iptables e siti ftp

[Enrico81]

Qualcuno mi spiega per favore come faccio a collegarmi con siti ftp tipo ftp://ftp.kernel.org/pub/
Cioè io ho settato come policy di defautl drop per tutte e tre le catene, poi ho aperto le porte che mi servono sia nella catena di INPUT che di OUTPUT, lasciando vuota quella di FORWARD.
Se può farvi capire meglio questo è il mio script di iptables
(lo so e semplice semplice ma non ridete ):

[root@Arch root]# cat iptables
#!/bin/bash
#
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
#
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
#
iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --sport http -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --sport 443 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --sport ftp -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --sport 25 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --sport 110 -j ACCEPT
iptables -A INPUT -p tcp -i lo -j ACCEPT
#
iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp -o eth0 --dport http -j ACCEPT
iptables -A OUTPUT -p tcp -o eth0 --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp -o eth0 --dport ftp -j ACCEPT
iptables -A OUTPUT -p tcp -o eth0 --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp -o eth0 --dport 110 -j ACCEPT
iptables -A OUTPUT -p tcp -o lo -j ACCEPT


Fino ad oggi ho aggiunto la regola
# iptables -A INPUT -p tcp -i eth0 --sport 1024: --dport 1024: -j ACCEPT
e
# iptables -A OUTPUT -p tcp -o eth0 --sport 1024: --dport 1024: -j ACCEPT
e in questo modo riesco a collegarmi ma non so quanto sia adatta visto che apro una marea di porte a me sconosciute

[Sergio Pedone]

Ciao Enrico81, questo è il mio script per il firewall,
ancora più banale e semplice del tuo, ma per i miei attuali
scopi lo ritengo sufficiente.

codice:

#!/bin/bash
#
# /etc/firewall/wall
#
# My little personal firewall.
#

#############
# Variables #
#############
LO="lo"

#############################
# Loading modules and other #
#############################
echo "0" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

#############################
# Initializing the firewall #
#############################
iptables -t filter -F
iptables -t filter -X
iptables -t filter -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z

##############################
# Setting the default policy #
##############################
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP

##################
# Defining rules #
##################
iptables -t filter -A INPUT -i $LO -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A INPUT -m state --state INVALID -j LOG --log-prefix "INPUT(INVALID)->DROP: "
iptables -t filter -A OUTPUT -j ACCEPT

Riesco a connettermi a tutti i siti ftp.
Ho fatto scansioni delle porte online ed è risultata
una buona protezione della macchina. Adesso che sono
sotto router, vedo se spostare il firewall li' sopra.

Ciao.

[Boromir]

devi caricare il modulo ip_nat_ftp senno ti funziona solo l'ftp attivo e non quello passivo !

[Enrico81]

Originariamente inviato da Boromir
devi caricare il modulo ip_nat_ftp senno ti funziona solo l'ftp attivo e non quello passivo !

Ho già sentito parlare di questo problema però le mie conoscenze sono scarsine e non è che ne capisca molto
Cmq io per non sbagliare avevo messo tutte "Y" nella sezione iptables del kernel.
Credevo di dover aprire qualche altra porta

[Enrico81]

Originariamente inviato da Sergio Pedone
Ciao Enrico81, questo è il mio script per il firewall,
ancora più banale e semplice del tuo, ma per i miei attuali
scopi lo ritengo sufficiente.

codice:

#!/bin/bash
#
# /etc/firewall/wall
#
# My little personal firewall.
#

#############
# Variables #
#############
LO="lo"

#############################
# Loading modules and other #
#############################
echo "0" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

#############################
# Initializing the firewall #
#############################
iptables -t filter -F
iptables -t filter -X
iptables -t filter -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z

##############################
# Setting the default policy #
##############################
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP

##################
# Defining rules #
##################
iptables -t filter -A INPUT -i $LO -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A INPUT -m state --state INVALID -j LOG --log-prefix "INPUT(INVALID)->DROP: "
iptables -t filter -A OUTPUT -j ACCEPT

Riesco a connettermi a tutti i siti ftp.
Ho fatto scansioni delle porte online ed è risultata
una buona protezione della macchina. Adesso che sono
sotto router, vedo se spostare il firewall li' sopra.

Ciao.

Grazie Sergio, vedrò un pò di studiarmelo, ci sono delle opzioni che non conosco.
Il mio sembra più semplice (almeno per me), visto che sono agli inizi cerco di utilizzare solo quello che riesco a comprendere e fare con le mie conoscenze

[Boromir]

devi mettere nello script (anche se inteoria basta dirlo una volta sola)
modprobe ip_nat_ftp

[Enrico81]

Originariamente inviato da Boromir
devi mettere nello script (anche se inteoria basta dirlo una volta sola)
modprobe ip_nat_ftp

Ma se io ho inserito la voce in modo statico (non come modulo) il modprobe dovrebbe restituire un errore ho sbaglio.
Cmq ora sono a lavoro e non posso provare, qui c'è win , stasera vediamo.

[Enrico81]

Originariamente inviato da Enrico81
Ma se io ho inserito la voce in modo statico (non come modulo) il modprobe dovrebbe restituire un errore ho sbaglio.
Cmq ora sono a lavoro e non posso provare, qui c'è win , stasera vediamo.

Ho provato anche questa ma non ne vuole sapere

[Enrico81]

Qualche altro suggerimento