摩托學園討論區

[huki]

因為m$上一套ftp軟體Ser-v的關係
現在ftp有一個很特別的功能叫fxp(ftp to ftp)
可以直接兩個ftp對傳
而小弟是用proftpd來架
查了文件
只要在/etc/proftp.conf加入

代碼: 選擇全部

#support FXP
AllowForeignAddress             on   # Allow FXP (FTP to FTP transfers)
PassivePorts 49152 65534


可是這時iptables要如何去修改呢？
因為設定iptables之後就造成fxp無法傳輸了
而我的iptables規則是

代碼: 選擇全部

#!/bin/sh
/sbin/modprobe iptable_filter
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe ipt_state
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_REDIRECT
/sbin/modprobe ipt_LOG

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -t nat -F
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#NAT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 115 -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp --dport 3888 -j ACCEPT
iptables -A INPUT -p tcp --dport 3889 -j ACCEPT
iptables -A INPUT -p tcp --dport 3890 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


麻煩各位大大幫幫忙了~~~

[企鵝狂]

http://www.smartftp.com/support/kb/index.php/14
稍微看了一下fxp的工作原理
The FXP client tells the destination FTP to listen for a connection by sending a "PASV" command. The source FTP then connects to the data port reported by the destination server (after a successful PASV command).

FTP Client告訴destination FTP在某個port等待,然後告訴source FTP去連接到這個port..而不是自己去連接..
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
這樣子這個規則就行不通了..

不知道可以怎麼辦

有些很古老的文章會提到
iptables有fxp支援
例如https://lists.netfilter.org/pipermail/netfilter/2001-October/026702.html
不過現在應該找不到了吧..找到的話kernel 2.6應該也不能用

[huki]

我查了一些文章
我的防火牆改成

代碼: 選擇全部

#!/bin/sh
#載入模組
/sbin/modprobe iptable_filter
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe ipt_state
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_REDIRECT
/sbin/modprobe ipt_LOG

#先將原來的iptables清除，再次建立
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -Z
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
iptables -P INPUT   DROP
iptables -P OUTPUT  ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING  ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT      ACCEPT

#限定可進入的port
iptables -A INPUT -p tcp --dport 21 -j ACCEPT      #ftp
iptables -A INPUT -p tcp --dport 22 -j ACCEPT      #ssh
iptables -A INPUT -p tcp --dport 80 -j ACCEPT      #www
iptables -A INPUT -p tcp --dport 115 -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -j ACCEPT    #mysql
iptables -I INPUT -i eth0 -p TCP --syn -j DROP
iptables -I FORWARD -i eth0 -p TCP ! --syn -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT


雖然ftp可以正常進去了
不過還是沒辦法使用fxp的功能
不過在這一篇中好像有提到相似的問題
麻煩會的大大教一下

代碼: 選擇全部

http://www.study-area.org/linux/servers/linux_nat.htm


[企鵝狂]

那篇文章有講到fxp嘛?

代碼: 選擇全部

#support FXP
AllowForeignAddress             on   # Allow FXP (FTP to FTP transfers)
PassivePorts 49152 65534

所以你應該開放49152-65534的連線吧
iptables -A INPUT -m multiport -p tcp --dports 49152:65534 -j ACCEPT

如果你要確定只有ftp的程式可以連線的話..
可以配合owner這個extension..

[huki]

這個好像也不可行
唉~~~~
有沒有大大可以協助一下呢？
麻煩了

[企鵝狂]

感覺你這個也很奇怪..
iptables -I INPUT -i eth0 -p TCP --syn -j DROP

把
iptables -A INPUT -m multiport -p tcp --dports 49152:65534 -j ACCEPT
改成
iptables -I INPUT -m multiport -p tcp --dports 49152:65534 -j ACCEPT
試試看

還有你是從linux傳到外面or外面傳進來也有差別

[huki]

代碼: 選擇全部

iptables v1.2.11: invalid port/service `49152:65534' specified
Try `iptables -h' or 'iptables --help' for more information.


會出現這樣的錯誤

代碼: 選擇全部

iptables -I INPUT -i eth0 -p TCP --syn -j DROP


我也不太清楚這行到底要做什麼的

代碼: 選擇全部

還有你是從linux傳到外面or外面傳進來也有差別


理論上應該都要有吧！

[企鵝狂]

代碼: 選擇全部

iptables v1.2.11: invalid port/service `49152:65534' specified
Try `iptables -h' or 'iptables --help' for more information.


會出現這樣的錯誤

猜測你沒有mport或multiport的module

代碼: 選擇全部

iptables -I INPUT -i eth0 -p TCP --syn -j DROP


我也不太清楚這行到底要做什麼的

趕快搞清楚吧..
說不定這行會讓你的電腦被入侵format喔..

代碼: 選擇全部

還有你是從linux傳到外面or外面傳進來也有差別


理論上應該都要有吧！

喔..可能我沒有講清楚..
我的意思是說..
...好難講..我覺得有差..
因為我用lftp的fxp功能是像這樣

open ftp.kernel.org
get index.html -o ftp://test:test@ftp.myftp.com/index.html
這時候kernel.org跟myftp.com會有一端用passive連線..
被連線的那端..應該要把port開放..

所以我才說..你上面的PassivePorts 49152 65534
表示ftp server等待別人連近來到49152~65534之間以建立data connection..

不知道我這樣講有沒有清楚..
好像表達的很差..