Главная » Форумы » Администратору » Безопасность

bugs-bunney: работа с ftp-сервером в локалке из интернета

9 сообщений / 0 new
Для комментирования войдите или зарегистрируйтесь
Последнее сообщение
ср, 06/12/2006 - 15:45
#1
Гость
bugs-bunney: работа с ftp-сервером в локалке из интернета

Есть vsftpd - сервер внутри локалки.
Нужно организовать доступ к этому ftp из интернета.

на шлюзе устанавливаю следующие правила дляработы по порту ftp и ftp-data:

INET_IP = ip сетевой карты шлюза в интернете
LOCAL_FTP = ip ftp-сервера в локалке
REMOTE_HOST = ip удаленного клиента

$IPT -t nat -A PREROUTING -p tcp -s $REMOTE_HOST -d $INET_IP --dport 21 -j DNAT --to-destination $LOCAL_FTP
$IPT -t nat -A PREROUTING -p tcp -s $REMOTE_HOST -d $INET_IP --dport 20 -j DNAT --to-destination $LOCAL_FTP

Результат следующий:
Пользователь успешно соединяется
при выпролнении команды ls -al подвисает.
По локалке все ок!
Я так понимаю не хватает к-то правил... только каких ?

Верх
Теги:
ср, 06/12/2006 - 20:14
#2
frug (не проверено)

Правила тут не при чём, не хватает модуля ядра NetFilter, который называется ip_nat_ftp
лечится так: [color=green]modprobe ip_nat_ftp[/color]

<span class='smallblacktext'>[ Редактирование 06.12.2006 - 19:21:08 ]</span>

Верх
чт, 07/12/2006 - 00:04
#3
sl1m (не проверено)

[quote=bugs-bunney]Есть vsftpd - сервер внутри локалки.
Нужно организовать доступ к этому ftp из интернета.
[/quote]
снаружи фтп юзать надо over ssl

Верх
чт, 07/12/2006 - 10:46
#4
bugs-bunney (не проверено)

[quote=frug]Правила тут не при чём, не хватает модуля ядра NetFilter, который называется ip_nat_ftp
лечится так: [color=green]modprobe ip_nat_ftp[/color]

[/quote]

И все? То есть скрипт теперь будет выглядеть вот так :

/sbin/modprobe ip_nat_ftp
INET_IP = ip сетевой карты шлюза в интернете
LOCAL_FTP = ip ftp-сервера в локалке
REMOTE_HOST = ip удаленного клиента

$IPT -t nat -A PREROUTING -p tcp -s $REMOTE_HOST -d $INET_IP --dport 21 -j DNAT --to-destination $LOCAL_FTP
$IPT -t nat -A PREROUTING -p tcp -s $REMOTE_HOST -d $INET_IP --dport 20 -j DNAT --to-destination $LOCAL_FTP

!help

_________________________________________________________________________________________

[quote=sl1m]
снаружи фтп юзать надо over ssl[/quote]

На это пока мозгов не хватает :-) хотя надо бы..

Верх
чт, 07/12/2006 - 11:17
#5
frug (не проверено)

[b]bugs-bunney[/b], это уже другой разговор, как ты будешь подгружать модуль, в скрипте файервола или при загрузке системы, вообще в системе инициализации ОС есть свои механизмы для загрузки модулей.

[color=red]Кто нибудь перенесите тему из раздела "Безопасность", а то она здесь как то не в тему...[/color]
<span class='smallblacktext'>[ Редактирование 07.12.2006 - 10:19:20 ]</span>

Верх
чт, 07/12/2006 - 13:12
#6
bugs-bunney (не проверено)

Ну зачем так. IPTABLES не безопастность?
В общем получилось
Спасибо.

К стати ip_conntrack_ftp за что отвечает?

Верх
чт, 07/12/2006 - 14:57
#7
frug (не проверено)

ip_conntrack_ftp это модуль трассировщика ftp соединений, а нужен он для адекватной интерпретации движком файервола трафика специфичного для протокола ftp, а точней для реализации правил основанных на критерии state, таких как ESTABLISHED / RELATED ... возможно что то ещё...

[blockquote]Ну зачем так. IPTABLES не безопастность? [/blockquote]
А ты разве вопрос безопасности рассматривал ?

<span class='smallblacktext'>[ Редактирование 07.12.2006 - 14:00:41 ]</span>

Верх
чт, 07/12/2006 - 16:56
#8
bugs-bunney (не проверено)

Ну да
Чтоб лишнего не пооткрывать
инче так можно

$IPT -t nat -A PREROUTING -p tcp -s $REMOTE_HOST -d $INET_IP -j DNAT --to-destination $LOCAL_FTP
все на все поты

Верх
сб, 07/04/2007 - 19:18
#9
Nas_tradamus (не проверено)

Хех.... Вчера на эти же грабли наступал - весь день не мог понять почему при подключении к FTP извне "пакеты как-то странно ходят", в то время как с остальными сервисами все нормально :-P. Потом сдался и пожаловался в гугл "FTP + iptables" и все встало на свои места )).

Верх
RSS-материал