ftp i iptables
MrRobby
mrrobby w elcuk.pl
Wto, 30 Lis 2004, 14:42:53 CET
Witam. Na swoim serwerze z zew IP mam 2 ftp-y jeden na porcie 21 a drugi na porcie 2121. Od wczoraj jak skonfigurowalem iptables mam problemy z laczeniem sie w active z ftp-em na porcie 2121, wszystko chodzi bardzo powoli. Natomiast laczenie z ftp na porcie 21 w pasive/active chodzi blyskawicznie. Gdzies na googlach wyczytalem ze ip_ipconntrack_ftp trzeba odpalic z opcja wskasuzjaca na inne porty niz 21. Wiec w skrypcie mam regulke ktora niby to realizuje
/sbin/modprobe ip_conntrack_ftp ports=21,2121
Niby, bo tak jak juz pisalem wyzej ftp na 2121 w active dalej niedziala lub dziala baaardzo wolno. Ktos wie co jest nie tak??? Serwer nierobi za zaden nat itp. Komp z ktorego sie lacze tez ma zew ip. Zalaczam liste zaladowanych modolow oraz skrypt mojego firewalla.
***********************************************************************
***********************************************************************
root w serwer mrrobby]# lsmod
Module Size Used by
ip_nat_ftp 2800 0
ip_conntrack_ftp 69424 1 ip_nat_ftp
ipt_multiport 1024 2
ipt_state 896 6
ipt_REJECT 4224 2
ipt_LOG 4736 9
ipt_limit 1152 9
iptable_nat 15532 1 ip_nat_ftp
iptable_filter 1280 1
ip_tables 12288 7 ipt_multiport,ipt_state,ipt_REJECT,ipt_LOG,ipt_limit,iptable_nat,iptable_filter
ip_conntrack_irc 68656 0
ip_conntrack 19624 5 ip_nat_ftp,ip_conntrack_ftp,ipt_state,iptable_nat,ip_conntrack_irc
nfs 148672 0
nfsd 170144 8
exportfs 3584 1 nfsd
lockd 47816 3 nfs,nfsd
sunrpc 103908 13 nfs,nfsd,lockd
ipv6 194308 21
8139too 14848 0
mii 2816 1 8139too
crc32 3200 1 8139too
genrtc 5876 0
reiserfs 228176 3
ide_disk 12928 6
via82cxxx 9500 0 [permanent]
ide_core 93400 2 ide_disk,via82cxxx
***********************************************************************
***********************************************************************
#!/bin/sh
IPT=iptables
case "$1" in
start)
# FIREWALL
echo " ***** Firewall Start ***** "
#--------------------------
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp ports=21,2121
/sbin/modprobe ip_conntrack_irc
#--------------------------
# wyczyszczenie regul zapory
$IPT -F INPUT
$IPT -F FORWARD
$IPT -F OUTPUT
#--------------------------
# domysla polityka
$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP
#--------------------------
#
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -p tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable
$IPT -A INPUT -p tcp --dport 1080 -j REJECT --reject-with icmp-port-unreachable
$IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
#-------------------------
#akceptowanie ju nawizanych pocze
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#--------------------------
# wpuszczam konkretne porty
TCP_IN=20,21,22,80,2120,2121
UDP_IN=27960,27961
$IPT -A INPUT -p tcp -m multiport --destination-port $TCP_IN -m state --state NEW -j ACCEPT
$IPT -A INPUT -p udp -m multiport --destination-port $UDP_IN -m state --state NEW -j ACCEPT
#--------------------------
#logowanie reszty
$IPT -A INPUT -m limit --limit 1/s -j LOG --log-level 1 --log-prefix "INPUT : "
$IPT -A OUTPUT -m limit --limit 1/s -j LOG --log-level 1 --log-prefix "OUTPUT :"
#$IPT -A FORWARD -j LOG -m limit --limit 15/hour
echo " ***** Start Succes ***** "
;;
stop)
# Wylaczamy firewalla.
echo " ***** Firewall Stop ***** "
# Czyscimy lancuchy
$IPT -F INPUT
$IPT -F FORWARD
$IPT -F OUTPUT
# Polityki domyslne
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT
echo " ***** Stop Succes ***** "
;;
restart)
$0 stop
$0 start
;;
*)
echo "Uzycie: firewall [start|stop|restart]"
exit 1
esac
exit 0
--
Pozdrawiam _-=MrRobby=-_
-------------- następna część ---------
Załącznik, który nie był tekstem został usunięty...
Name: nie znany
Type: application/pgp-signature
Size: 189 bytes
Desc: nie znany
Url : /mailman/pipermail/pld-users-pl/attachments/20041130/91c7f36b/attachment-0001.bin
Więcej informacji o liście dyskusyjnej pld-users-pl