iptables related,established

[ Tyler Durden @ 18.10.2005. 08:59 ] @

Nije mi jasno zasto iptables (konkretno related i established "direktive") ne rade onako kako sam ja to shvatio i zamislio. Ali izgleda ja nisam nesto dobro ukapirao :)
Ovo je jedan dio sa kojim bi trebalo da funkcionise sve prilicno opusteno

Code:

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Vecinu toga sam sredio, ali nece FTP klijenti da rade u aktivnom modu. Konektujem se, ali nece da lista direktorijume, tj. nece moja masina da prihvati konekciju od servera na nekom lijevom >1024 portu. A zasto molicu lijepo?? Zar related i established ne bi trebalo to da regulisu opusteno?

E sad.. da li u kernelu mora da bude ukljucen modul CONFIG_IP_NF_FTP ali ako sam dobro ukapirao (nisam sudeci po ovome) to je potrebno samo ako hocu da podignem FTP server iza NAT-a i onda taj modul mora da bude ukljucen na gateway-u?

[ Not now, John! @ 18.10.2005. 09:50 ] @

Citat:

Tyler Durden:Vecinu toga sam sredio, ali nece FTP klijenti da rade u aktivnom modu.

I ja sam primijetio isto to sa istim podešavanjima. Nikako mi nije jasno zašto FTP sa takvim podešavanjima neće da radi u Active režimu. Vjerovatno iptables ne nalazi da je nova konekcija koja se uspostavlja "related" sa postojećom FTP konekcijom. Problem sam riješio tako što sam dodao posebno pravilo za odgovarajući FTP server.

Citat:

Tyler Durden:E sad.. da li u kernelu mora da bude ukljucen modul CONFIG_IP_NF_FTP ali ako sam dobro ukapirao (nisam sudeci po ovome) to je potrebno samo ako hocu da podignem FTP server iza NAT-a i onda taj modul mora da bude ukljucen na gateway-u?

Da, to se stavlja na gateway.

[ Tyler Durden @ 19.10.2005. 10:42 ] @

Ako stavim za INPUT jos i new pored related i established onda radi naravno, ali to obesmisljava citav firewall, ne?
uff,

established konekcije odradjuje kako treba, ali related nesto ne stima... jabber i irc npr. rade kako treba.
jel moze neko da postuje ovdje module koji su vezani za iptables a koje je ukljucio u kernel? U stvari neka kopira ovdje citav dio iz .config fajla koji se tice iptables.

[ Mitrović Srđan @ 19.10.2005. 11:02 ] @

http://www.phearless.headcoders.net/i2/Hiding_Behind_Firewall.txt

mada je server down jutros zbog ....

_{[Ovu poruku je menjao aleksandrin dana 19.10.2005. u 12:03 GMT+1]}

[ Not now, John! @ 20.10.2005. 00:45 ] @

Citat:

Tyler Durden: Ako stavim za INPUT jos i new pored related i established onda radi naravno, ali to obesmisljava citav firewall, ne?

Da.

Probaj da preciznije definišeš pravilo koje bi puštalo samo Active FTP veze (sve veze valjda dolaze sa porta 20, definiši pravila samo za FTP servere koje koristiš).

Stanje kod mene:

Code:
modprobe ip_tables
modprobe iptable_filter
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ipt_state
modprobe ipt_LOG

[ Tyler Durden @ 20.10.2005. 09:11 ] @

Evo nisam bio lijen pa sam prekompajlirao kernel s tim sto sam sada stavio da se sve vezano za iptables kompajlira kao modul.
I kada sam ucitao modul ip_conntrack_ftp proradilo je ....

[ Tyler Durden @ 01.11.2005. 13:59 ] @

jos malo problema sa istim ovim iptables...
firewall radi u principu kako treba, jedino me nesto zeza LOG target. Nece nista da loguje, ali radila je prije kompajliranja kernela?! Modul je ucitan.

Code:
dylan@ghost:~:$ lsmod
Module                  Size  Used by
ipt_LOG                 6848  1
ip_conntrack_ftp       72016  0
iptable_mangle          2688  0
iptable_nat            21044  0
iptable_raw             2112  0
ipt_REJECT              4800  1
ipt_state               1984  5
ip_conntrack           39304  3 ip_conntrack_ftp,iptable_nat,ipt_state
iptable_filter          2752  1
ip_tables              20736  7 ipt_LOG,iptable_mangle,iptable_nat,iptable_raw \
ipt_REJECT, ipt_state,iptable_filter

Korisim syslog-ng i on je ispravno podesen, uostalom sa tim podesavanjem je radilo prije.
Ima li neko ideju.. ? Najvise mi smrdi na to da fali jos neki modul da se ucita, ali ne znam koji...

Ovo je i iptables pravilima dato
-A INPUT -p tcp -j LOG --log-prefix "iptables:" --log-level 0

_{[Ovu poruku je menjao Tyler Durden dana 01.11.2005. u 15:00 GMT+1]}

_{[Ovu poruku je menjao Tyler Durden dana 01.11.2005. u 15:01 GMT+1]}