Quando o iptables é iniciado, não há acesso ftp por causa do tempo limite

Navegue suas respostas
1

Quando inicio o serviço iptables, não há acesso ftp devido a um tempo limite de conexão. Quando eu paro o serviço iptables, o ftp funciona bem.

Estes são os dados atuais do iptables:

Atualização : substituído ESTABLISHED para NEW na regra p21. O problema é que ainda está acontecendo . 

# Generated by iptables-save v1.4.7 on Sun Dec 14 23:48:26 2014
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4:2848]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP 
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP 
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP 
-A INPUT -i lo -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 
-A INPUT -p tcp -m tcp --sport 21 -m state --state NEW -j ACCEPT 
-A INPUT -p tcp -m tcp --sport 20 -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT 
-A OUTPUT -p tcp -m tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT 
-A OUTPUT -p tcp -m tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT 
-A OUTPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT 
COMMIT
# Completed on Sun Dec 14 23:48:26 2014

Alguma dessas linhas pode causar esse comportamento estranho? 

-A INPUT -p tcp -m tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m tcp --sport 20 -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT 
-A OUTPUT -p tcp -m tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT 
-A OUTPUT -p tcp -m tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT 
-A OUTPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state RELATED,ESTABLISHED -

Eu tentei conectar-me ao servidor ftp nos modos ativo e passivo.

    
por Carlos Santos 15.12.2014 / 06:43

1 resposta

2

Normalmente, onde você tem 

-A INPUT -p tcp -m tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT

Em um servidor FTP, eu esperaria 

-A INPUT -p tcp -m tcp --dport 21 -m state --state NEW -j ACCEPT

para aceitar conexões FTP de entrada, que são NOVAS, já que as conexões existentes já são aceitas por uma regra anterior.

Em segundo lugar, você precisará garantir que o módulo de rastreamento de conexão FTP esteja ativado. De improviso: insmod nf_conntrack_ftp e persistente por: 

# /etc/sysconfig/iptables-config 
# Space separated list of nat helpers (e.g. 'ip_nat_ftp ip_nat_irc'), which
# are loaded after the firewall rules are applied. Options for the helpers are
# stored in /etc/modprobe.conf.
IPTABLES_MODULES="nf_conntrack_ftp"
    
por 15.12.2014 / 07:37

Tags

Route Subnet para acessar apenas 1 endereço IP em diferentes VLANs HP Procurve Atualização Yum sem atualizar o CentOS