FTP-Ports?

  • Hallo Leute,
    bezüglich der Einrichtung von iptables bin ich zur Zeit an der Einrichtung eines FTP-Servers. Hierzu die Frage: welche Ports außer 21 und 20 nutzt eine normale FTP-Verbindung? (Vmtl. passives FTP) Eigentlich sollten die beiden reichen, oder?
    Mein Problem: mit den folgenden Firewallregeln kriege ich keine Verbindung, wenn die Firewall aktiv ist...


    Gigabyte GA-X58A-OC, Intel i7-980X, 12GB DDR3-RAM 2000Mhz, 2x Geforce GTX480, 1x Geforce 8800GTS, X-Fi Platinum, 3x OCZ-SSD 120GB (Raid0), watercooled


    "Die Welt ist klein, gemein und gnadenlos, und jeder stirbt einsam..."

    Einmal editiert, zuletzt von Mjolnir ()

  • also so sollte das in etwa aussehen:


    iptables -A INPUT -p tcp --dport ftp -j ACCEPT
    iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT
    iptables -A INPUT -p ALL -i eth0 -m state --state \ ESTABLISHED,RELATED -j ACCEPT
    iptables -A OUTPUT -o eth0 -p tcp --sport ftp -j ACCEPT
    iptables -A OUTPUT -o eth0 -p tcp --sport ftp-data -j ACCEPT


    zumindest für aktiv ;)

  • Mhm, ich habe deine Lösung etwas umgewandelt und jetzt folgendes:


    Damit geht es. Seltsam. Weißt du, warum ich alle ausgehenden Verbindungen und bestehende eingehende Verbindungen ganz erlauben muss, statt speziell pro Port?

    Gigabyte GA-X58A-OC, Intel i7-980X, 12GB DDR3-RAM 2000Mhz, 2x Geforce GTX480, 1x Geforce 8800GTS, X-Fi Platinum, 3x OCZ-SSD 120GB (Raid0), watercooled


    "Die Welt ist klein, gemein und gnadenlos, und jeder stirbt einsam..."

  • Zitat

    Original von BigWhoop
    imho öffnet passives ftp beim ausgang irgendeinen port der gerade so frei ist im oberen bereich und sendet dann darueber.


    fast ... der client öffnet zwei zufällige ports, einmal n>1023 zum initiieren der Verbindung und dann n+1 ... übertragen wird jedoch nur über den n+1 port.


    also:
    initiierung : client >1023 -> server 21
    daten : client >1023 -> server >1023


    d.h du musst alle Verbindungen von außen zu ports > 1023 erlauben.


    zum Vergleich aktiv:


    initiierung : client >1023 -> server 21
    daten : client >1023 <- server 20

    [Laptop] Thinkpad X300 | Ubuntu 11.04 Natty
    [Server] VMware ESXi 5.0 | Supermicro X8SIL-F | Intel Xeon X3440 | 16GB Mushkin Proline PC3-10667E ECC | 2x3TB Seagate Constellation ES.2 SAS @ zfs_mirror | LSI SAS 9211-4i