[PLUTO-security] ip conntract

[Stefano Callegari]

Sto diventando matto per un cavolo di server ftp.

Il server (sul mio pc) lo apro esclusivamente su necessità.

Per questo ho fatto uno script che aggiunge nella catena di iptables le
regole per aprire le porte:

$IPTABLES -I tcp_packets -p TCP -s 0/0  --sport 1024:65534 --dport 20:21
 -j ACCEPT

La regola si mette davanti a quelle già esistenti che limitano il traffico
sulle porte ftp.

L'ip_conntrack_ftp è inserito stabile nel kernel in entrambe le
macchine (server 2.4.22, client 2.4.19).

Ora da un client mi connetto come anonymous tutto va ok, i comandi cd,
pwd danno il risultato sperato, ma sia dir che ls mi ritornano 

ftp> ls
229 Entering Extended Passive Mode (||0.0.0.0|55518|)
parse error!

e niente lista dei files!

Nei log di entrambe le macchine compare una riga 

Jan 31 14:23:54 tecnico kernel: conntrack_ftp: partial 229
1211298086+55

Jan 31 14:24:25 server kernel: conntrack_ftp: partial 229
1211298086+55

(nota: "tecnico" è il server e "server" è il client e il log è
simultaneo - ntpd non va!)

Sul client oltre a iptables che controlla un proprio server ftp, c'è
anche un fw hw. L'ftp funziona correttamente.

Entrambi hanno proftpd 1.2.9 in ascolto con inetd sulla porta 21.

Grazie
-- 
Stefano Callegari
LinuxRegistered: User 248729 - Machine 133534
Via Frassanedo 2 - Saonara (PD) - Italy