Como aprender a faixa de portas passivas do servidor de FTP remoto

2

Existe alguma maneira de aprender o intervalo de portas do servidor FTP "Passivo" que não está sob minha autoridade. É possível definir o intervalo no arquivo de configuração. Por exemplo, dentro de vsftpd.conf :

pasv_min_port=25000
pasv_max_port=25500
#pasv_min_port=0
#pasv_max_port=0 (any port)

Como eu quero aplicar um firewall OUTPUT muito restrito (iptables) no meu Linux Terminal Server, preciso saber o intervalo de portas do servidor remoto. O FTP suporta a exposição de informações de intervalo de portas, que os clientes podem usar?

Eu também estou aberto para qualquer outra solução possível, exceto a seguinte, onde eu assumo o endereço IP do servidor como 10.1.1.1:

-A OUTPUT -d 10.1.1.1 -j ACCEPT

Obrigado pelo seu interesse ...

Atenciosamente

EDITAR

Obrigado por @ aaron-copley , @ martin-prikryl , @ user3590719

Responda à questão principal, o FTP não expõe o intervalo de portas passivo aos clientes.

Solução de necessidade está carregando módulo de rastreamento de conexão do netfilter para FTP.

ip_conntrack_ftp (Module alias for CentOS/Red Hat : nf_conntrack_ftp)

Exemplo de configuração de trabalho para o Red Hat 7:

/ etc / sysconfig / iptables-config

IPTABLES_MODULES="nf_conntrack_ftp"

Regras do iptables

-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -d 10.1.1.1/32 -p tcp -m tcp --dport 21 -j ACCEPT
-A OUTPUT -j DROP

Finalmente, carregue manualmente o módulo ou reinicie o iptables.service.

    
por aesnak 31.01.2017 / 16:31

2 respostas

2

O intervalo de portas passivo não é anunciado publicamente por um servidor FTP.

Tudo o que você pode fazer é automatizar as transferências paralelas de muitos arquivos para / do servidor e deduzir o intervalo das portas usadas para essas transferências.

    
por 01.02.2017 / 11:43
2

Eu encontrei isso em uma resposta anterior

Configurando o iptables do Linux para conexões no modo FTP PASV

Isto: link

e isto:

link

Em todos eles você vai querer usar o ip_conntrack_ftp e a regra relacionada em suas regras do iptables para manter as conexões passivas abertas.

    
por 31.01.2017 / 20:36