Nowe posty

xx Dystrybucja pod HP Omen (6)
Wczoraj o 23:30:08
xx [Poradnik] Wyszukiwanie Sterowników (2)
Wczoraj o 21:08:23
lamp Problem z Linux Lite po instalacji (0)
Wczoraj o 19:50:30
xx Ile pingwinów? (1)
Wczoraj o 08:59:24
xx konfiguracja pale moon (0)
2024-03-24, 21:53:42
xx Plasma 6 w Neonie ssie trochę mniej ... (10)
2024-03-23, 02:38:11
xx problem z instalacja sterowników do karty sieciowej (3)
2024-03-18, 18:10:16
xx Plik abc.001 (1)
2024-03-17, 17:48:27
xx Zlecę dopracowanie programu w MatLab (0)
2024-03-13, 15:28:40
xx Linux Mint 21.3 XFCE brak dźwieku po paru minutach (karta muzyczna zintegrowana) (5)
2024-03-12, 23:07:01

Autor Wątek: Problem z odświeżaniem :]  (Przeczytany 9508 razy)

pabloroz

  • Gość
Problem z odświeżaniem :]
« dnia: 2006-03-30, 12:53:46 »
Witam

Mam postawionego Linucha Mandrake 10.1 oraz iptables. Komputer służy za serwer oraz routerek. Maskarada działa.
Postawiłem ostatnio serwer FTP o nazwie ProFTPd. Kiedyś wcześniej sie nim bawiłem i nie miałem problemu, teraz coś znów nie działa. Skonfigurowałem konto usera, stworzyłem katalog nadałem uprawnienia.
I jak przychodzi połączyć się na tego użytkownika spoza sieci lokalnej do w trybie aktywnym i pasywnym otrzymuję komunikat 500 ILLEGAL PORT COMMAND. W passivie nie chcę otwierać dodatkowych portów - więc chcę, aby serwer chodził na active.
Jeżeli chodzi o moduły, to zarówno ip_conntrack, ip_nat_ftp jak i ip_conntrack_ftp są załadowane.

Proszę o pomoc w rozwiązaniu tego problemu.
Pozdrawiam.

jezior

  • Gość
Problem z odświeżaniem :]
« Odpowiedź #1 dnia: 2006-03-30, 13:14:25 »
2006-03-30 12:53:46 pabloroz napisał:

> W passivie nie chcę otwierać dodatkowych
 > portów - więc chcę, aby serwer chodził na active.
 > Jeżeli chodzi o moduły, to zarówno ip_conntrack, ip_nat_ftp jak i ip_conntrack_ftp są
 > załadowane.
 > Proszę o pomoc w rozwiązaniu tego problemu.

iptables -nL #i popatrz co nakombinowałeś.

pabloroz

  • Gość
Problem z odświeżaniem :]
« Odpowiedź #2 dnia: 2006-03-30, 13:27:24 »
Już mówię, jak to wygląda:

W zaporze mam ustawioną domyślną politykę na łańcuchach INPUT i OUTPUT na DROP

Natępinie otwieram ruch na portach w następujący sposób:

iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -p tcp --sport 20:21 -j ACCEPT
iptables -A INPUT -p tcp --sport 113 -j ACCEPT
iptables -A INPUT -p tcp --dport 113 -j ACCEPT

Na tej samej zasadzie działa serwer www, których chodzi.

Jeżeli chodzi o wylistowanie polityki do otrzymuję, że zarówno dla łąńcucha IMPUT jak i OUTPUT ruch:
dpts:ftp-data:ftp jest ACCEPT na INPUT
spts:ftp-data:ftp jest ACCEPT na OUTPUT


jezior

  • Gość
Problem z odświeżaniem :]
« Odpowiedź #3 dnia: 2006-03-30, 13:31:34 »
2006-03-30 13:27:24 pabloroz napisał:

> Już mówię, jak to wygląda:

A wiesz jak to wyglada od strony klienta?
Klient jest napewno za firewallem+NAT. Jedyny sposob w jaki sie moze komunikowac z ftp jest passive. Ty passive \\"wyciąłeś\\"

Teraz chwytasz co nakombinowales?

pabloroz

  • Gość
Problem z odświeżaniem :]
« Odpowiedź #4 dnia: 2006-03-30, 13:39:03 »
W takim układzie popraw mniej, jeżeliźle myślę.

Jeżeli serwer FTP jes nawet na tej samej maszynie, na której jest NAT, to połączenie w trybie aktywnym na porty 20 i 21 możliwe jest jedynie, jeżeli klient FTP nie jest za natem - ma adres globalny?
Jeżeli jest za NATem, to połączenie jest możliwe tylko w trybie pasywnym??

Może się mylę, ale wydaje mi się że jakiś rok temu było tak, że łączyłem się z tym FTPem w activie też będąc za NATem, ale nie pamiętam dokładnie.

W związku z tym muszę w PROFTPD ustawić zakres portów pasywnych i na łańcuchach INPUT i OUTPUT te łańcuchy dopuścić??
Jeżeli tak, to jaki może być najmniejszy możliwy zakres otwartych portów dla trybu pasywnego??

jezior

  • Gość
Problem z odświeżaniem :]
« Odpowiedź #5 dnia: 2006-03-30, 13:48:21 »
2006-03-30 13:39:03 pabloroz napisał:

 > Jeżeli serwer FTP jes nawet na tej samej maszynie, na której jest NAT, to połączenie w trybie
 > aktywnym na porty 20 i 21 możliwe jest jedynie, jeżeli klient FTP nie jest za natem - ma adres
 > globalny?

Zakreciles. opisz to sensowniej.


 > Jeżeli jest za NATem, to połączenie jest możliwe tylko w trybie pasywnym??

Tak. chyba ze ktos kto stawial firewall \\"dziurawił\\" go i \\"przekierowywał\\" bo a nuż ktoś bedzie chcial skorzystac z ftp w trybie active...naprawde szczerze w to watpie.
 
 > ale nie pamiętam dokładnie.

Wlasnie, nie pamietasz.

 > W związku z tym muszę w PROFTPD ustawić zakres portów pasywnych i na łańcuchach INPUT i OUTPUT
 > te łańcuchy dopuścić??

Masz regulki ustawione jako static, to naprawde zly pomysl jesli udostepniasz jakies uslugi na zewnatrz, szczegolnie np. ftp... Duzo babrania w regulkach i \\"dziurawienia\\" firewalla.

Zadanie:
Dowiedziec sie co to keep-state i stateful firewall.

pabloroz

  • Gość
Problem z odświeżaniem :]
« Odpowiedź #6 dnia: 2006-03-30, 14:00:18 »
Już może uda mi się wytłumaczyć sensowniej:
Otórz mam małą sieć, której routerem jest Linux. Na tym serwerze działa treanslacja adresów, aby kilka komputerów mogło korzystać z sieci.
Teraz - na tym samym serwerze postawiony jest serwer ProFTPd. Jaka jest więc możliwość i jeżeli tak, to jak to zrobić, aby serwe przyjmował tylko połączenia aktywne (port 20 i 21), niezależnie od tego, czy klient który podłącza się do serwera z innej sieci jest za NATem, czy też nie.

 >  > Jeżeli jest za NATem, to połączenie jest możliwe tylko w trybie pasywnym??
 >
 > Tak. chyba ze ktos kto stawial firewall \\"dziurawił\\" go i \\"przekierowywał\\"

Wszystkie reguły wpisywane są ręcznie. Jeżeli chodzi o łańcuch INPUT i OUTPUT to dopuszczone są jedynie usługi http, https, ssh, dns i ftp. I te reguły wpisywane są ręcznie wszystko pozostałe jest na DROP.
Jeżeli chodzi o łańcuch FORWARD, to tutaj w zależności od pory dnia udostępniane są albo określone usługi (w postaci nowych łańcuchów), albo puszczany jest cały ruch.
Dla kilku komputerów zrobione jest równie przekierowanie portów na inne usługi, jak DC++, itp.

 > bo a nuż ktoś bedzie chcial skorzystac z ftp w trybie active...naprawde szczerze w to watpie.
 >  
 >  > ale nie pamiętam dokładnie.
 >
 > Wlasnie, nie pamietasz.
 >
 >  > W związku z tym muszę w PROFTPD ustawić zakres portów pasywnych i na łańcuchach INPUT i
 > OUTPUT
 >  > te łańcuchy dopuścić??
 >
 > Masz regulki ustawione jako static, to naprawde zly pomysl jesli udostepniasz jakies uslugi na
 > zewnatrz, szczegolnie np. ftp... Duzo babrania w regulkach i \\"dziurawienia\\"
 > firewalla.
 >
 > Zadanie:
 > Dowiedziec sie co to keep-state i stateful firewall.
 >

Tym zajmę się na przyszłość, na razie powoli i z mozołem poznaję zasadę działania iptables (z czym nie ukrywam mam spore problemy).

jezior

  • Gość
Problem z odświeżaniem :]
« Odpowiedź #7 dnia: 2006-03-30, 14:06:04 »
2006-03-30 14:00:18 pabloroz napisał:

> Już może uda mi się wytłumaczyć sensowniej:
 > Otórz mam małą sieć, której routerem jest Linux. Na tym serwerze działa treanslacja adresów,
 > aby kilka komputerów mogło korzystać z sieci.
 > Teraz - na tym samym serwerze postawiony jest serwer ProFTPd. Jaka jest więc możliwość i jeżeli
 > tak, to jak to zrobić, aby serwe przyjmował tylko połączenia aktywne (port 20 i 21), niezależnie
 > od tego, czy klient który podłącza się do serwera z innej sieci jest za NATem, czy też nie.

To tylko passive.
Jeszcze raz, firewall czy nawet niech Ci bedzie te pare regulek recznie ale powinny one byc typu stateful.

 > Tym zajmę się na przyszłość, na razie powoli i z mozołem poznaję zasadę działania iptables (z
 > czym nie ukrywam mam spore problemy).

To niestety nie jest pytanie typu: \\"jak wyjść z vi?\\"
Nie da sie odpowiedziec jednym zdaniem. A mi sie nie chce urządzać szkolenia na 100 postów.
Bez solidnej wiedzy na temat iptables nie mamy w ogole o czym rozmawiac...

Rozwiazaniem \\"użyj i zapomnij\\" jest jakis gotowy zestaw regulek firewall\\'a

pełno tego w sieci.

pabloroz

  • Gość
Problem z odświeżaniem :]
« Odpowiedź #8 dnia: 2006-03-30, 14:12:31 »
2006-03-30 14:06:04 jezior napisał:
> To niestety nie jest pytanie typu: \\"jak wyjść z vi?\\"
 > Nie da sie odpowiedziec jednym zdaniem. A mi sie nie chce urządzać szkolenia na 100 postów.
 > Bez solidnej wiedzy na temat iptables nie mamy w ogole o czym rozmawiac...

Tutaj niestety muszę się z tobą zgodzić w 100%. Moja wiedza na temat iptables i generalnie budowy zapór jest wręcz minimalna.

Jednak nie ukrywam, że udało Ci się mi pomóc. Ustawiłem zakres pasywny w ProFTPd i puściłem te porty na firewallu. Udało mi się połączyć z serwerem FTP.

Tak więc dziękuję za pomoc i pozdrawiam

Grochal

  • Gość
Problem z odświeżaniem :]
« Odpowiedź #9 dnia: 2006-03-30, 00:40:06 »
Witam wszystkich. Mam problem z odswieżaniem i sam jestem świeżak ;) MOja grafika to GF5200. PO xp chodzi monitor 913v taki samsung lcd 80KHz/75Hz, a na suse 10 mam 73Hz. Może to wydawać się niektórym dziwne, ale ta mała różnica sprawia, że strasznie mnie oczy bolą  po paru minutach pracy. PO przełączeniu pomiędzy systemami muszę regulować położenie obrazu w monitorze. Wiecie co zrobić, aby mięć parametry jak w xp?

Mój xorg.conf

Section "Monitor"
  DisplaySize  380 300
  HorizSync    30-80
  Identifier   "Monitor[0]"
  ModelName    "SYNCMASTER 910V/910M/913V/915V"
  Option       "DPMS"
  VendorName   "SAMSUNG"
  VertRefresh  60-75
  UseModes     "Modes[0]"
EndSection

Section "Device"
  BoardName    "GeForce FX 5200 (0x0322)"
  BusID        "1:0:0"
  Driver       "nvidia"
  Identifier   "Device[0]"
  Screen       0
  VendorName   "NVidia"
EndSection

Section "Screen"
  DefaultDepth 24
  SubSection "Display"
    Depth      15
    Modes      "1280x1024" "1280x960" "1280x800" "1152x864" "1280x768" "1024x768" "800x600" "768x576" "640x480"
  EndSubSection
  SubSection "Display"
    Depth      16
    Modes      "1280x1024" "1280x960" "1280x800" "1152x864" "1280x768" "1024x768" "800x600" "768x576" "640x480"
  EndSubSection
  SubSection "Display"
    Depth      24
    Modes      "1280x1024" "1280x960" "1280x800" "1152x864" "1280x768" "1024x768" "800x600" "768x576" "640x480"
  EndSubSection
  SubSection "Display"
    Depth      32
    Modes      "1280x1024" "1280x960" "1280x800" "1152x864" "1280x768" "1024x768" "800x600" "768x576" "640x480"
  EndSubSection
  SubSection "Display"
    Depth      8
    Modes      "1280x1024" "1280x960" "1280x800" "1152x864" "1280x768" "1024x768" "800x600" "768x576" "640x480"
  EndSubSection
  Device       "Device[0]"
  Identifier   "Screen[0]"
  Monitor      "Monitor[0]"
EndSection

chmooreck

  • Gość
Problem z odświeżaniem :]
« Odpowiedź #10 dnia: 2006-03-30, 08:27:33 »
2006-03-30 00:40:06 Grochal napisał:

 >   HorizSync    30-80
 >   VertRefresh  60-75

bylo... zerknij do dokumentacji monitora i wpisz w linijkach powyzej odpowiednie wartosci

Grochal

  • Gość
Problem z odświeżaniem :]
« Odpowiedź #11 dnia: 2006-03-30, 08:31:12 »
2006-03-30 08:27:33 chmooreck napisał:

> 2006-03-30 00:40:06 Grochal napisał:
 >
 >  >   HorizSync    30-80
 >  >   VertRefresh  60-75
 >
 > bylo... zerknij do dokumentacji monitora i wpisz w linijkach powyzej odpowiednie wartosci
Nadal bez zmian :( Te same częstotliwości, co wcześniej. Pomocy!

chmooreck

  • Gość
Problem z odświeżaniem :]
« Odpowiedź #12 dnia: 2006-03-30, 09:10:40 »
2006-03-30 08:31:12 Grochal napisał:

> 2006-03-30 08:27:33 chmooreck napisał:

 > Nadal bez zmian :( Te same częstotliwości, co wcześniej. Pomocy!

i wywal
UseModes "Modes[0]"

sterownik sam dobierze najwyzszy dostepny tryb... mozesz ewentualnie zagladnac do logow X'ow i zobaczyc co mu sie nie podoba przy wyzszych rozdzielczosciach