ProFTPd, FTPS и iptables

Настройка iptables для поддержки пассивных FTPS-соединений

Ситуация: есть сервер, на котором крутится , а настроен так, чтобы не разрешать лишних соединений (политика по умолчанию — DROP). При этом есть желание, чтобы -сервер работал по протоколу FTPS и поддерживал пассивные соединения.

Использование модуля ip_conntrack_ftp в данном случае не поможет — управляющее соединение зашифровано, и ip_conntrack_ftp просто не сможет узнать, на какой порт идёт пассивное соединение.

Предположим, что имеются такие правила:

[-]
View Code Bash
modprobe ip_conntrack
modprobe ip_conntrack_ftp

# Политика по умолчанию: отброс соединения
iptables -P INPUT DROP

# Отбрасываем соединения с неверным состоянием
iptables -A INPUT  -m conntrack --ctstate INVALID -j DROP
iptables -A OUTPUT -m conntrack --ctstate INVALID -j DROP

# Разрешаем установленные и относящиеся к ним соединения
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# Разрешаем FTP-соединения
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --sport 1024:65535 --dport 20:21 -j ACCEPT

Данный сценарий разрешает как активные, так и пассивные (благодаря ip_conntrack_ftp) FTP-соединения без шифрования. Для поддержки шифрования нужно сделать две вещи:

  1. Явно задать в конфигурации ProFTPd список портов, которые могут быть использованы для пассивных соединений, например: PassivePorts 49000 49500 и перезапустить демон;
  2. Открыть перечисленные порты в iptables: iptables -A INPUT -p tcp --sport 1024:65535 --dport 49000:49500 -j ACCEPT

После этого пассивные -соединения будут работать.

Автор: ; опубликовано в: Linux; метки: ftp, ftps, iptables, proftpd
10
Апр
2010
«
»

RSS Комментарии к статье «ProFTPd, FTPS и iptables» (1)  »

  1. Tweets that mention ProFTPd, FTPS и iptables « Linux « Ars Longa, Vita Brevis -- Topsy.com
    Апрель 10, 2010 в 03:30

    [...] This post was mentioned on Twitter by Интернет заработок. Интернет заработок said: V.Kolesnikov: ProFTPd, FTPS и iptables http://bit.ly/cZmLMd [...]

    Ответить

Пожалуйста, не используйте эту форму для комментирования! Данная форма предназначена исключительно для ботов.

Оставить комментарий к записи «ProFTPd, FTPS и iptables»

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Оставляя комментарий, вы выражаете своё согласие с Правилами комментирования.

Подписаться, не комментируя

गते गते पारगते पारसंगते बोधि स्वाहा