[PLUTO-security] ip conntract
Stefano Callegari
ste.callegari a tiscali.it
Sab 31 Gen 2004 15:09:38 CET
Sto diventando matto per un cavolo di server ftp.
Il server (sul mio pc) lo apro esclusivamente su necessità.
Per questo ho fatto uno script che aggiunge nella catena di iptables le
regole per aprire le porte:
$IPTABLES -I tcp_packets -p TCP -s 0/0 --sport 1024:65534 --dport 20:21
-j ACCEPT
La regola si mette davanti a quelle già esistenti che limitano il traffico
sulle porte ftp.
L'ip_conntrack_ftp è inserito stabile nel kernel in entrambe le
macchine (server 2.4.22, client 2.4.19).
Ora da un client mi connetto come anonymous tutto va ok, i comandi cd,
pwd danno il risultato sperato, ma sia dir che ls mi ritornano
ftp> ls
229 Entering Extended Passive Mode (||0.0.0.0|55518|)
parse error!
e niente lista dei files!
Nei log di entrambe le macchine compare una riga
Jan 31 14:23:54 tecnico kernel: conntrack_ftp: partial 229
1211298086+55
Jan 31 14:24:25 server kernel: conntrack_ftp: partial 229
1211298086+55
(nota: "tecnico" è il server e "server" è il client e il log è
simultaneo - ntpd non va!)
Sul client oltre a iptables che controlla un proprio server ftp, c'è
anche un fw hw. L'ftp funziona correttamente.
Entrambi hanno proftpd 1.2.9 in ascolto con inetd sulla porta 21.
Grazie
--
Stefano Callegari
LinuxRegistered: User 248729 - Machine 133534
Via Frassanedo 2 - Saonara (PD) - Italy
Maggiori informazioni sulla lista
pluto-security