Proftpd+sftp - brak połączenia z zewnątrz

Hectic · Sierpień 6, 2012

Witam,

przebudowałem sobie proftpd na serwerze bo było skompilowane bez mod_sftp. Sprawdziłem na telnet i z serwera na porcie 21 i 23 (dla sftp) mam połaczenie, czyli niby sukces , ale nie da się połączyć z zewnątrz. Zakładam, że to wina firewalla. Posiadam Debiana 5.0 i tam jest jakieś iptables, tylko jak się z tego korzysta? Jestem początkujący w temacie więc proszę o pomoc

SanKen · Sierpień 6, 2012

wpisz

iptables -S

I dostaniesz aktualne reguły. I pokaż co tam masz.

Hectic · Sierpień 6, 2012

s1:/etc# iptables -S

-P INPUT ACCEPT

-P FORWARD ACCEPT

-P OUTPUT ACCEPT

-N FRAG_UDP

-N IN_SANITY

-N OUT_SANITY

-N P2P

-N PROHIBIT

-N PZERO

-N RESET

-N TALLOW

-N TDENY

-N TGALLOW

-N TGDENY

-N TMP_DROP

-A INPUT -i lo -j ACCEPT

-A INPUT -j TMP_DROP

-A INPUT -j TALLOW

-A INPUT -j TDENY

-A INPUT -j TGALLOW

-A INPUT -j TGDENY

-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 25 --connlimit-mask 32 -j REJECT --reject-with tcp-reset

-A INPUT -p tcp -m tcp --dport 135:139 -j DROP

-A INPUT -p udp -m udp --dport 135:139 -j DROP

-A INPUT -p tcp -m tcp --dport 111 -j DROP

-A INPUT -p udp -m udp --dport 111 -j DROP

-A INPUT -p tcp -m tcp --dport 513 -j DROP

-A INPUT -p udp -m udp --dport 513 -j DROP

-A INPUT -p tcp -m tcp --dport 520 -j DROP

-A INPUT -p udp -m udp --dport 520 -j DROP

-A INPUT -p tcp -m tcp --dport 445 -j DROP

-A INPUT -p udp -m udp --dport 445 -j DROP

-A INPUT -p tcp -m tcp --dport 1433 -j DROP

-A INPUT -p udp -m udp --dport 1433 -j DROP

-A INPUT -p tcp -m tcp --dport 1434 -j DROP

-A INPUT -p udp -m udp --dport 1434 -j DROP

-A INPUT -p tcp -m tcp --dport 1234 -j DROP

-A INPUT -p udp -m udp --dport 1234 -j DROP

-A INPUT -p tcp -m tcp --dport 1524 -j DROP

-A INPUT -p udp -m udp --dport 1524 -j DROP

-A INPUT -p tcp -m tcp --dport 3127 -j DROP

-A INPUT -p udp -m udp --dport 3127 -j DROP

-A INPUT -j IN_SANITY

-A INPUT -j FRAG_UDP

-A INPUT -j PZERO

-A INPUT -j P2P

-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 587 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 2222 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 143 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 465 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 993 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 995 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 58888 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 6000:7000 -j ACCEPT

-A INPUT -p udp -m udp --dport 53 -j ACCEPT

-A INPUT -p icmp -m icmp --icmp-type 3 -m limit --limit 30/sec -j ACCEPT

-A INPUT -p icmp -m icmp --icmp-type 5 -m limit --limit 30/sec -j ACCEPT

-A INPUT -p icmp -m icmp --icmp-type 11 -m limit --limit 30/sec -j ACCEPT

-A INPUT -p icmp -m icmp --icmp-type 0 -m limit --limit 30/sec -j ACCEPT

-A INPUT -p icmp -m icmp --icmp-type 30 -m limit --limit 30/sec -j ACCEPT

-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 30/sec -j ACCEPT

-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP

-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -s 213.186.33.99/32 -p udp -m udp --sport 53 --dport 1023:65535 -j ACCEPT

-A INPUT -s 213.186.33.99/32 -p tcp -m tcp --sport 53 --dport 1023:65535 -j ACCEPT

-A INPUT -p tcp -m tcp --sport 53 --dport 1023:65535 -j DROP

-A INPUT -p udp -m udp --sport 53 --dport 1023:65535 -j DROP

-A INPUT -p tcp -m tcp --sport 1023:65535 --dport 21 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p tcp -m multiport --dports 21,20 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p udp -m multiport --dports 21,20 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p tcp -m tcp --sport 58888 --dport 513:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 58888 --tcp-flags FIN,SYN,RST,ACK SYN -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p udp -m udp --dport 58888 -m state --state ESTABLISHED -j ACCEPT

-A INPUT -p udp -m state --state NEW -m udp --dport 33434:33534 -j ACCEPT

-A INPUT -p tcp -j DROP

-A INPUT -p udp -j DROP

-A INPUT -j DROP

-A OUTPUT -o lo -j ACCEPT

-A OUTPUT -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

-A OUTPUT -j TMP_DROP

-A OUTPUT -j TALLOW

-A OUTPUT -j TDENY

-A OUTPUT -j TGALLOW

-A OUTPUT -j TGDENY

-A OUTPUT -p tcp -m tcp --dport 135:139 -j DROP

-A OUTPUT -p udp -m udp --dport 135:139 -j DROP

-A OUTPUT -p tcp -m tcp --dport 111 -j DROP

-A OUTPUT -p udp -m udp --dport 111 -j DROP

-A OUTPUT -p tcp -m tcp --dport 513 -j DROP

-A OUTPUT -p udp -m udp --dport 513 -j DROP

-A OUTPUT -p tcp -m tcp --dport 520 -j DROP

-A OUTPUT -p udp -m udp --dport 520 -j DROP

-A OUTPUT -p tcp -m tcp --dport 445 -j DROP

-A OUTPUT -p udp -m udp --dport 445 -j DROP

-A OUTPUT -p tcp -m tcp --dport 1433 -j DROP

-A OUTPUT -p udp -m udp --dport 1433 -j DROP

-A OUTPUT -p tcp -m tcp --dport 1434 -j DROP

-A OUTPUT -p udp -m udp --dport 1434 -j DROP

-A OUTPUT -p tcp -m tcp --dport 1234 -j DROP

-A OUTPUT -p udp -m udp --dport 1234 -j DROP

-A OUTPUT -p tcp -m tcp --dport 1524 -j DROP

-A OUTPUT -p udp -m udp --dport 1524 -j DROP

-A OUTPUT -p tcp -m tcp --dport 3127 -j DROP

-A OUTPUT -p udp -m udp --dport 3127 -j DROP

-A OUTPUT -j OUT_SANITY

-A OUTPUT -j FRAG_UDP

-A OUTPUT -j PZERO

-A OUTPUT -j P2P

-A OUTPUT -p tcp -m tcp --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -p udp -m udp --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -d 213.186.33.99/32 -p udp -m udp --sport 1023:65535 --dport 53 -j ACCEPT

-A OUTPUT -d 213.186.33.99/32 -p tcp -m tcp --sport 1023:65535 --dport 53 -j ACCEPT

-A OUTPUT -d 213.186.33.99/32 -p udp -m udp --sport 1023:65535 --dport 53 -j ACCEPT

-A OUTPUT -d 213.186.33.99/32 -p tcp -m tcp --sport 1023:65535 --dport 53 -j ACCEPT

-A OUTPUT -p tcp -m tcp --sport 21 --dport 1023:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -p tcp -m multiport --dports 21,20 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -p udp -m multiport --dports 21,20 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -p udp -m state --state NEW -m udp --dport 33434:33534 -j ACCEPT

-A OUTPUT -j ACCEPT

-A FRAG_UDP -p udp -f -m limit --limit 30/min -j LOG --log-prefix "** RABHIT ** " --log-level 2

-A FRAG_UDP -p udp -f -j DROP

-A IN_SANITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -m limit --limit 30/min -j LOG --log-prefix "** RABHIT ** " --log-level 2

-A IN_SANITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP

-A IN_SANITY -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -m limit --limit 30/min -j LOG --log-prefix "** RABHIT ** " --log-level 2

-A IN_SANITY -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP

-A IN_SANITY -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 30/min -j LOG --log-prefix "** RABHIT ** " --log-level 2

-A IN_SANITY -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP

-A IN_SANITY -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -m limit --limit 30/min -j LOG --log-prefix "** RABHIT ** " --log-level 2

-A IN_SANITY -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP

-A IN_SANITY -p tcp -m tcp --tcp-flags FIN,ACK FIN -m limit --limit 30/min -j LOG --log-prefix "** RABHIT ** " --log-level 2

-A IN_SANITY -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP

-A IN_SANITY -p tcp -m tcp --tcp-flags ACK,URG URG -m limit --limit 30/min -j LOG --log-prefix "** RABHIT ** " --log-level 2

-A IN_SANITY -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP

-A IN_SANITY -p tcp -m tcp --tcp-flags PSH,ACK PSH -m limit --limit 30/min -j LOG --log-prefix "** RABHIT ** " --log-level 2

-A IN_SANITY -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP

-A IN_SANITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -m limit --limit 30/min -j LOG --log-prefix "** RABHIT ** " --log-level 2

-A IN_SANITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP

-A IN_SANITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -m limit --limit 30/min -j LOG --log-prefix "** RABHIT ** " --log-level 2

-A IN_SANITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP

-A IN_SANITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -m limit --limit 30/min -j LOG --log-prefix "** RABHIT ** " --log-level 2

-A IN_SANITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP

-A IN_SANITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -m limit --limit 30/min -j LOG --log-prefix "** RABHIT ** " --log-level 2

-A IN_SANITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -j DROP

-A OUT_SANITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP

-A OUT_SANITY -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP

-A OUT_SANITY -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP

-A OUT_SANITY -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP

-A OUT_SANITY -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP

-A OUT_SANITY -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP

-A OUT_SANITY -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP

-A P2P -p tcp -m tcp --dport 1214 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p tcp -m tcp --sport 1214 --dport 1024:65534 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p udp -m udp --sport 1024:65534 --dport 1214 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p udp -m udp --sport 1214 --dport 1024:65534 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p tcp -m tcp --dport 2323 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p tcp -m tcp --sport 2323 --dport 1024:65534 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p udp -m udp --sport 1024:65534 --dport 2323 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p udp -m udp --sport 2323 --dport 1024:65534 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p tcp -m tcp --sport 1024:65534 --dport 4660:4678 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p tcp -m tcp --sport 4660:4678 --dport 1024:65534 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p udp -m udp --sport 1024:65534 --dport 4660:4678 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p udp -m udp --sport 4660:4678 --dport 1024:65534 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p tcp -m tcp --dport 6257 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p tcp -m tcp --sport 6257 --dport 1024:65534 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p udp -m udp --sport 1024:65534 --dport 6257 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p udp -m udp --sport 6257 --dport 1024:65534 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p tcp -m tcp --dport 6699 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p tcp -m tcp --sport 6699 --dport 1024:65534 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p udp -m udp --sport 1024:65534 --dport 6699 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p udp -m udp --sport 6699 --dport 1024:65534 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p tcp -m tcp --dport 6346 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p tcp -m tcp --sport 6346 --dport 1024:65534 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p udp -m udp --sport 1024:65534 --dport 6346 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p udp -m udp --sport 6346 --dport 1024:65534 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p tcp -m tcp --dport 6347 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p tcp -m tcp --sport 6347 --dport 1024:65534 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p udp -m udp --sport 1024:65534 --dport 6347 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p udp -m udp --sport 6347 --dport 1024:65534 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p tcp -m tcp --sport 1024:65534 --dport 6881:6889 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p tcp -m tcp --sport 6881:6889 --dport 1024:65534 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p udp -m udp --sport 1024:65534 --dport 6881:6889 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p udp -m udp --sport 6881:6889 --dport 1024:65534 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p tcp -m tcp --dport 6346 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p tcp -m tcp --sport 6346 --dport 1024:65534 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p udp -m udp --sport 1024:65534 --dport 6346 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p udp -m udp --sport 6346 --dport 1024:65534 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p tcp -m tcp --dport 7778 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p tcp -m tcp --sport 7778 --dport 1024:65534 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p udp -m udp --sport 1024:65534 --dport 7778 -j REJECT --reject-with icmp-port-unreachable

-A P2P -p udp -m udp --sport 7778 --dport 1024:65534 -j REJECT --reject-with icmp-port-unreachable

-A PROHIBIT -j REJECT --reject-with icmp-host-prohibited

-A PZERO -p tcp -m tcp --dport 0 -j DROP

-A PZERO -p udp -m udp --dport 0 -j DROP

-A PZERO -p tcp -m tcp --sport 0 -j DROP

-A PZERO -p udp -m udp --sport 0 -j DROP

-A RESET -p tcp -j REJECT --reject-with tcp-reset

Hectic · Sierpień 7, 2012

Po ustawienie portu SFTP na 21, a FTP na 22. SFTP działa pięknie, w czym będzie problem, coś blokuje tylko co?

Edytowano Sierpień 7, 2012 przez Hectic (zobacz historię edycji)

Zaloguj się

Proftpd+sftp - brak połączenia z zewnątrz

Polecane posty

Hectic 0

Udostępnij ten post

Link to postu

Udostępnij na innych stronach

SanKen 63

Udostępnij ten post

Link to postu

Udostępnij na innych stronach

Hectic 0

Udostępnij ten post

Link to postu

Udostępnij na innych stronach

Hectic 0

Udostępnij ten post

Link to postu

Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Utwórz konto

Zaloguj się

Przeglądaj

Aktywność