ip tablesede yönlendirme

sen sadece iceri 21 nolu porta izin veriyorsun peki nere gidicek? asagıdaki kuralı ekleyip denermisin.(192.168.1.100)  FTP server ip si olarak verilmistir.

-A PREROUTING -i eth0 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.1.100:21

üstad içerdeki herhangi bir pcden cıkmam gerek sadece server yetmiyor anlayacagın calısan tüm pclerden herhangi birinden sadece tek bi makine deigl yani prg ftpye ulasıyor ve ordan bi xml dosyası ve bi txt dosyası getriyor gece 00.00 dan sonra gunde bi defalıgına bunu yapıyor yani gece 00.00 da prg ramı ilk calıstıan makina bu verileri cekmeye calısıyor yazılım firması bana sadece ftp ye erisirsen olur dediler ftp portunu actım diger makinalarından ftp sitelerine ulasıyorum ama prg icin gerekli kodları almıyor tıkanıp kalıyor

Tam olarak ihtiyac duydugun ve yapmak istediklerini anlatırmısın.

Yapilmak istenileni tam olarak bende anlamadim ancak 21 nolu port yaninda 20 numarali port'ta ayni sekilde kural setine eklenmeli diye biliyorum.

port 21 : ftp komutlarinin iletisimi

port 20 : ftp veri iletisimi (dosya alma, gonderme vs.)

udp icin ekstra kural acmana gerek yok, tcp uzerinde iletisim saglaniyor.

Merhaba ;

İstegi bende tam olarak anlamadım ama eger FTP yapacagınız yerde passsive ftp çalışıyor ise 21 bir e izin verilmesi yetmez...

http://archive.cert.uni-stuttgart.de/suse-security/2003/07/msg00321.html

http://www.kalamazoolinux.org/presentations/20010417/conntrack.html

baştan baslayayım o zaman şimdi bizim hastanede kullandıgımız oracle veri tabanlı bi programımız ve server a baglı client larr sitemde birde net kısıtlaması yaptıgım debian firewall var clientler nete sadece ssk ve bazı sitelere izni var gecen ay yapılan bi guncelleme ile programda lisasn kontorlü altında bi takım degisimler yapıldı bu degisimler hastane prg mı tarafından net uzerinden kontrol ediliyor  bana yazılımcılar sadece ftp portunu acmamın yeterli olacagını soylediler yani ftp://xx.com gibi adreslerine ulastıgında clientlerin bi sıkıntı olmayacagını soylediler ben clientlerden bu sekilde onların ftp sitelerine erisim saglayabiliyorum ama prg calıstıgında prg uzerinden bu kontolu yapamadı tıkanıyor acıkcası ve ayrıca ek bisi sey prg bu kontrolu IIS server uzerinden yapıyor sadece bu degil bildiginiz gibi hastanelerin aldıgı takip no sistemi de calısıyor onda herhangi bir sıkıntı yok 21 portunu actım ama 20 portunu acmayı denemedim acıkcası benim dikkatimi ceken sey program calıstıgında yani günlük calısan ilk makina karsı tarafdan bi xml ve txt uzantılı dosya getiriyor acaba bunla ilgili bii sıkıntımı var

Client tarafinda manuel olarak ftp istegi baslattiginizda baglanabildiginize gore 21 nolu portta bir yanlis yok. Ayni sekilde manuel olarak baglandiginizda bir dosyayi indirmeye calistiginizda hata alicakmisiniz kontrol ediniz. Eger hata alirsaniz 20 nolu portu acmaniz cozum icin yeterli olucaktir saniyorum.

20 portunu actım ama gene olmadı 🙁

Yukaridada sormustum ama yineleyim.

Herhangi bir client'ta manuel olarak baglandiginizda (internet explorer, ftp client vs.) bir dosyayi indirmeye calistiginizda hata alicakmisiniz kontrol ediniz.

Eger hata aliyor iseniz nerede takildiginizi gormek icin linux firewall uzerinde tcpdump ile paket trafigini incelemenizi oneririm.

Ornegin ftp istegi yapan client ip : 10.0.0.83

Firewall console ekraninda "tcpdump host 10.0.0.83 -nn" komutu ile bu client'in olusturdugu trafigi gorebilirsin. (tcpdump detayli kullanimi ile ilgili bircok makale bulabilirsin google'da)

Merhabalar,

Yurtdışında olduğmdan sorulara cevap veremedim kusura bakmayın.. 

Şimdi soruna gelelim... Bu ftp programı dışarıdan içerimi bağlanıyor, içeriden dışarı ya mı? Yani istemciler dışardaki ftp ye belirli zamanlarda bağlanıp veri gönderiyor yoksa dışarıdaki ftp mi içeri bağlnıyor.

INPUT ve OUTput bunun için var. Eğer içeriden dışarı bağlantı varsa o zaman OUTPUT  ile ftp bağlantısını açın ve INPUT içerisinde belirli IP üzerinden gelen established ve related bağlantılarına izin verin. 

Eğer dışarıdan gelen varsa o zaman ters mantık .. O zaman belirli IP den gelenlere izin vereceksiniz sonra içeriden related yada establish bağlantılara izin vereceksiniz.. Şunu denermisin..

Sisteminde iki tane network kartı var ve eth0 direkt olarak nete bağlı olsun..

Sisteme root kullanıcısı olarak giriş yap ve

# modprobe ip_conntrack
# modprobe ip_conntrack_ftp

Daha sonra 

//Senin_SUNUCU_IP_ADRESİ adresli sunucu ile yeni, yada hali hazırdaki bağlantılara kaynak portu 1024:65535 arasında olan ve hedef protu 21 olan bağlantıların içeri gelmesine izin veriyoruz.
#iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d Senin_SUNUCU_IP_ADRESİ --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT

//Burada ise kaynak adresi Senin_SUNUCU_IP_ADRESİ olan kaynak portu 21 olan ve hedef portu 1024:65535 olan bağlantısı yapılmış verilerin çıkmasına izin veriyoruz.
#iptables -A OUTPUT -p tcp -s Senin_SUNUCU_IP_ADRESİ --sport 21 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

//Burada ise sport ve --dportlara dikkat..
#iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d Senin_SUNUCU_IP_ADRESİ
--dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

#iptables -A OUTPUT -p tcp -s Senin_SUNUCU_IP_ADRESİ --sport 1024:65535 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

//Son olarak

iptables -A OUTPUT -p tcp -s Senin_SUNUCU_IP_ADRESİ --sport 20 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d Senin_SUNUCU_IP_ADRESİ --dport 20 -m state --state ESTABLISHED -j ACCEPT

 Kolay gele

Merhaba;

önceki kurallarda ftp portunu kapatan bir kural varsa siz daha sonra ftp portunu açsanız bile ftp ye erişimi sağlayamazsınız. Iptables zincirlerdeki kuralları hiyerarşiye göre işler. Yani ftp ye erişimi açmanız için önceki ftp ye erişimi kısıtlayan kuralları silebilirsiniz ya da  yukarıdaki belirttiğiniz kuralları üste alabilirsiniz.