодаря на всички!