Forum Linux.pl

System => Sieć => Wątek zaczęty przez: hatak w 2019-03-02, 19:25:14

Tytuł: Brak transmisji danych po ftp
Wiadomość wysłana przez: hatak w 2019-03-02, 19:25:14
Mam problem z połączeniami szyfrowany z zewnętrznymi serwerami ftp. Mam małą sieć z routerem na Slackwarze 14.2, iptables 1.6.2. Firewall-a zrobiłem na iptables i mam problem z korzystaniem z połączeń ftps. Komputery w mojej sieci nawiązują połączenie, ale nie listuje mi folderów (brak transmisji danych). Ruch po zwykłym ftp działa, zastosowałem śledzenie połączeń. Niestety nie mogę sobie poradzić z ruchem szyfrowanym. Czytałem, że moduł śledzenia połączeń conntrack nie zadziała, ze względu na szyfrowanie. Niestety nie znalazłem sensownej odpowiedzi, poza otwieraniem wszystkich nieuprzywilejowanych portów. W jaki sposób skonfigurować iptablem, żeby forwardowało połączenia szyfrowane z komputerów za NAT-em. Otwieranie wszystkich uprzywilejowanych portów odpada, nie chcę mieć takiej tuby na routerze.

Moje reguły i moduły dla ruchu nie szyfrowanego:
nf_conntrack_ftp, modprobe nf_nat_ftp 
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i $LAN -p tcp --dport 21 -m conntract --ctstate -j ACCEPT

lsmod | grep ftp daje:

nf_nat_ftp             16384  0
nf_conntrack_ftp    16384  1 nf_nat_ftp
nf_nat                  36864  2 nf_nat_ftp,nf_nat_ipv4
nf_conntrack         135168  6 xt_conntrack,nf_nat,nf_nat_ftp,ipt_MASQUERADE,nf_nat_ipv4,nf_conntrack_ftp

Tytuł: Odp: Brak transmisji danych po ftp
Wiadomość wysłana przez: Paweł Kraszewski w 2019-03-02, 20:41:18
Właśnie dlatego protokół FTP jest od dawna technologicznie martwy... A czy tryb ACTIVE nie rozwiąże sprawy? Wtedy i control i data wychodzą od klienta do serwera i NATowi nic do tego.

Przesadź klientów na cywilizowane protokoły jak HTTPS, SFTP czy  RSYNC.
Tytuł: Odp: Brak transmisji danych po ftp
Wiadomość wysłana przez: wulkan w 2019-03-07, 12:50:05
Chętnie bym tak zrobił. Niestety badziewne (pod względem wyglądu, działania, administracji oraz supportu) oprogramowania pewnej firmy do przesyłania danych wykorzystuje protokół ftp. Chcę czy nie muszę to obsłużyć.