Iptables, чтобы разрешить входящий FTP

Я хочу разрешить входящий трафик FTP.

CentOS 5.4:

Это мой /etc/sysconfig/iptablesфайл.

# Generated by iptables-save v1.3.5 on Thu Oct  3 21:23:07 2013
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [133:14837]
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -p tcp -m tcp --sport 20 -j ACCEPT
COMMIT
# Completed on Thu Oct  3 21:23:07 2013

Также по умолчанию загружается модуль ip_conntrack_netbios_n.

#service iptables restart

Flushing firewall rules:                                   [  OK  ]
Setting chains to policy ACCEPT: filter                    [  OK  ]
Unloading iptables modules:                                [  OK  ]
Applying iptables firewall rules:                          [  OK  ]
Loading additional iptables modules: ip_conntrack_netbios_n[  OK  ]

Но проблема не в этом модуле, так как я пытался его разгрузить, но все равно не повезло.

Если я отключу iptables, я смогу перенести свою резервную копию с другого компьютера на FTP. Если iptables применяется, передача не удалась.

Вашему ftp-серверу нужен канал для передачи данных. Порт 21используется для установления соединения. Поэтому, чтобы сделать возможной передачу данных, вам также необходимо включить порт 20. Смотрите следующую конфигурацию

Сначала загрузите следующий модуль, чтобы убедиться, что пассивные соединения ftp не отклонены

modprobe ip_conntrack_ftp

Разрешить FTP-соединения для порта 21входящего и исходящего

iptables -A INPUT  -p tcp -m tcp --dport 21 -m conntrack --ctstate ESTABLISHED,NEW -j ACCEPT -m comment --comment "Allow ftp connections on port 21"
iptables -A OUTPUT -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT -m comment --comment "Allow ftp connections on port 21"

Разрешить FTP-порт 20для активных подключений входящих и исходящих

iptables -A INPUT  -p tcp -m tcp --dport 20 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT -m comment --comment "Allow ftp connections on port 20"
iptables -A OUTPUT -p tcp -m tcp --dport 20 -m conntrack --ctstate ESTABLISHED -j ACCEPT -m comment --comment "Allow ftp connections on port 20"

Наконец, разрешите пассивный входящий трафик FTP

iptables -A INPUT  -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED -j ACCEPT -m comment --comment "Allow passive inbound connections"
iptables -A OUTPUT -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT -m comment --comment "Allow passive inbound connections"

Для получения дополнительной информации о проблемах FTP и брандмауэра см .: http://slacksite.com/other/ftp.html#active

Изменить: Добавлено NEWв правило ввода порта 21.

Я видел такие обширные правила уже в нескольких блогах и т. Д. И задавался вопросом, почему бы просто не использовать

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT

вместе с nf_conntrack_ftpмодулем. Это более кратко и читабельно, что, как правило, хорошо, особенно с брандмауэрами ...

FWIW, похоже, что в ядре 4.7 произошли изменения, так что вам нужно либо установить net.netfilter.nf_conntrack_helper=1через sysctl(например, вставить его /etc/sysctl.d/conntrack.conf), либо использовать

iptables -A PREROUTING -t raw -p tcp --dport 21 -j CT --helper ftp

(см. здесь для более подробной информации)

FTP-клиент:

lsmod | grep ftp
modprobe nf_conntrack_ftp
lsmod | grep ftp
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 21 -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 20 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --dport 20 -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

FTP-СЕРВЕР:

lsmod | grep ftp
modprobe nf_conntrack_ftp
lsmod | grep ftp
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --dport 20 -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 21 -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 20 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Для переключения между пассивным и активным режимом на стороне клиента

ftp> passive
Passive mode on.
ftp> passive
Passive mode off.

Добавление NEW исправило это, я считаю.

Теперь мой файл iptables выглядит следующим образом ..

# Generated by iptables-save v1.3.5 on Thu Oct  3 22:25:54 2013
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [824:72492]

-A INPUT -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 20:65535 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 20 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 1024:65535 --dport 20:65535 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Thu Oct  3 22:25:54 2013

Введите его в качестве ответа, так как слишком много символов не допускаются в комментариях. Большое спасибо за вашу помощь.

Если вам нужны как активные, так и пассивные соединения, и вы уже принимаете ESTABLISHEDсоединения, такие как:

iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT

Тогда вам нужно только открыть порт 21 и добавить специальное правило для пассивных портов. Для порта 20 не требуется никаких правил, так как оно уже принято ESTABLISHEDправилом выше.

Сначала примите новые подключения на port 21:

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

Затем добавьте помощник CT для пассивных портов 1024::

iptables -A PREROUTING -t raw -p tcp --dport 21 -j CT --helper ftp
iptables -A INPUT -p tcp -m conntrack --ctstate RELATED -m helper --helper ftp --dport 1024: -j ACCEPT

Смотрите также:

• https://github.com/rtsisyk/linux-iptables-contrack-exploit
• http://home.regit.org/wp-content/uploads/2011/11/secure-conntrack-helpers.html

Примечание: вы должны установить 1024:как на вашем FTP-сервере: поиск пассивных портов по умолчанию в вашей конфигурации FTP. В противном случае вы открываете слишком много портов, которые могут не относиться к FTP.

Важное примечание: я не добавил OUTPUTправила, так как мои настройки по умолчанию соответствуют iptables -P OUTPUT ACCEPT. Это означает, что я доверяю тому, что происходит из моей коробки. Это не может быть хорошим вариантом, особенно в настройках NAT.

Очень важное примечание: FTPS не будет работать с такой настройкой, поскольку пассивный порт скрыт (зашифрован), поэтому нет никакого способа iptablesугадать хороший порт. См. Изменение IPTables для разрешения FTP через TLS с использованием пассивных портов и https://serverfault.com/questions/811431/are-my-iptables-for-ftps-with-tls-ok