PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Iptables (s)FTP over SSL/TLS



lolomat
05.07.2007, 16:53
Ich möchte über SSL/TLS auf einen FTP Server zugreifen. Die Zugriffe werden allerdings von meiner Firewall/iptables geblockt (Normaler FTP-Traffic kommt durch, nicht aber verschlüsselter).
Welche Rules muss ich hinzufügen, damit es auch mit dem verschlüsseltem FTP klappt?

blue-dev
05.07.2007, 17:14
Ich möchte über SSL/TLS auf einen FTP Server zugreifen. Die Zugriffe werden allerdings von meiner Firewall/iptables geblockt (Normaler FTP-Traffic kommt durch, nicht aber verschlüsselter).
Welche Rules muss ich hinzufügen, damit es auch mit dem verschlüsseltem FTP klappt?

ich hab proftpd mit Tsl auf meinem Server am laufen, ich hab das so gemacht:
Zuerst musst du die Ports festlegen die zur Passiv Übertragung genutzt werden sollen, das geht in der Config mit PassivePorts <start> <ende>.
Ich hab da 1024 & 65535 genommen.

Das nächste wäre die iptables Rule:
iptables -A INPUT --dport 1024:65535 -j ACCEPT
Du musst da noch den -p parameter (upd|tcp) anhängen, danach sollte es gehen.

David_1980
06.07.2007, 09:44
Für FTP über TLS/SSL musst du folgende Ports freischalten:

ftps-data 989/tcp ftp protocol, data, over TLS/SSL
ftps-data 989/udp ftp protocol, data, over TLS/SSL
ftps 990/tcp ftp protocol, control, over TLS/SSL
ftps 990/udp ftp protocol, control, over TLS/SSL

Quelle: http://www.iana.org/assignments/port-numbers

Das sollte eigentlich so gehen:
iptables -A INPUT -p tcp --dport 989 -j ACCEPT
iptables -A INPUT -p tcp --dport 990 -j ACCEPT
iptables -A INPUT -p udp --dport 989 -j ACCEPT
iptables -A INPUT -p udp --dport 990 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 989 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 990 -j ACCEPT
iptables -A OUTPUT -p udp --dport 989 -j ACCEPT
iptables -A OUTPUT -p udp --dport 990 -j ACCEPT

Quelle: man 8 iptables

David

blue-dev
06.07.2007, 12:30
Das kommt darauf an was für eine Authentifizierung er benutzt.
Wenn es implict SSL ist greif deine Methode, bei explizit meine.

David_1980
06.07.2007, 23:00
Ich wollte mit dem Beitrag eigentlich keine Kritik an Deiner Aussage üben. Ich denke lolomat's Problem war einfach, dass er nicht wusste welche Ports genutzt werden und die auch nicht freigeschaltet hat.

blue-dev
07.07.2007, 00:03
Ich wollte mit dem Beitrag eigentlich keine Kritik an Deiner Aussage üben. Ich denke lolomat's Problem war einfach, dass er nicht wusste welche Ports genutzt werden und die auch nicht freigeschaltet hat.

Das hab ich schon so verstanden, ich hab nur falsch überlegt als im meinen ersten Post gemacht hab.
Da bin ich davon ausgegangen das er explicit verschlüsselt und nicht implicit.
Das was ich gepostet habe greif nur wenn er auch explicit verschlüsselt, ich habe nur noch mal gepostet um zu schreiben wann er was benutzen soll.

Sorry wenn du das falsch verstanden hast, deinen Beitrag habe ich nicht als Kritik aufgefast.