Home

技術系のメモと日々の雑感

iptables と Passive FTP

iptables でトラフィックを厳しく制限しているサーバで FTP を通すにはどうルールを書けばいいか考えていたら、意外と難しかった。
備忘のためにメモ。
まず、Passive モードのセッションの流れを書いておく。

Server Port       Client Port
21          ←    1024以上
21          →    1024以上
1024以上    ←    1024以上
1024以上    →    1024以上

我ながらアバウトだな・・・。
で、OUTPUT チェインでポートを指定しない「--state ESTABLISHED,RELATED」のルールがあると楽なんだけど、必要以上にポートが開いてしまう恐れがあるので今回は使わない前提でいく。
先に ip_conntrack_ftp をロードしておくのはお約束。
書き方は色々あると思うけど、コントロールポートとデータポートを別々に書いた方が分かりやすかったので

iptables -A INPUT  -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT  -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT

こんなところかな。
本来なら3行目で state が NEW のパケットも許可しないといけないはずだけど、そこは ip_conntrack_ftp がうまくやってくれるみたい。
って、こんなので悩むぐらいなら SCP にしてしまった方が早いね。

この記事に対するトラックバック

この記事のトラックバックURL

-

管理人の承認後に表示されます

  • From: |
  • 2013/12/16(月) 06:24:34

-

管理人の承認後に表示されます

  • From: |
  • 2013/12/10(火) 17:00:46

-

管理人の承認後に表示されます

  • From: |
  • 2013/12/09(月) 07:24:24

-

管理人の承認後に表示されます

  • From: |
  • 2013/12/07(土) 12:15:11

-

管理人の承認後に表示されます

  • From: |
  • 2013/12/06(金) 01:38:55

-

管理人の承認後に表示されます

  • From: |
  • 2013/11/28(木) 11:18:27

-

管理人の承認後に表示されます

  • From: |
  • 2013/11/26(火) 15:51:19

-

管理人の承認後に表示されます

  • From: |
  • 2013/11/26(火) 05:15:56

-

管理人の承認後に表示されます

  • From: |
  • 2013/11/15(金) 04:30:31

-

管理人の承認後に表示されます

  • From: |
  • 2013/11/13(水) 05:00:40

-

管理人の承認後に表示されます

  • From: |
  • 2013/11/07(木) 01:21:18

-

管理人の承認後に表示されます

  • From: |
  • 2013/11/05(火) 10:58:42

-

管理人の承認後に表示されます

  • From: |
  • 2013/11/05(火) 02:30:40

-

管理人の承認後に表示されます

  • From: |
  • 2013/11/02(土) 22:00:00

-

管理人の承認後に表示されます

  • From: |
  • 2013/11/02(土) 03:13:00

この記事に対するコメント

この記事にコメントする

管理者にだけ表示を許可する