Passive Mode FTP + Iptables

dpitta
(usa Debian)

Enviado em 25/04/2018 - 07:04h

Sim estou com essas regras no inicio para zerar do filtro, mas não conecta mesmo assim.
Segue log do FileZilla, Obrigado.

Status: Connecting to 187.191.99.165:21...
Status: Connection established, waiting for welcome message...
Status: Insecure server, it does not support FTP over TLS.
Status: Logged in
Status: Retrieving directory listing...
Command: PWD
Response: 257 "/" is the current directory
Command: TYPE I
Response: 200 Type set to I
Command: PORT 192,168,0,103,255,137
Response: 200 PORT command successful
Command: MLSD
Response: 425 Unable to build data connection: Connection refused
Error: Failed to retrieve directory listing

raserafim
(usa Slackware)

Enviado em 25/04/2018 - 11:16h

pela mensagem, está conseguindo conectar (porta de comandos) mas não consegue transferir dados (porta de dados)

- você já testou se conectar em outro servidor?

- você consegue navegar em sites?

- você já testou sem a linha "iptables -A INPUT -p tcp --syn -j DROP"?

raserafim
(usa Slackware)

Enviado em 25/04/2018 - 11:17h

- qual sua política padrão de input?

- qual sua política padrão de output?

- está tratando também o protocolo dns?

lembro que o dns também é importante... sem ele, a busca pelo servidor demora tanto que, às vezes, a conexão não consegue ser estabelecida.

então..

iptables -A INPUT -p tcp --dport 32768:61000 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT  #ftp-transf (1024:65535)

iptables -A INPUT -p udp -m multiport --sport 53 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT  #dns 

raserafim
(usa Slackware)

Enviado em 25/04/2018 - 11:19h

se ainda assim não conseguir...

posta aqui o código completo do seu iptables para que seja possível ajudar...

removido
(usa Nenhuma)

Enviado em 25/04/2018 - 17:11h

Ola

Tente isso:

iptables -A INPUT -p tcp --dport 55728 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 55728 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 49335 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 49335 -m state --state ESTABLISHED -j ACCEPT

Como disse anteriormente, o ftp tem um range de portas alta que o firewall ta bloqueando..
Obs: criei as regras acima conforme o LOG passado, pode ser que precise liberar outras portas, se quiser pode liberar o IP do ftp...

raserafim
(usa Slackware)

Enviado em 25/04/2018 - 17:43h

exato..

tem alguma regra que o colega não está postando aqui que está bloqueando...

a princípio, ftp passivo é simples (ftp ativo é que exige mais configurações)..

isso não irá funcionar...

a porta alta utilizada é escolhida aleatoriamente (range port)...

por padrão, pode ser de 1024:65535 (mas a faixa pode ser menor -- depende de como esteja configurado o kernel).

removido
(usa Nenhuma)

Enviado em 25/04/2018 - 21:00h

Olá,

Como a porta é escolhida aleatóriamente da 1024 à 65535, é possível usar o multiport do iptables, segue regras que eu criaria:

#Liberação da porta 21
iptables -A OUTPUT -d 187.191.99.165 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 187.191.99.165 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT

#Liberação das portas altas
iptables -A OUTPUT -d 187.191.99.165 -p tcp -m multiport --dport 1024:65535 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 187.191.99.165 -p tcp -m multiport --sport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

*obs: Não testei...
Se a cadeia OUTPUT estiver como ACCEPT pode remover a regras de OUTPUT
Testa ai, coloca essas regras antes da regra de DROP e caso não funcione tente ver no LOG se mais alguma coisa está barrando...

Espero ter ajudado

dpitta
(usa Debian)

Enviado em 17/05/2018 - 23:49h

Uma curiosidade é que com o FILEZILA não funciona, mas com o CutFTP ele broquei, espera alguns segundos e em seguida passa.

O Firewall esta assim, mas ainda não funciona.

----------------------------------------------------------------------------------------------------------------------------------
iptables -F
iptables -t filter -F # limpa todas as regras dos chain internos
iptables -t filter -X # limpa todas as regras dos chain criados pelo usuário
iptables -t filter -Z # zera os contadores

iptables -A INPUT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT



MEUIP_01=187.191.99.164
CASA=186.227.215.110



#iptables -t filter -P INPUT DROP
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P OUTPUT ACCEPT


#Aceita conexao na porta 80 e 443 do Site


iptables -A INPUT -p tcp -d $IP_SITE --destination-port 80 -j ACCEPT
iptables -A INPUT -p tcp -d $IP_SITE --destination-port 443 -j ACCEPT
iptables -A INPUT -p tcp -s $MEUIP_01 -d $MEUIP_01 --destination-port 3306 -j ACCEPT



iptables -A INPUT -p tcp --dport 1024:65535 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -s $CASA -d $MEUIP_01 --destination-port 20 -j ACCEPT
iptables -A INPUT -p tcp -s $CASA -d $MEUIP_01 --destination-port 21 -j ACCEPT
iptables -A INPUT -p tcp -s $CASA -d $MEUIP_01 --destination-port 22 -j ACCEPT
iptables -A INPUT -p tcp -s $CASA -d $MEUIP_01 --destination-port 3306 -j ACCEPT
iptables -A INPUT -p tcp -s $CASA -d $MEUIP_01 --dport 20 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -s $CASA -d $MEUIP_01 --dport 21 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m multiport --sport 53 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT



modprobe ip_conntrack
modprobe ip_conntrack_ftp

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 1/s -j RETURN


iptables -A INPUT -j LOG --log-prefix [fw-input-drop]

iptables -A INPUT -p tcp -j DROP
---------------------------------------------------------------------------------------------------------------
Os logs esta pegando isso no DROP.

root@emissor:/usr/local# tail -f /var/log/messages |grep 186.227.215.110
May 17 23:44:13 emissor kernel: [188953.956615] [fw-input-drop]IN=eth0 OUT= MAC=00:16:3e:2c:b1:09:0c:c4:7a:1e:a3:1e:08:00 SRC=186.227.215.110 DST=187.191.99.164 LEN=52 TOS=0x00 PREC=0x00 TTL=114 ID=314 DF PROTO=TCP SPT=58442 DPT=64360 WINDOW=64240 RES=0x00 SYN URGP=0
May 17 23:44:19 emissor kernel: [188959.955572] [fw-input-drop]IN=eth0 OUT= MAC=00:16:3e:2c:b1:09:0c:c4:7a:1e:a3:1e:08:00 SRC=186.227.215.110 DST=187.191.99.164 LEN=52 TOS=0x00 PREC=0x00 TTL=114 ID=315 DF PROTO=TCP SPT=58442 DPT=64360 WINDOW=64240 RES=0x00 SYN URGP=0