FTP ATTIVO gli helper non helpano (penso....)
Inviato: gio 24 nov , 2005 4:27 pm
Ciao a tutti,
approfitto per un "bravo Simone" che ci stà sempre bene
a parte questo atto dovuto (che ai più potrebbe suonare come una ruffianata !)
la rognazza di oggi suono così:
la linux box con iptables non riconosce il traffico di risposta dal server ftp esterno e mi droppa i pacchetti dalla sport 20 di questo
ma non solo....
peggio ancora la regola di snat non mi cambia nell'header il source ip di tutti i pacchetti
o meglio lo fa ma alcuni escono anche con l'ip originario
la regola che accetta il traffico RELATED,ESTABLISHED ovviamente c'è
non potendo da un winzoz settare da riga di comando la modalità passiva
ottengo al più l'autenticazione da parte del server ftp remoto
ma non di più (accetta username e password) fintanto che il traffico parte dal mio client dietro il firewall ma appena faccio un bel ls o dir o get o put
si manifesta nel suo splendore
quindi riesco al + a logarmi
Nov 24 13:53:20 pio kernel: FW-4.1.2-IE-new-DROPPATA IN=eth0 OUT= MAC=00:0a:5e:57:2c:71:00:12:80:7a:47:d9:08:00 SRC=62.2.177.69 DST=80.104.113.39 LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=12323 DF PROTO=TCP SPT=20 DPT=1485 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405B401010402)
gli helper sono caricati
ipt_limit 2432 246
ipt_state 2176 21
iptable_mangle 2944 0
iptable_filter 3072 1
ip_nat_ftp 5232 0
iptable_nat 23980 2 ip_nat_ftp
ip_tables 17664 8 ipt_helper,ipt_multiport,ipt_LOG,ipt_limit,ipt_state,iptable_mangle,iptable_filter,iptable_nat
ip_conntrack_ftp 72752 1 ip_nat_ftp
ip_conntrack 43512 5 ipt_helper,ipt_state,ip_nat_ftp,iptable_nat,ip_conntrack_ftp
facendo un bel
cat /proc/net/ip_conntrack | grep 62.2
non mi trovo connessioni in stato RELATED
pe vedere le connessioni in stato RELATED ho aggiunto queste due belle istruzioni
iptables -A INPUT -p tcp -m conntrack --ctstate RELATED -j LOG --log-level debug --log-tcp-options --log-ip-options --log-prefix "-CS1-"
iptables -A FORWARD -p tcp -m conntrack --ctstate RELATED -j LOG --log-level debug --log-tcp-options --log-ip-options --log-prefix "-CS2- "
ma non vedo assolutamente nulla nel log
la regina di tutte le stranezze è questa
per fare il source nat ho impostato in fondo a tutte le altre regole questa
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j SNAT --to-source 80.104.113.39
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.23/32 -j SNAT --to-source 80.104.113.39
sniffando sull'hub dietro al firewall mi trovo che
stanno uscendo pacchetti dalla macchina interna 10.0.0.23 dalla quale faccio le prove
CHE BRUTTA SENSAZIONE !!!!
dopo la dovuta kraniata mi domando
1. come faccio a vedere se l'helper stà lavorando per me?
2. cosa ho dimenticato?
3. viste le regole di postrouting per forzare il SNAT come mai non mi
una birra a chi mi da una mano ed un grazie cmq a chi manifesta la sua pazienza e partecipa al parto.
grazie a tutti
Michele
approfitto per un "bravo Simone" che ci stà sempre bene
a parte questo atto dovuto (che ai più potrebbe suonare come una ruffianata !)
la rognazza di oggi suono così:
la linux box con iptables non riconosce il traffico di risposta dal server ftp esterno e mi droppa i pacchetti dalla sport 20 di questo
ma non solo....
peggio ancora la regola di snat non mi cambia nell'header il source ip di tutti i pacchetti
o meglio lo fa ma alcuni escono anche con l'ip originario
la regola che accetta il traffico RELATED,ESTABLISHED ovviamente c'è
non potendo da un winzoz settare da riga di comando la modalità passiva
ottengo al più l'autenticazione da parte del server ftp remoto
ma non di più (accetta username e password) fintanto che il traffico parte dal mio client dietro il firewall ma appena faccio un bel ls o dir o get o put
si manifesta nel suo splendore
quindi riesco al + a logarmi
Nov 24 13:53:20 pio kernel: FW-4.1.2-IE-new-DROPPATA IN=eth0 OUT= MAC=00:0a:5e:57:2c:71:00:12:80:7a:47:d9:08:00 SRC=62.2.177.69 DST=80.104.113.39 LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=12323 DF PROTO=TCP SPT=20 DPT=1485 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405B401010402)
gli helper sono caricati
ipt_limit 2432 246
ipt_state 2176 21
iptable_mangle 2944 0
iptable_filter 3072 1
ip_nat_ftp 5232 0
iptable_nat 23980 2 ip_nat_ftp
ip_tables 17664 8 ipt_helper,ipt_multiport,ipt_LOG,ipt_limit,ipt_state,iptable_mangle,iptable_filter,iptable_nat
ip_conntrack_ftp 72752 1 ip_nat_ftp
ip_conntrack 43512 5 ipt_helper,ipt_state,ip_nat_ftp,iptable_nat,ip_conntrack_ftp
facendo un bel
cat /proc/net/ip_conntrack | grep 62.2
non mi trovo connessioni in stato RELATED
pe vedere le connessioni in stato RELATED ho aggiunto queste due belle istruzioni
iptables -A INPUT -p tcp -m conntrack --ctstate RELATED -j LOG --log-level debug --log-tcp-options --log-ip-options --log-prefix "-CS1-"
iptables -A FORWARD -p tcp -m conntrack --ctstate RELATED -j LOG --log-level debug --log-tcp-options --log-ip-options --log-prefix "-CS2- "
ma non vedo assolutamente nulla nel log
la regina di tutte le stranezze è questa
per fare il source nat ho impostato in fondo a tutte le altre regole questa
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j SNAT --to-source 80.104.113.39
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.23/32 -j SNAT --to-source 80.104.113.39
sniffando sull'hub dietro al firewall mi trovo che
stanno uscendo pacchetti dalla macchina interna 10.0.0.23 dalla quale faccio le proveCHE BRUTTA SENSAZIONE !!!!
dopo la dovuta kraniata mi domando
1. come faccio a vedere se l'helper stà lavorando per me?
2. cosa ho dimenticato?
3. viste le regole di postrouting per forzare il SNAT come mai non mi
una birra a chi mi da una mano ed un grazie cmq a chi manifesta la sua pazienza e partecipa al parto.
grazie a tutti
Michele