আইপিটিবলের সাথে এফটিপি অনুমতি দেওয়া হচ্ছে

আমার বর্তমান দৃশ্যে বিভিন্ন বিধি মঞ্জুরি দেওয়া জড়িত, তবে যে কোনও জায়গা থেকে অ্যাক্সেসযোগ্য হওয়ার জন্য আমার এফটিপি দরকার। ওএসটি সেন্ট্রি 5 এবং আমি ভিএসএফটিপিডি ব্যবহার করছি। আমি সিনট্যাক্সটি সঠিক বলে মনে হচ্ছে না। অন্যান্য সমস্ত নিয়ম সঠিকভাবে কাজ করে।

## Filter all previous rules
*filter

## Loopback address
-A INPUT -i lo -j ACCEPT

## Established inbound rule
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

## Management ports
-A INPUT -s x.x.x.x/24 -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -s x.x.x.x/23 -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -s x.x.x.x/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -s x.x.x.x/23 -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -s x.x.x.x/23 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -i lo -j ACCEPT

## Allow NRPE port (Nagios)
-A INPUT -s x.x.x.x -p tcp -m state --state NEW -m tcp --dport 5666 -j ACCEPT
-A INPUT -s x.x.x.x -p tcp -m state --state NEW -m tcp --dport 5666 -j ACCEPT

##Allow FTP

## Default rules
:INPUT DROP [0:0]
:FORWARD DROP
:OUTPUT ACCEPT [0:0]
COMMIT

নিম্নলিখিত আমি চেষ্টা করেছি নিয়ম।

##Allow FTP
-A INPUT --dport 21 any -j ACCEPT
-A INPUT --dport 20 any -j ACCEPT

-A INPUT -p tcp --dport 21 -j ACCEPT
-A INPUT -p tcp --dport 20 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 20 -j ACCEPT


-A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 20 -j ACCEPT
-A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 21 -j ACCEPT

-A INPUT -s 0.0.0.0/0 -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A INPUT -s 0.0.0.0/0 -p tcp -m state --state NEW -m tcp --dport 20 -j ACCEPT

এখানে আমি দস্তাবেজগুলিকে লোকেরা উল্লেখ করছি যাতে তারা এফটিপি প্রোটোকলটি অনুসরণ করতে পারে: http://slacksite.com/other/ftp.html

• অ্যাক্টিভ-মোড এফটিপি করার জন্য, আপনাকে টিসিপি পোর্ট 21 এবং আগত 20 পোর্ট থেকে বহির্গামী সংযোগগুলিতে আগত সংযোগগুলির অনুমতি দেওয়া দরকার।
• প্যাসিভ-মোড এফটিপি করার জন্য, আপনাকে টিসিপি পোর্ট 21 এবং আগত সংযোগগুলি সার্ভার কম্পিউটারের এলোমেলোভাবে উত্পন্ন পোর্টে (নেটফিল্টারে একটি কনট্র্যাক মডিউল ব্যবহারের প্রয়োজনে) আবশ্যক)

আপনার কাছে পুনরায় কিছু নেই: আপনার পোস্টে আপনার আউটপুট চেইন, সুতরাং আমি এটি এখানেও অন্তর্ভুক্ত করব। যদি আপনার OUTPUT চেইনটি ডিফল্ট-ড্রপ হয় তবে এটি গুরুত্বপূর্ণ।

আপনার iptables কনফিগারেশনে এই নিয়মগুলি যুক্ত করুন:

iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT

প্যাসিভ মোড এফটিপি সমর্থন করার জন্য, আপনাকে বুট-এ ip_conntrack_ftp মডিউলটি লোড করতে হবে। / Etc / sysconfig / iptables-config ফাইলটি পড়ার জন্য IPTABLES_MODULES লাইনটি কমেন্ট এবং পরিবর্তন করুন:

IPTABLES_MODULES="ip_conntrack_ftp"

Iptables কনফিগারেশন সংরক্ষণ করুন এবং iptables পুনরায় আরম্ভ করুন।

service iptables save
service iptables restart

ভিএসএফটিপিডিটিকে সমস্যা হিসাবে সম্পূর্ণভাবে উড়িয়ে দেওয়ার জন্য, ভিএসএফটিপিডি বন্ধ করুন, যাচাই করুন যে এটি 21 "পোর্ট" নেটস্যাট-এ শুনছে না এবং তারপরে একটি চালান:

nc -l 21

এটি 21 পোর্টে নেটক্যাট শ্রবণ শুরু করবে এবং আপনার শেলের ইনপুট প্রতিধ্বনি করবে। অন্য হোস্ট থেকে, টেলনেটটি আপনার সার্ভারের 21 পোর্ট করতে এবং আপনি একটি TCP সংযোগ পেয়েছেন কিনা তা যাচাই করে নিন এবং যখন আপনি টেলনেট সংযোগটি টাইপ করেন তখন আপনি শেলের আউটপুট দেখতে পান।

অবশেষে, ভিএসএফটিপিডিটিকে ব্যাক আপ আনুন, 21 পোর্টে এটি শুনছে তা যাচাই করুন এবং আবার সংযোগ দেওয়ার চেষ্টা করুন। নেটকাটের সাথে সংযোগ যদি কাজ করে তবে আপনার iptables নিয়মগুলি ঠিক আছে। নেটক্যাট কাজ করার পরে যদি ভিএসএফটিপিডির সংযোগ কাজ না করে তবে কিছু ভুল আপনার ডাব্লু / আপনার ভিএসএফটিপিডি কনফিগারেশন।

এই নিয়ম ব্যবহার করে দেখুন। দ্রষ্টব্য: $EXTIPFTP সার্ভারের জন্য আপনার বাহ্যিক আইপি ঠিকানা।

-A INPUT -i $EXTIP -m state --state NEW,ESTABLISHED,RELATED -p TCP -s 0.0.0.0 -d $EXTIP --dport 21 -j ACCEPT

আমার ক্ষেত্রে আমি ip_conntrack_ftp কার্নেল মডিউলটি অনুপস্থিত। এটি বোঝা প্রয়োজন। সুতরাং আপনি এটি চেষ্টা করতে পারেন:

modprobe ip_conntrack_ftp

এবং ip_conntrack_ftp / / etc / মডিউলগুলিতে যুক্ত করুন যাতে এটি পুনরায় চালু হওয়ার পরে কাজ করবে