Q&A
接続が FTPS (暗号化) の可能性は?
CentOS6ベースのサーバーを触る機会があり、iptablesの設定でハマっております。
以下の内容についてご教示ください。
やりたいこと
サーバー側で不要なポートをiptablesにてすべて塞いだうえで、以下のサービスを公開したい(一部は特定IPからのみ)
1.www(port80)は任意のIPアドレスからアクセス可能
2.ftp、sshは特定のIPアドレスのみアクセス可能
以上ですが、ftpのパッシブモードで接続がうまくいきません。
コマンド: PWD
レスポンス: 257 "/" is your current location
コマンド: TYPE I
レスポンス: 200 TYPE is now 8-bit binary
コマンド: PASV
レスポンス: 227 Entering Passive Mode (xxx,xxx,xxx,xxx,223,73)
コマンド: MLSD
でタイムアウトします。ssh(特定IPからのみ)、www(任意IPから)は正常にアクセスできています。
iptablesの設定は以下のように行っています。
iptables -F iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-request -d hostip -j ACCEPT iptables -A OUTPUT -p icmp --icmp-type echo-reply -s hostip -j ACCEPT iptables -A OUTPUT -p icmp --icmp-type echo-request -s hostip -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-reply -d hostip -j ACCEPT iptables -A INPUT -p tcp -s clientip -d hostip --dport 22 -j ACCEPT iptables -A OUTPUT -p tcp -s hostip --sport 22 -d clientip -j ACCEPT iptables -A INPUT -p tcp -s 0.0.0.0/0 -d hostip --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp -s hostip --sport 80 -d 0.0.0.0/0 -j ACCEPT iptables -A INPUT -p tcp -s clientip -d hostip --dport 21 -j ACCEPT iptables -A OUTPUT -p tcp -s hostip --sport 21 -d clientip -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -s clientip -d hostip --dport 20 -j ACCEPT iptables -A OUTPUT -p tcp -s hostip --sport 20 -d clientip -j ACCEPT iptables -A INPUT -p udp --sport 53 -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -j ACCEPT iptables -A INPUT -p tcp --sport 53 -j ACCEPT iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT iptables -N LOGGING iptables -A LOGGING -j LOG --log-level warning --log-prefix "DROP:" -m limit iptables -A LOGGING -j DROP iptables -A INPUT -j LOGGING iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP
/etc/sysconfig/iptables-config
IPTABLES_MODULES="nf_conntrack_ftp nf_conntrack ip_nat_ftp"
lsmod | grep conntrack_ftp
nf_conntrack_ftp 11953 1 nf_nat_ftp nf_conntrack 79206 6 nf_nat_ftp,nf_nat,nf_conntrack_ftp,nf_conntrack_ipv4,nf_conntrack_ipv6,xt_state
ftpはpure-ftpdというサーバーのようです。iptablesを無効にすると当然接続は可能です。
/etc/pure-ftpd.conf
# Port range for passive connections replies. - for firewalling. PassivePortRange 57000 58000
以上、よろしくお願いいたします。
回答1件
0
227 Entering Passive Mode (xxx,xxx,xxx,xxx,223,73)
だと、クライアントから、ftpサーバーの223*256+73=57161番ポートに接続に行こうとしてブロックされています。
PassivePortRange 57000 58000
なので、この範囲の全ポートへの接続を許可する必要があります。
投稿2021/09/25 13:58
総合スコア85901
回答ありがとうございます。
/etc/sysconfig/iptables-configに記述した
IPTABLES_MODULES="nf_conntrack_ftp nf_conntrack ip_nat_ftp"
のモジュールで動的なポートを許可しているのと
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
の部分で明示的にポート番号を指定しなくても既に確立済みの通信は通すという意味だと
理解していましたが、それとは別に明示的にポートを指定して許可することが必要という意味でしょうか。
よろしければ具体的にiptablesのコマンドでご教示いただけるでしょうか。
新規のTCPセッション確立なので、単に state RELATED,ESTABLISHED だと駄目でしょう。
他のポートと同じように設定するか、あるいは、
FTPプロトコルの中(PASVコマンドの応答)を見てstateを変更するモジュール "ip_conntrack_ftp" を使う必要があるでしょう(PASV応答に書かれたポート宛てだけiptablesに偽のstateを伝えるようになる)。そうすると、state RELATED,ESTABLISHED で通るようになるはずです。
本文に書いていますが、nf_conntrack_ftpはモジュールとして読み込んでいます。IPTABLES_MODULES="ip_conntrack_ftp"としたとしても、lsmodで見るとnf_conntrack_ftpがロードされているようなので、同じもの(後継モジュール?)だと思うのですが、何か理解が違ってるでしょうか?
そのうえで、上記のように一覧取得でタイムアウトします。
失礼しました。気づいてませんでした。組み込んでいるということですね。
iptablesデーモン起動時にそれに関するエラーもでてないでしょうか?出てなければ、ちょっと分かりません。
ご回答ありがとうございます。
/etc/rc.d/init.d/iptables restart
iptables: Setting chains to policy ACCEPT: filter [ OK ]
iptables: Flushing firewall rules: [ OK ]
iptables: Unloading modules: [ OK ]
iptables: Applying firewall rules: [ OK ]
iptables: Loading additional modules: nf_conntrack_ftp nf_n[ OK ]
となりますので、正常にロードできてると思います。
そうですね。
あとは、iptables-save で指定が確かに効いているか確認するくらいですね。
これも多分大丈夫でしょうけど。
はい、/etc/sysconfig/iptablesに設定は保存されています。
ちょっと手づまりなので、運用中のサーバーのメンテを引き受けたのであまり大きく手を入れたくなかったんですが、いろいろおかしくなっている可能性もあるので、もう少し根本的なところから手を入れてみます。
お付き合いありがとうございました
あなたの回答
tips
プレビュー
