| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
Jammy
Зарегистрирован: 03.10.2002
Сообщения: 42
Откуда: Харьков
|
 Добавлено: Ср Фев 04 2004 19:45 Заголовок сообщения: FTP & iptables |
 |
|
Привет всем.
Подскажите плиз, какие мне порты открыть в iptables, чтобы:
я как клиент мог коннектиться к другим FTP-servers.
На данный момент у меня открыто -p tcp --sport 20 & --sport 21 и наблюдаются хуткие тормоза (сначала пишет что пользователь зарегистрирован, а потом очень долго происходит чтение каталога, как правило - в результате - облом), а когда я делаю полный ACCEPT на этот сервер, то все проходит в считанные секунды.
Подскажите, что мне еще надо открыть, и вообще, какие порты использует клиент FTP сервера.
Спасибо. |
|
| Вернуться к началу |
|
 |
ryabinkin
Зарегистрирован: 01.12.2003
Сообщения: 152
Откуда: Moscow
|
| Добавлено: Ср Фев 04 2004 20:06 Заголовок сообщения: |
|
|
Копать в сторону active/passive FTP mode transfer.
Да, ну и в доках по iptables это тоже расписывалось.
_________________
Из двух спорящих виноват тот, кто умнее. |
|
| Вернуться к началу |
|
|
BusTeR
Зарегистрирован: 27.02.2003
Сообщения: 318
Откуда: Lugansk
|
| Добавлено: Ср Фев 04 2004 21:03 Заголовок сообщения: |
|
|
Ты не правильно понимаешь суть, у тебя открыт source порт, а тебе нужно делать типа такого -s 0/0 -d [your host] -p tcp --dport 20, потом то же самое для 21. т.к. у тебя входящие соединения на 21 порт.
Принцип работы ftp:
client[5150] --> server[21]
server[21] --> client[5150]
server[20] --> client[5151]
client[5151] --> server[20]
а потом идёт обмен данными с 20 портом сервера.
т.е. если хочешь считать трафик Ftp? то нужно -s [your host] -p tcp --sport 20/21 и -d [your host] --p tcp --dport 20/21
а для пассивного режима сначала клиент даёт комманду на 21 порт для открытия пассивного режима 'PASV'. далее сервер с 21 порта отдаёт комманду ОК с номером порта, на котором открывается пассивный режим, и потом обмен данными с тем портом.
Описал так подробно, потому что сам с этим сталкивался и упорно разбирался  |
|
| Вернуться к началу |
|
|
BusTeR
Зарегистрирован: 27.02.2003
Сообщения: 318
Откуда: Lugansk
|
| Добавлено: Ср Фев 04 2004 21:05 Заголовок сообщения: |
|
|
| Сори, я не дочитал твой вопрос, я тебе описал ситуацию, где your host - твой сервер, т.е. описано, как будто у тебя сервер ftp. |
|
| Вернуться к началу |
|
|
Jammy
Зарегистрирован: 03.10.2002
Сообщения: 42
Откуда: Харьков
|
| Добавлено: Ср Фев 04 2004 23:15 Заголовок сообщения: |
|
|
Спасибо, но не помогло.
Самое новое, что я узнал - это про порты 5150:5151 - не помогло.
На счет INPUT -p tcp --dport 20:21 -j ACCEPT - это касается когда клиент заходит на мой ftp-сервер - и у меня это есть и отлично работает.
Меня интересует какие порты (диапазон) нужно открыть, чтобы я как клиент мог заходить на ftp-сервера.
INPUT -p tcp --sport 20:21 -j ACCEPT решает проблему полного отсутствия связи с удаленным сервером, однако идут жуткие тормоза.
А при полном ACCEPT на этот сервер все нормально работает.
Ладно, дам совет всем извращенцам и любителям эксперементальным путем всего добиваться, что сам завтра и сделаю:
1. берем работающий ftp сервер
2. делаем на него полный ACCEPT
3. запускаем tcpdump с выводом инфнормации в файл
4. Заходил на удаленный ftp сервер
5. отлогиниваемся и лопатим те логи, которые занёс tcpdump
Работает не только с ftp-серверами.
Завтра напишу что у меня получилось. |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
