Iptables для дозволу вхідного FTP

Я хочу дозволити вхідний FTP-трафік.

CentOS 5.4:

Це мій /etc/sysconfig/iptablesфайл.

# Generated by iptables-save v1.3.5 on Thu Oct  3 21:23:07 2013
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [133:14837]
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -p tcp -m tcp --sport 20 -j ACCEPT
COMMIT
# Completed on Thu Oct  3 21:23:07 2013

Також за замовчуванням завантажується модуль ip_conntrack_netbios_n.

#service iptables restart

Flushing firewall rules:                                   [  OK  ]
Setting chains to policy ACCEPT: filter                    [  OK  ]
Unloading iptables modules:                                [  OK  ]
Applying iptables firewall rules:                          [  OK  ]
Loading additional iptables modules: ip_conntrack_netbios_n[  OK  ]

Але проблема не в тому модулі, тому що я намагався його вивантажити і все одно не пощастило.

Якщо я відключую iptables, я можу передати резервну копію з іншої машини на FTP. Якщо iptables застосовується, передача не вдалася.

Ваш ftp-сервер потребує каналу для передачі даних. Порт 21використовується для встановлення з'єднання. Отже, щоб зробити передачу даних можливою, вам також потрібно ввімкнути порт 20. Дивіться наступну конфігурацію

Спочатку завантажте наступний модуль, щоб переконатися, що пасивні з'єднання ftp не відхилені

modprobe ip_conntrack_ftp

Дозволити з'єднання FTP на 21вхідних та вихідних портах

iptables -A INPUT  -p tcp -m tcp --dport 21 -m conntrack --ctstate ESTABLISHED,NEW -j ACCEPT -m comment --comment "Allow ftp connections on port 21"
iptables -A OUTPUT -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT -m comment --comment "Allow ftp connections on port 21"

Дозволити FTP-порт 20для активних вхідних та вихідних з'єднань

iptables -A INPUT  -p tcp -m tcp --dport 20 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT -m comment --comment "Allow ftp connections on port 20"
iptables -A OUTPUT -p tcp -m tcp --dport 20 -m conntrack --ctstate ESTABLISHED -j ACCEPT -m comment --comment "Allow ftp connections on port 20"

Нарешті, дозволити FTP пасивний вхідний трафік

iptables -A INPUT  -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED -j ACCEPT -m comment --comment "Allow passive inbound connections"
iptables -A OUTPUT -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT -m comment --comment "Allow passive inbound connections"

Докладніше про проблеми FTP та брандмауера див. На веб-сайті: http://slacksite.com/other/ftp.html#active

Редагувати: До NEWпорта 21 додано правило введення.

Я бачив такі обширні правила вже в декількох блогах і т. Д. І замислювався, чому не просто використовувати

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT

разом з nf_conntrack_ftpмодулем. Це більш стисло і читабельно, що, як правило, добре, особливо з брандмауерами ...

FWIW, здається, що в ядрі 4.7 відбулася зміна, так що вам або потрібно встановити net.netfilter.nf_conntrack_helper=1через sysctl(наприклад, помістити його /etc/sysctl.d/conntrack.conf) або використовувати

iptables -A PREROUTING -t raw -p tcp --dport 21 -j CT --helper ftp

(детальніше див. тут )

FTP-клієнт:

lsmod | grep ftp
modprobe nf_conntrack_ftp
lsmod | grep ftp
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 21 -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 20 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --dport 20 -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

FTP SERVER:

lsmod | grep ftp
modprobe nf_conntrack_ftp
lsmod | grep ftp
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --dport 20 -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 21 -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 20 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Для переключення між пасивним та активним режимом на стороні клієнта

ftp> passive
Passive mode on.
ftp> passive
Passive mode off.

Додавання НОВОГО виправлене, я вважаю.

Тепер мій файл iptables виглядає приблизно так ..

# Generated by iptables-save v1.3.5 on Thu Oct  3 22:25:54 2013
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [824:72492]

-A INPUT -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 20:65535 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 20 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 1024:65535 --dport 20:65535 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Thu Oct  3 22:25:54 2013

Введіть це як відповідь, оскільки занадто багато символів не дозволено коментувати .. Дякую вам за допомогу.

Якщо вам потрібні і активні, і пасивні з'єднання, і ви вже приймаєте ESTABLISHEDз'єднання, наприклад:

iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT

Тоді вам потрібно лише відкрити порт 21 і додати спеціальне правило для пасивних портів. Не потрібне правило для порту 20, оскільки це вже прийняте ESTABLISHEDправилом вище.

Спочатку прийміть нові з'єднання на port 21:

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

Потім додайте помічник CT для пасивних портів 1024::

iptables -A PREROUTING -t raw -p tcp --dport 21 -j CT --helper ftp
iptables -A INPUT -p tcp -m conntrack --ctstate RELATED -m helper --helper ftp --dport 1024: -j ACCEPT

Дивись також:

• https://github.com/rtsisyk/linux-iptables-contrack-exploit
• http://home.regit.org/wp-content/uploads/2011/11/secure-conntrack-helpers.html

Примітка. Ви повинні встановити 1024:як на своєму FTP-сервері: шукати пасивні порти за замовчуванням у вашій конфігурації FTP. Інакше ви відкриєте занадто багато портів, які можуть бути не відносними FTP.

Важлива примітка: я не додав OUTPUTправил, коли йдуть мої налаштування за замовчуванням iptables -P OUTPUT ACCEPT. Це означає, що я довіряю тому, що виходить зі свого ящика. Це може бути не найкращим варіантом, особливо в NAT.

Дуже важлива примітка: FTPS не працюватиме з такою установкою, оскільки пасивний порт прихований (зашифрований), отже, немає можливості iptablesздогадатися про хороший порт. Див. Розділ Зміна IPTables дозволу FTP через TLS за допомогою пасивних портів та https://serverfault.com/questions/811431/are-my-iptables-for-ftps-with-tls-ok