spuhulinux.blog.hu

Az én UHU-Linux "tudástáram". Ennyi és nem több... Ha kevés, vagy valami nem jó, ígérem kijavítom! Mostanában az alaptéma kiegészül a Wordpress boncolgatásával is. Meg a CMS, ugyebár. Remélem nem baj? :-)

Non-Hungarian Speakers / Readers

Naptár

június 2017
Hét Ked Sze Csü Pén Szo Vas
<<  < Archív
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30

Utolsó kommentek

  • Károvics János: Üdv mindenkinek UHU3-at használok, felraktam hozzá egy sype-t. 4.3. Magyar nyelvre nem lehet be ... (2016.02.16. 20:14) UHU felhasználók levelező listája (kezdő)
  • bilolyogus: apt-get install kernel-headers-$(uname -r) (2012.05.29. 16:28) VMware Tools installálás > UHU-Linux (Guest)
  • SPétör: Windows-on nem csináltam, de ez rendben volt? --> " Ajánlom, h olvasd el az infót amit ekkor lá... (2010.08.09. 15:42) Login
  • devil_sasa: szia. Köszi, hogy segítesz... a te írásaid között találtam egy pendrive-ról indítható uhu-linux 2.... (2010.08.09. 14:24) Login
  • SPétör: Szia! Nem figyelem, de kapok figyelmeztetést... Már nem uhuzok, de ha gondolod, mondjad hátha tud... (2010.08.08. 21:13) Login
  • devil_sasa: Szia SPétör! nem tudom ,még figyeled-e ezt a blogot, ha igen lenne egy két kérdésem, ha megtisztel... (2010.08.08. 13:35) Login
  • jocosd: iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT modp... (2010.07.28. 22:31) FTP és iptables karambol
  • MezoArt: Sziasztok! Segítség! Elegem van a Visztából!!! Komolyan elgondolkodtam, hogy mivel lehet leváltani... (2010.05.18. 18:00) Üzenőfal
  • Alfonz64: Nekem így kér root jogot. az asztalon lévő krusader ikonon jobb klikk/tulajdonságok töröld ki a p... (2010.04.03. 19:57) Krusader root jogokkal - megoldás(?)!
  • accipiter: Egy kis segítség: gameworld.blog.hu/2009/09/16/mobiltulajdonosok_itt_az_opera_mini_5_betaja#commen... (2009.09.25. 14:35) PDA vs. linux
  • Utolsó 20

Keresés

Google

Címkék

2.1 (4) ajánló (1) aktuális (1) alltray (1) alt tab (1) analízis (1) analog (1) apache (1) apt (1) aptana (1) apt get (2) asus (1) ati driver (1) basket note pads (2) beállítások (1) bérlés (1) biztonság (17) bleezer (1) blog (16) bluefish (1) böngésző (2) buli (1) bulvár (1) chmod (2) cms (5) cmsmadesimple (2) copy paste (2) creative commons (1) család (1) csomagok kezelése (1) css (2) custom (1) daemontools (2) desktop (4) driver (1) dual homed (1) dv1394 (1) e107 (2) élet (1) életérzés (1) életképek (1) én (1) english (1) etherape (1) exkluzív (1) exploit (1) extension (1) fbrun (1) feladatlista (1) firefox (5) fluxbox (12) folyamatok leállítása (2) fórum (2) freeweb (2) frekvencia (1) ftp (5) fwanalog (5) gkrellm (1) gnome (3) goldenblog (1) google (2) gtk (1) gui (1) gyorsítás (1) hálózat (1) hardware (1) hdd1 (1) htop (1) humor (1) ies4linux (1) ikon (1) információ (3) ingatlan (1) initd (1) inkscape (4) installálás (1) internet explorer (3) ip (1) iptables (27) ip cím (1) iroda (1) java (1) jogok (1) kecskemét (1) képernyő felbontás (2) kernel (3) kiadó (1) kill (2) kimili flash embed (1) kjots (1) klippek (1) konfiguráció (1) krusader (3) linkek (1) linux (1) localhost (2) log (7) login (1) lprm (1) magyarítás (1) média (1) menü (3) messages (1) mindennap (1) monitor (2) mount (4) music (1) mysql (9) napi music (1) napi zene (1) navigator (1) netikett (1) netscape (1) network manager (2) notebook (3) numlock (3) numlockx (2) off (1) olcsó (1) openbox (2) openoffice (2) opera (6) operációs rendszer (1) ötletek (1) partícionálás (2) pc (1) pda (3) php (1) phpmyadmin (2) picasa web album (1) pidgin (2) plugin (6) pocket informant (2) probléma (4) processzor (2) proxy (1) pytube (1) qtparted (1) ram (2) reboot (1) recursive (1) resolution (1) rím (1) rímek (1) root (1) router (1) rtfm (1) runleveld (2) sawmill (1) seamonkey (2) shared folders (4) shutdown (1) skype (3) spuhuflux (4) spuhulinux (6) statisztika (10) sudo (5) swap (1) swiftweasel (1) szkript (1) szolgáltatások (1) szövegelés (44) születésnap (1) tab (1) tango (1) tapasztalatok (1) telepítés (3) tinymce (2) top (2) truecrypt (3) tűzfal (16) uhu (1) uhu linux (31) usb (1) user (1) üzlet (1) vészhelyzet (1) vezérlőpult (1) videókártya (1) virtual disk manager (1) vmmon (2) vmnet8 (2) vmware (7) vmware server (1) vmware toolbox (1) vmware tools (5) vmware workstation (18) wallpaper (1) webfejlesztés (1) webszerkesztés (3) web developer (1) wep (1) wifi radar (3) wiki (1) wireless (3) wordpress (21) wordpress theme (6) wpa (1) wysiwyg (1) xampp (1) xhost (2) xrandr (1) xterm (2) zene (1) Címkefelhő

Egyéb linkek

FTP és iptables karambol

2007.08.06. hétfő 14:59 SPétör


Az iptables örök témám lesz... egy örökké tartó történet. Már megint észrevettem valamit, ami még nem működik: FTP

A jelenlegi tűzfalam ez.

Elvileg az FTP (20, 21 port) engedélyezve van, az iptables mégis letiltja z FTP-t.
# Engedélyezzük befelé, ami tőlünk származik.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
---
iptables -A OUTPUT -p tcp -m multiport --dports 20,21,22,25,53,67,80,110,443,465,995,1863,36013 -j ACCEPT
iptables -A OUTPUT -p udp -m multiport --dports 20,21,22,25,53,67,443 -j ACCEPT
Ha a tűzfalat leállítom és mindent engedélyezek, akkor megy az FTP, tudok ftp-zni például a freeweb felé. (nem a saját FTP szerverről van szó, bár lehet, hogy az sem menne. Erről jut eszembe, be kellene fejeznem az FTP témát  > userek).
Lehet, hogy az FTP más portot akarna használni? Vagymi?
Akkor RTFM, ha szabad mondanom...

SP


Kiegészítés 2007. augusztus 07.

Kipróbáltam a passziv módót és a 20 és 21 portot is:
220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
220-You are user number 35 of 75 allowed.
220-Local time is now 19:47. Server port: 21.
220-This is a private system - No anonymous login
220 You will be disconnected after 2 minutes of inactivity.
USER mzperx
331 User mzperx OK. Password required
PASS *
230-Your bandwidth usage is restricted
230-User mzperx has group access to:  1500    
230 OK. Current restricted directory is /
PWD
257 "/" is your current location
Aborted ftp operation
connection failed

Most itt tartok.

SP

32 komment

Címkék: ftp iptables

A bejegyzés trackback címe:

http://spuhulinux.blog.hu/api/trackback/id/tr2133575

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

mavo · http://polmavo.blog.hu 2007.08.06. 23:28:05

Be kő gyelölni, hogy passzív ftp-t hasznyácc, mer az aktív az nyitogatná a portokat serényen, a tűzfal meg beint.

SPétör 2007.08.07. 12:27:24

Na, nem dicsekvésképpen mondom (ha akarod elhiszed, ha akarod nem), de éppen ezen gondolkodtam (csak kissé lassan forog a kerék...).
Otthon megnézem.
Köszönöm.
SP

SPétör 2007.08.07. 19:54:04

Fent van a folytatás...
SP

mavo · http://polmavo.blog.hu 2007.08.09. 13:39:43

A belog sikerült, utána valami ftp tevékenység behalt, ennyi információnk van.

Tudja a rák, mi van ilyenkor

Épp mostanában láttam olyan ftp-t, hogy az Istennek nem volt hajlandó valóban passzív módban dolgozni, az meg ugye mohó bocit csinál a júzerből.

Csakhogy nincs port parancs hiba, tehát elméletileg ez kiesik, még az is megeshet, az ftp szerver rákos.

De biztos, ami biztos port dolgában ki kell próbálni a következőt:

tcpdump -av | grep ftp

az segíthet megkeresni, mi merre hány méter, a hostnevek mögé teszi ponttal elválasztva a port számát vagy nevét.

mavo · http://polmavo.blog.hu 2007.08.09. 13:43:25

Jut eszembe: a kernel netfilterbe be vannak fordítva az ftp modulok mind? Jó lenne tudni, bár elméletileg akkor nem is csatlakozna.

SPétör 2007.08.10. 10:58:24

Amit írtál hétfőn megnézem. Egyébként elvileg minden fent van ami kell neki, mert iptables ACCEPT-tel megy a dolog.
???
SP

SPétör 2007.08.13. 18:50:22

Na szóval, megnéztem:
root:~# tcpdump -av | grep ftp
tcpdump: WARNING: wifi0: no IPv4 address assigned
tcpdump: listening on wifi0, link-type IEEE802_11 (802.11), capture size 96 bytes
0 packets captured
0 packets received by filter
0 packets dropped by kernel

és csend...
Az FTP meg nem megy. :-(
SP

mavo · http://polmavo.blog.hu 2007.08.15. 18:06:15

Az én hibám, elnézést.

tcpdump -av -i ethX | grep ftp vagy
tcpdump -av -i pppX | grep ftp,

attól függően, mivel kapcsolódsz a hálózatra/netre.

Amikor pedig ps aux | grep ftp-t adsz ki, nézd meg, hogy esetleg valami readprocos kavarás látszik-e.

mavo · http://polmavo.blog.hu 2007.08.15. 18:07:24

Ja, és akkor csináld, amikor megpróbálsz kapcsolódni. Tehát tcpdump elindít, kapcsolódni próbál és közben tcpdump kimenet sasol, ez a módszer.

SPétör 2007.08.15. 19:11:20

Most nincs nálam a gép, holnap megpróbálom!
Köszönöm.
SP

SPétör 2007.08.16. 19:59:38

Szia mavo!
Megnéztem. Csatlakozni próbáltam és közben terminálban ment az amit írtál:

root:~# tcpdump -av -i eth0 | grep ftp
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
19:53:35.938348 IP (tos 0x0, ttl 64, id 31754, offset 0, flags [DF], proto: TCP (6), length: 52) 86-122-97-xxx.rdsnet.ro.58972 > mystic.root.hu.ftp: F, cksum 0xa0d2 (correct), 3154996542:3154996542(0) ack 1993877682 win 71
19:53:35.988739 IP (tos 0x0, ttl 62, id 61415, offset 0, flags [DF], proto: TCP (6), length: 52) mystic.root.hu.ftp > 86-122-97-xxx.rdsnet.ro.58972: ., cksum 0x783b (correct), ack 1 win 1448

Ennyi. Nem csatlakozott.
SP

mavo · http://polmavo.blog.hu 2007.08.27. 13:59:38

Ez kevésnek tűnik. Tuti nem volt más?

SPétör 2007.08.27. 14:23:46

Hát, vártam pár percig...
oszt' jónapot.
???
SP

mavo · http://polmavo.blog.hu 2007.09.17. 10:50:33

Ne haragudj, nagyon elfoglalt vagyok mostanság, remélem, jövő héten már meg tudom nézni, mi a gond ezzel.

mavo · http://polmavo.blog.hu 2007.09.17. 10:54:57

(hétvégén felrakok magamnak tűzfalat, ha lesz időm, aztán hajrá strace)

SPétör 2007.09.17. 11:04:13

Szia mavo!
Ne hülyéskedj! :-)
Gondoltam, hogy dolgod van. Most nekem sincs túl sok időm. Költözés előtt állok.
Szóval csak nyugodtan!
SP

nasum 2008.01.11. 03:14:17

esetleg nem lehet hogy az ftp serverben mas a passive port? olyan amit nem engedsz? mert olyankor tortenik hogy a bejelentkezesig eljutsz, de utana lehal...

SPétör 2008.01.11. 13:49:56

Szia nasum!
Ne haragudj, de visszakérdezek:
kinek az FTP szerverére gondolsz?
Mert ez a hiba minden próbára ugyanazt adja:
freeweb.hu , extra.hu és egyebek.
Ezek elvileg a szabvány portot használják.
SP

Hurubbi 2008.01.27. 20:01:13

Szia!
Úgy találtam a blogodra, hogy nekem pont ugyanez volt a problémám, és keresés közben ezt dobta ki a google.
Lényegre térve:
Valahogy észrevettem, hogy még régebben a tűzfalscriptemből kikommenteztem az ftp kapcsolatkövető modult, de érdekes módon Slackware alatt teljesen jól működött az ftp csatlakozás. Néhány hete lett ez probléma,
mióta áttértem Debianra.
Rakd bele a tűzfalscriptedbe ezt:
modprobe ip_conntrack_ftp

Reméljük ezzel megoldódik a gond.

SPétör 2008.01.27. 22:04:09

Szia Hurubbi!
Holnap megnézem, köszönöm az ötletet.
Valamit olvastam erről, utánanézek.
SP

Hurubbi 2008.01.28. 16:03:59

Közben eszembe jutott miért mehetett nekem Slacki alatt enélkül is, mert saját kernelt használtam, és beleforgattam fixen a modult. :)

SPétör 2008.01.28. 20:01:18

Közben gondolkodtam a dolgon és pont addig jutottam, hogy valahol a conntrack modulró ítják, hogy kernelbe van forgatva, bár úgy látom, hogy az UHU-nál nem.
root@localhost2:~# dmesg | grep conntrack
[ 29.209097] nf_conntrack version 0.5.0 (15360 buckets, 61440 max)
tehát ez az ip_conntrack_ftp nincsen ott.
Kipróbáltam terminálbó a modprobe-ot, de rá sem mozdul, szóval nincs ilyen modul (?).
Hmm.
SP

SPétör 2008.01.28. 20:02:26

modulról írják...

Hurubbi 2008.01.28. 20:57:03

Nézz szét itt:
/lib/modules/kernelverzió/kernel/net/ipv4/netfilter

SPétör 2008.01.28. 21:01:27

Itt:
/lib/modules/2.6.23.9-1/kernel/net/ipv4/netfilter
conntrack néven ez van:
nf_conntrack_ipv4

UHU 2.1! ha ez számít valamit

Hurubbi 2008.01.29. 21:06:34

Belenéztem egy újabb kernel forrásába, úgy tünik az újakban már egybeolvadhattak a kapcsolatkövető modulok. A Debianban még 2.6.18 van, ott még van ftp kapcsolatkövető modul.
Próbáld meg betölteni modprobe-al az nf_conntrack_ipv4 modult, hátha azzal megy.

SPétör 2008.01.29. 23:30:25

Közben az OUTPUT ágat engedélyeztem, de visszacsinálom és megnézem úgy is.

root@localhost2:~# dmesg | grep nf_
[ 28.888444] nf_conntrack version 0.5.0 (15360 buckets, 61440 max)

Szóval ez a modul megy.
De kipróbálom.
Köszönöm.
SP

mavo · http://polmavo.blog.hu 2008.04.09. 20:55:37

Nem tudom, hogy foglalkozol-e még vele, de minumum ötvenszer átszaladtunk a hiba felett.

Van ez a sor:

iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

ez sajna csak icmp protokollos cuccokra engedi a dolgokat, ami marhaság.

Helyesen:

iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

mavo · http://polmavo.blog.hu 2008.04.09. 20:56:19

Bocsánat, helyesen:

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Az új csomagokat azért csak úgy válogatás nélkül mégse ...

SPétör 2008.04.09. 21:03:42

Persze, hogy persze... :-) kedvenc témám még mindig.
Javítom!
Hétvégén partíció átméretezés, ahogy írtad a Hiren-nel, ha nem sikerül --> újratelepítés!
SP

jocosd 2010.07.28. 22:31:30

iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT
modprobe ip_conntrack_ftp
A harmadik a passziv ftphez kell. Ez nélkül csak aktív ftp fog menni, de a kliensek általában a passzív módban mennek. A kapcsolathoz a kliens kezdeményez egy új kapcsolatot egy véletlen portra (amit a szerver jelöl ki és küld el a kliens számára) a command csatornán(21)) 1024 felett.