iptables depois de soltar o ftp passa

2

Não posso negar acesso ao FTP para um endereço IP.

Primeiro de tudo eu precisava negar tudo, então eu fiz assim:

#iptables -F
#iptables -P INPUT DROP
#iptables -P OUTPUT DROP
#iptables -P FORWARD DROP

Então eu abri o FTP:

#modprobe ip_conntrack_ftp
#iptables -A INPUT -p TCP -i eth0 --dport 21 -m state --state NEW -j ACCEPT
#iptables -A INPUT -p ALL -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A OUTPUT -p ALL -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

O acima funciona, mas eu tentei tudo com este para:

#modprobe ip_conntrack
#modprobe ip_conntrack_ftp
#iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.5.110 --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -p tcp -s 192.168.5.110 --sport 21 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
#iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.5.110 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A OUTPUT -p tcp -s 192.168.5.110 --sport 1024:65535 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -p tcp -s 192.168.5.110 --sport 20 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 202.54.1.20 --dport 20 -m state --state ESTABLISHED -j ACCEPT

Agora preciso negar um IP para que um computador não possa acessar o FTP, digamos 192.168.5.9:

#iptables -A INPUT -s 192.168.5.9 -d 192.168.5.110 -p tcp -m tcp --dport 21 -j DROP

Eu também tentei isso

#iptables -A INPUT -p tcp -s 192.168.5.9 --dport 21 -j DROP

E diz no iptables -L que é descartado, mas quando eu uso o fillezilla, ele passa. Eu abandonei as portas 20,21,22.

Então, por que a conexão está sendo permitida quando as regras devem deixá-la cair?

    
por Mike 18.05.2012 / 01:28

1 resposta

1

O importante é perceber que o firewall em uma única tabela é processado em ordem. Assim que uma correspondência é encontrada, o processamento é interrompido para essa cadeia e a ação é executada.

Então, o que você provavelmente precisa fazer é colocar o seu drop para ftp daquele endereço IP antes da regra geral que permite FTP. O -A acrescenta uma regra a uma cadeia. O que você provavelmente quer é -I para inserir a regra em uma cadeia. Por padrão, a regra é inserida no topo da cadeia quando você usa -I , mas você também pode passar um número que a posicionará antes do número da regra que você especificou.

    
por 18.05.2012 / 01:39