Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Общий по Linux (http://forum.oszone.net/forumdisplay.php?f=9)
-   -   Проблема с iptables (http://forum.oszone.net/showthread.php?t=56494)

m2001 11-11-2005 16:37 372919
Проблема с iptables
 
У меня такая проблема с iptables:
Настраиваю скрипт rc.iptables по мануалу. Запускаю скрипт, все нормально работает. Сохраняю конфиги iptables-save > /etc/sysconfig/iptables.
После перезагрузки пробую подключиться по FTP к серверу, на клиенте выдаёт следующее:
550 Illegal PORT Command.
PORT command failed.

Запускаю опять скрипт - все нормально работает, опять сохраняю конфиги, перегружаюсь и такая фигня.
В логах ничего не пишет. Подскажите в чем может быть проблема? Может где еще пропустил момент в настройке?

P.S.: На сервере стоит RH9.0

sergleo 12-11-2005 00:23 373103
1. Про настройку
Цитата:
iptables
для RH и Fedora было мое сообщение поищите на форуме.... тк именно для них вариант с
Цитата:
iptables-save > /etc/sysconfig/iptables
неподходит...
2. все правила записываются непосредственно в
Цитата:
/etc/sysconfig/iptables
но с определенными ограничениями а не в
Цитата:
скрипт rc.iptables

McVlad 12-11-2005 02:00 373142
550-я ошибка ftp соединения - означает, что клиент пытается работать в Active-mode, а ftp-сервер работает в Passive-mode. Читай - http://www.ipm.kstu.ru/internet/lec/5.php

m2001 14-11-2005 12:43 373730
Цитата:
1. Про настройку
Цитата:
iptables

для RH и Fedora было мое сообщение поищите на форуме.... тк именно для них вариант с
Цитата:
iptables-save > /etc/sysconfig/iptables

неподходит...
Почему это не подходит. Вроде все правила что надо сохраняет. В RH9.0 можно еще сохранять так:
/etc/init.d/iptables save
Если посмотреть скрипт /etc/rc.d/init.d/iptables, там для случая save используется iptables-save.
В любом случае, просмотрев файл /etc/sysconfig/iptables - видно что все правила и цепочки в нем сохранены правильно.

В скрипте используються параметры:
echo "1" /proc/sys/net/ipv4/ip_forward
echo "1" /proc/sys/net/ipv4/conf/all/rp_filter
echo "1" /proc/sys/net/ipv4/conf/all/proxy_arp
echo "1" /proc/sys/net/ipv4/ip_dynaddr

Всё это тоже пофикшено в sysctl.conf

Где еще могут быть грабли зарыты ?

На форуме не нашел сообщения, где описано ограничение при сохранении в RH9.0 с помощью iptables-save.



Цитата:
2. все правила записываются непосредственно в
Цитата:
/etc/sysconfig/iptables

но с определенными ограничениями а не в
Цитата:
скрипт rc.iptables
Это само собой понятно. В данном случае rc.iptables - это скрипт, который содержит набор команд. При запуске, он сбрасывает все существующие правила, и потом создаёт свои c помощью комманд. Но, эти правила создаются в памяти, а команда
iptables-save > /etc/sysconfig/iptables
или
/etc/init.d/iptables save
сохраняет созданые правила из памяти в файл, чтоб при перезагрузке они загружались.


Цитата:
550-я ошибка ftp соединения - означает, что клиент пытается работать в Active-mode, а ftp-сервер работает в Passive-mode. Читай - http://www.ipm.kstu.ru/internet/lec/5.php
Это тоже понятно, только я упомянул про номер ошибки, для того чтоб можно было прикинуть отчего он так ведет себя после перезагрузки (может в правилах чего не хватает и т.д.), а не чтоб узнать что означает данная ошибка.

sergleo 14-11-2005 14:07 373761
Это точно лучше в
Цитата:
Всё это тоже пофикшено в sysctl.conf
Согласен..
Цитата:
В скрипте используються параметры:
echo "1" /proc/sys/net/ipv4/ip_forward
echo "1" /proc/sys/net/ipv4/conf/all/rp_filter
echo "1" /proc/sys/net/ipv4/conf/all/proxy_arp
echo "1" /proc/sys/net/ipv4/ip_dynaddr
НУ например так
Код:
#------------------------------------------------------------------
# Default
*filter

:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

#------------------------------------------------------------
# Unlimited traffic on the loopback interface
-A INPUT  -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

#------------------------------------------------------------
# Stealth Scans and TCP State Flags

# All of the bits are cleared
-A INPUT  -p tcp --tcp-flags ALL NONE -j DROP
-A FORWARD -p tcp --tcp-flags ALL NONE -j DROP
и далее так:
Код:
#------------------------------------------------------------
# Disallowing Connections to Common TCP Unprivileged Server Ports

# X Window connection establishment
-A OUTPUT -o eth1 -p tcp --syn --destination-port 6000:6063 -j REJECT
# X Window: incoming connection attempt
-A INPUT  -i eth1 -p tcp --syn --destination-port 6000:6063 -j DROP

# Establishing a connection over TCP to NFS, OpenWindows, SOCKS or squid
-A OUTPUT -o eth1 -p tcp -m multiport --destination-port 2049,2000,1080,3128,8080 --syn -j REJECT
-A INPUT  -i eth1 -p tcp -m multiport --destination-port 2049,2000,1080,3128,8080 --syn -j DROP

#------------------------------------------------------------
# Disallowing Connections to Common UDP Unprivileged Server Ports
# NFS and lockd
-A OUTPUT -o eth1 -p udp -m multiport --destination-port 2049,4045 -j REJECT
-A INPUT  -i eth1 -p udp -m multiport --destination-port 2049,4045 -j DROP

#------------------------------------------------------------
# DNS Name Server
# DNS Fowarding Name Server or client requests
-A OUTPUT -o eth1 -p udp -s 1.2.3.4 --sport 1024:65535 -d 1.2.3.4 --dport domain -j ACCEPT
-A INPUT  -i eth1 -p udp -s 1.2.3.4  --sport domain -d 1.2.3.4 --dport 1024:65535 -j ACCEPT
Дерзайте... :)

sergleo 14-11-2005 14:15 373764
для ftp я использую правила...
Код:
#------------------------------------------------------------
# ftp (TCP Ports 21, 20)
# Outgoing Local Client Requests to Remote Servers
# Outgoing Control Connection to Port 21
-A OUTPUT -o eth1 -p tcp -s 1.2.3.4 --sport 1024:65535 --dport ftp -j ACCEPT
-A INPUT  -i eth1 -p tcp ! --syn --sport ftp -d 1.2.3.4 --dport 1024:65535 -j ACCEPT
# Incoming Port Mode Data Channel Connection from Port 20
-A INPUT  -i eth1 -p tcp --sport ftp-data -d 1.2.3.4 --dport 1024:65535 -j ACCEPT
-A OUTPUT -o eth1 -p tcp ! --syn -s 1.2.3.4 --sport 1024:65535 --dport ftp-data -j ACCEPT
# Outgoing Passive Mode Data Channel Connection Between Unprivileveg Ports
-A OUTPUT -o eth1 -p tcp -s 1.2.3.4 --sport 1024:65535 --dport 1024:65535 -j ACCEPT
-A INPUT  -i eth1 -p tcp ! --syn --sport 1024:65535 -d 1.2.3.4 --dport 1024:65535 -j ACCEPT
#...............................................................
# Incoming Remote Client Requests to Local Servers
# Incoming Control Connection to Port 21
-A INPUT  -i eth1 -p tcp --sport 1024:65535 -d 1.2.3.4 --dport ftp -j ACCEPT
-A OUTPUT -o eth1 -p tcp ! --syn -s 1.2.3.4 --sport ftp --dport 1024:65535 -j ACCEPT
# Outgoing Port Mode Data Channel Connection to Port 20
-A OUTPUT -o eth1 -p tcp -s 1.2.3.4 --sport ftp-data --dport 1024:65535 -j ACCEPT
-A INPUT  -i eth1 -p tcp ! --syn --sport 1024:65535 -d 1.2.3.4 --dport ftp-data -j ACCEPT
# Incoming Passive Mode Data Channel Connection Between Unprivileved Ports
-A INPUT  -i eth1 -p tcp --sport 1024:65535 -d 1.2.3.4 --dport 1024:65535 -j ACCEPT
-A OUTPUT -o eth1 -p tcp ! --syn -s 1.2.3.4 --sport 1024:65535 --dport 1024:65535 -j ACCEPT
Дерзайте...

sergleo 14-11-2005 15:55 373815
Старая тема по iptables: http://forum.oszone.net/showthread.p...6&page=0&pp=20 (тока это уже прошлое... но для справки сойдет)


Время: 20:29.

Время: 20:29.
© OSzone.net 2001-