Iptables เพื่ออนุญาตให้ FTP ที่เข้ามา

ฉันต้องการอนุญาตการรับส่งข้อมูล FTP ที่เข้ามา

CentOS 5.4:

นี่คือ/etc/sysconfig/iptablesไฟล์ของฉัน

# Generated by iptables-save v1.3.5 on Thu Oct  3 21:23:07 2013
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [133:14837]
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -p tcp -m tcp --sport 20 -j ACCEPT
COMMIT
# Completed on Thu Oct  3 21:23:07 2013

นอกจากนี้ตามค่าเริ่มต้นโมดูล ip_conntrack_netbios_n กำลังโหลดขึ้นมา

#service iptables restart

Flushing firewall rules:                                   [  OK  ]
Setting chains to policy ACCEPT: filter                    [  OK  ]
Unloading iptables modules:                                [  OK  ]
Applying iptables firewall rules:                          [  OK  ]
Loading additional iptables modules: ip_conntrack_netbios_n[  OK  ]

แต่ปัญหาไม่ได้อยู่กับโมดูลนั้นเพราะฉันพยายามขนถ่ายมันออกไปและก็ยังไม่มีโชค

หากฉันปิดใช้งาน iptables ฉันสามารถถ่ายโอนข้อมูลสำรองของฉันจากเครื่องอื่นไปยัง FTP ได้ หาก iptables บังคับใช้การถ่ายโอนจะล้มเหลว

เซิร์ฟเวอร์ ftp ของคุณต้องการช่องทางในการถ่ายโอนข้อมูล พอร์ต21ถูกใช้เพื่อสร้างการเชื่อมต่อ ดังนั้นเพื่อให้การถ่ายโอนข้อมูลเป็นไปได้คุณจะต้องเปิดใช้งานพอร์ต20ด้วย ดูการกำหนดค่าต่อไปนี้

ก่อนอื่นให้โหลดโมดูลต่อไปนี้เพื่อให้แน่ใจว่าการเชื่อมต่อ ftp แบบพาสซีฟจะไม่ถูกปฏิเสธ

modprobe ip_conntrack_ftp

อนุญาตการเชื่อมต่อ FTP ที่พอร์ต21ขาเข้าและขาออก

iptables -A INPUT  -p tcp -m tcp --dport 21 -m conntrack --ctstate ESTABLISHED,NEW -j ACCEPT -m comment --comment "Allow ftp connections on port 21"
iptables -A OUTPUT -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT -m comment --comment "Allow ftp connections on port 21"

อนุญาตให้พอร์ต FTP 20สำหรับการเชื่อมต่อที่ใช้งานเข้าและออก

iptables -A INPUT  -p tcp -m tcp --dport 20 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT -m comment --comment "Allow ftp connections on port 20"
iptables -A OUTPUT -p tcp -m tcp --dport 20 -m conntrack --ctstate ESTABLISHED -j ACCEPT -m comment --comment "Allow ftp connections on port 20"

ในที่สุดก็อนุญาตให้ FTP ทราฟฟิกขาเข้า

iptables -A INPUT  -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED -j ACCEPT -m comment --comment "Allow passive inbound connections"
iptables -A OUTPUT -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT -m comment --comment "Allow passive inbound connections"

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับปัญหา FTP และไฟร์วอลล์โปรดดูที่: http://slacksite.com/other/ftp.html#active

แก้ไข:เพิ่มเข้าNEWกับกฎอินพุต 21 พอร์ต

ฉันเห็นกฎมากมายเช่นนี้ในบล็อกหลาย ๆ อันและสงสัยว่าทำไมไม่ใช้

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT

พร้อมกับnf_conntrack_ftpโมดูล นี่คือรัดกุมและอ่านได้ซึ่งโดยทั่วไปเป็นสิ่งที่ดีโดยเฉพาะอย่างยิ่งกับไฟร์วอลล์ ...

FWIW ดูเหมือนว่ามีการเปลี่ยนแปลงในเคอร์เนล 4.7 ดังนั้นคุณต้องตั้งค่าnet.netfilter.nf_conntrack_helper=1ผ่านsysctl(เช่นใส่ไว้ใน/etc/sysctl.d/conntrack.conf) หรือใช้

iptables -A PREROUTING -t raw -p tcp --dport 21 -j CT --helper ftp

(ดูที่นี่สำหรับรายละเอียดเพิ่มเติม)

ไคลเอนต์ FTP:

lsmod | grep ftp
modprobe nf_conntrack_ftp
lsmod | grep ftp
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 21 -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 20 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --dport 20 -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

เซิร์ฟเวอร์ FTP:

lsmod | grep ftp
modprobe nf_conntrack_ftp
lsmod | grep ftp
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --dport 20 -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 21 -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 20 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m conntrack --ctstate ESTABLISHED -j ACCEPT

เพื่อสลับระหว่างโหมดพาสซีฟและแอคทีฟที่ฝั่งไคลเอ็นต์

ftp> passive
Passive mode on.
ftp> passive
Passive mode off.

ฉันเชื่อว่าการเพิ่มใหม่คงที่

ตอนนี้ไฟล์ iptables ของฉันมีลักษณะเช่นนี้ ..

# Generated by iptables-save v1.3.5 on Thu Oct  3 22:25:54 2013
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [824:72492]

-A INPUT -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 20:65535 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 20 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 1024:65535 --dport 20:65535 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Thu Oct  3 22:25:54 2013

พิมพ์เป็นคำตอบเนื่องจากอักขระจำนวนมากไม่ได้รับอนุญาตในความคิดเห็น .. ขอบคุณมากสำหรับความช่วยเหลือของคุณ

หากคุณต้องการทั้งการเชื่อมต่อที่ใช้งานและแฝงตัวและยอมรับESTABLISHEDการเชื่อมต่ออยู่แล้วเช่น:

iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT

จากนั้นคุณจะต้องเปิดพอร์ต 21 และเพิ่มกฎพิเศษสำหรับพอร์ตแบบพาสซีฟ ไม่มีกฎเป็นสิ่งจำเป็นสำหรับพอร์ต 20 ในขณะที่มันได้รับการยอมรับแล้วโดยESTABLISHEDกฎดังกล่าวข้างต้น

ก่อนอื่นให้ยอมรับการเชื่อมต่อใหม่ในport 21:

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

จากนั้นเพิ่มตัวช่วย CT สำหรับพอร์ตแฝง1024::

iptables -A PREROUTING -t raw -p tcp --dport 21 -j CT --helper ftp
iptables -A INPUT -p tcp -m conntrack --ctstate RELATED -m helper --helper ftp --dport 1024: -j ACCEPT

ดูสิ่งนี้ด้วย:

• https://github.com/rtsisyk/linux-iptables-contrack-exploit
• http://home.regit.org/wp-content/uploads/2011/11/secure-conntrack-helpers.html

หมายเหตุ:คุณต้องตั้งค่า1024:เป็นในเซิร์ฟเวอร์ FTP ของคุณ: ค้นหาพอร์ตแฝงเริ่มต้นในการกำหนดค่า FTP ของคุณ มิฉะนั้นคุณจะเปิดพอร์ตมากเกินไปซึ่งอาจไม่ใช่ FTP ที่เกี่ยวข้อง

หมายเหตุสำคัญ:ฉันไม่ได้เพิ่มกฎเป็นค่าเริ่มต้นของฉันไปกับOUTPUT iptables -P OUTPUT ACCEPTหมายความว่าฉันเชื่อในสิ่งที่เกิดขึ้นจากกล่องของฉัน นั่นอาจไม่ใช่ตัวเลือกที่ดีโดยเฉพาะในการตั้งค่า NAT

หมายเหตุสำคัญ: FTPS จะไม่ทำงานกับการตั้งค่าดังกล่าวเนื่องจากพอร์ตแฝงถูกซ่อนไว้ (เข้ารหัส) ดังนั้นจึงไม่มีวิธีiptablesเดาพอร์ตที่ดี ดูการเปลี่ยน IPTables เพื่ออนุญาต FTP ผ่าน TLS โดยใช้พอร์ตแบบพาสซีฟและhttps://serverfault.com/questions/811431/are-my-iptables-for-ftps-with-tls-ok