OpenVZ Forum


Home » International » Russian » *SOLVED* ip_conntrack_ftp for iptables/ftp server in VE
*SOLVED* ip_conntrack_ftp for iptables/ftp server in VE [message #25457] Wed, 26 December 2007 11:22 Go to next message
enpx is currently offline  enpx
Messages: 50
Registered: October 2006
Member
From: *donpac.ru
Здравствуйте!

В HN загружен модуль ip_conntrack_ftp, в VE средствами iptables запрещено все, но разрешено подключаться к порту 21 и разрешены все ESTABLISHED. При этом извне к ftp-серверу подключиться не могут, в логах VE виден такой вывод -j LOG:

Dec 26 21:54:06 br-gw kernel: REJECTED: IN=stc OUT= PHYSIN=stc PHYSOUT=veth101.stc MAC=00:18:51:99:01:ca:00:04:23:b3:ab:c6:08:00 SRC=192.168.12.241 DST=192.168.15.16 LEN=52 TOS=0x08 PREC=0x00 TTL=63 ID=21500 DF PROTO=TCP SPT=35387 DPT=58139 WINDOW=5840 RES=0x00 SYN URGP=0 


По тому, что новое соединение оказывается не ESTABLISHED, я делаю вывод, что ip_conntrack_ftp для VE не работает. Я прав?

[Updated on: Wed, 09 January 2008 13:37] by Moderator

Report message to a moderator

Re: ip_conntrack_ftp for iptables/ftp server in VE [message #25460 is a reply to message #25457] Wed, 26 December 2007 12:08 Go to previous messageGo to next message
khorenko is currently offline  khorenko
Messages: 512
Registered: January 2006
Location: Moscow, Russia
Senior Member
From: *sw.ru
Добрый день!

А можете прислать оформленный тесткейс?
т.е. конфигурацию более подробно и команду, которая выдаёт не тот результат, который ожидается.

Начать, наверное, нужно с точных версий ядра, дистрибутивов hostOS & GuestOS (в частности, откуда была взята), версии iptables, конфигурации iptables.

--
Konstantin.


If you problem is solved - please, report it!
It's even more important than reporting the problem itself...
Re: ip_conntrack_ftp for iptables/ftp server in VE [message #25464 is a reply to message #25460] Wed, 26 December 2007 12:47 Go to previous messageGo to next message
enpx is currently offline  enpx
Messages: 50
Registered: October 2006
Member
From: *donpac.ru
OS - ALT Linux 4.0 Branch (в HN и в VE), ядро
2.6.18-ovz-smp-alt18, iptables-1.3.7-alt1

В HN:

# lsmod
Module                  Size  Used by
ip_conntrack_ftp       18256  0 
ipt_LOG                15872  1 
simfs                  13976  5 
vzethdev               23056  0 
vznetdev               33672  5 
vzrst                 143272  0 
vzcpt                 120376  0 
vzdquota               57576  5 [permanent]
vzmon                  52368  9 vzethdev,vznetdev,vzrst,vzcpt
vzdev                  12680  4 vzethdev,vznetdev,vzdquota,vzmon
af_packet              41868  0 
xt_tcpudp              12160  21 
iptable_nat            19332  12 
ip_nat                 30352  2 vzrst,iptable_nat
iptable_mangle         13696  5 
iptable_filter         13568  7 
ipt_REJECT             14336  4 
ip_tables              32360  3 iptable_nat,iptable_mangle,iptable_filter
bridge                 74544  0 
8021q                  32768  5 
dm_mod                 73936  0 
ide_cd                 51616  0 
rtc                    23424  0 
ehci_hcd               43016  0 
evdev                  19840  0 
psmouse                52112  0 
cdrom                  45992  1 ide_cd
uhci_hcd               34328  0 
i2c_i801               17300  0 
serio_raw              16516  0 
pcspkr                 12032  0 
i2c_core               33280  1 i2c_i801
usbcore               155944  3 ehci_hcd,uhci_hcd
tg3                   121988  0 
sg                     47272  0 
xt_multiport           12160  4 
xt_state               11008  12 
x_tables               29704  7 ipt_LOG,xt_tcpudp,iptable_nat,ipt_REJECT,ip_tables,xt_multiport,xt_state
ip_conntrack           80788  11 ip_conntrack_ftp,vzrst,vzcpt,iptable_nat,ip_nat,xt_state
nfnetlink              16456  2 ip_nat,ip_conntrack
button                 16544  0 
ext3                  154000  2 
jbd                    82544  1 ext3
mbcache                18824  1 ext3
raid1                  32896  2 
ahci                   32004  6 
libata                121120  1 ahci
sd_mod                 30976  8 
scsi_mod              166320  4 sg,ahci,libata,sd_mod
ide_disk               25984  0 
ide_generic             9856  0 [permanent]
generic                14596  0 [permanent]
piix                   20228  0 [permanent]
ide_core              164608  5 ide_cd,ide_disk,ide_generic,generic,piix


В VE:

+ /sbin/iptables -F
+ /sbin/iptables -X
+ /sbin/iptables -t nat -F
+ /sbin/iptables -t nat -X
+ /sbin/iptables -P INPUT DROP
+ /sbin/iptables -P OUTPUT DROP
+ /sbin/iptables -P FORWARD DROP
+ /sbin/iptables -N allowed
+ /sbin/iptables -A allowed -j ACCEPT
+ /sbin/iptables -N rejected
+ /sbin/iptables -A rejected -j LOG --log-prefix 'REJECTED: '
+ /sbin/iptables -A rejected -p tcp -j REJECT --reject-with tcp-reset
+ /sbin/iptables -A rejected -j REJECT --reject-with icmp-port-unreachable
+ /sbin/iptables -A INPUT -i lo -j allowed
+ /sbin/iptables -A OUTPUT -o lo -j allowed
+ /sbin/iptables -A INPUT -p tcp -m state --state established,related -j allowed
+ /sbin/iptables -A OUTPUT -p tcp -m state --state established,related -j allowed
+ /sbin/iptables -A INPUT -p icmp -j allowed
+ /sbin/iptables -A OUTPUT -p icmp -j allowed
+ /sbin/iptables -A OUTPUT -p tcp --syn -j allowed
+ /sbin/iptables -A INPUT -p tcp --syn -i + -d 0.0.0.0/0 --dport 21 -j allowed
+ /sbin/iptables -A INPUT -p tcp --syn -i + -d 0.0.0.0/0 --dport 22 -j allowed
+ /sbin/iptables -A INPUT -j rejected
+ /sbin/iptables -A OUTPUT -j rejected
+ /sbin/iptables -A FORWARD -j rejected


И после этого в момент:

$ lftp 192.168.15.16
lftp 192.168.15.16:~> ls


вижу в логах VE:

Dec 26 23:46:05 br-gw xinetd[12199]: START: ftp pid=3600 from=192.168.12.224
Dec 26 23:46:05 br-gw kernel: REJECTED: IN=stc OUT= PHYSIN=stc PHYSOUT=veth101.stc MAC=00:18:51:99:01:ca:00:04:23:b3:ab:c6:08:00 SRC=192.168.12.224 DST=192.168.15.16 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=56914 DF PROTO=TCP SPT=47429 DPT=64100 WINDOW=5840 RES=0x00 SYN URGP=0 
Re: ip_conntrack_ftp for iptables/ftp server in VE [message #25523 is a reply to message #25464] Fri, 28 December 2007 14:58 Go to previous messageGo to next message
khorenko is currently offline  khorenko
Messages: 512
Registered: January 2006
Location: Moscow, Russia
Senior Member
From: *sw.ru
до конца я ещё не докопал, но:
1) я попробовал в обычной машине применить Ваши правила - получил тот же результат
2) я разрешил OUTPUT траффик весь - ftp работает нормально.

Так что скорее всего, что-то в настройках потерялось. Завтра посмотрю поподробнее.


If you problem is solved - please, report it!
It's even more important than reporting the problem itself...
Re: ip_conntrack_ftp for iptables/ftp server in VE [message #25528 is a reply to message #25523] Sat, 29 December 2007 06:20 Go to previous messageGo to next message
enpx is currently offline  enpx
Messages: 50
Registered: October 2006
Member
From: *donpac.ru
finist wrote on Fri, 28 December 2007 09:58

до конца я ещё не докопал, но:
1) я попробовал в обычной машине применить Ваши правила - получил тот же результат
2) я разрешил OUTPUT траффик весь - ftp работает нормально.

Так что скорее всего, что-то в настройках потерялось. Завтра посмотрю поподробнее.


Попробовал разрешить OUTPUT - не помогло. И не должно было вроде, т.к. я вижу в логе REJECTED для входящего пакета - я выше это демонстрировал.
Re: ip_conntrack_ftp for iptables/ftp server in VE [message #25539 is a reply to message #25528] Sat, 29 December 2007 12:20 Go to previous messageGo to next message
khorenko is currently offline  khorenko
Messages: 512
Registered: January 2006
Location: Moscow, Russia
Senior Member
From: *sw.ru
Не успеваю сегодня. :\

Да, странно, у меня, действительно, реджектился out пакет, а у Вас - In.
Вопрос - если снять все iptables - всё начинает работать?

Ещё вопрос - если поднять ftpd в VE0, и использовать те же правила - будет ли доступ разрешён? Другими словами, есть ли различия в поведении между VE и VE0?


If you problem is solved - please, report it!
It's even more important than reporting the problem itself...
Re: ip_conntrack_ftp for iptables/ftp server in VE [message #25561 is a reply to message #25539] Sun, 30 December 2007 15:39 Go to previous messageGo to next message
enpx is currently offline  enpx
Messages: 50
Registered: October 2006
Member
From: *donpac.ru
Quote:

Не успеваю сегодня. :\


А я сегодня вообще уезжаю до 8 января Smile
Quote:


Да, странно, у меня, действительно, реджектился out пакет, а у Вас - In.
Вопрос - если снять все iptables - всё начинает работать?


Да. А как выглядел Ваш OUT-пакет?
Quote:


Ещё вопрос - если поднять ftpd в VE0, и использовать те же правила - будет ли доступ разрешён? Другими словами, есть ли различия в поведении между VE и VE0?

Именно на этом сервере не пробовал, но у меня есть другой сервер с vsftpd в VE0 - там все работает
Re: ip_conntrack_ftp for iptables/ftp server in VE [message #25732 is a reply to message #25457] Tue, 08 January 2008 11:36 Go to previous messageGo to next message
gblond is currently offline  gblond
Messages: 64
Registered: May 2007
Member
From: *sw.ru
Проверьте, присутствуют ли в параметре IPTABLES (/etc/vz/vz.conf) модули iptable_nat и ip_nat_ftp.
Re: ip_conntrack_ftp for iptables/ftp server in VE [message #25792 is a reply to message #25732] Wed, 09 January 2008 08:03 Go to previous messageGo to next message
enpx is currently offline  enpx
Messages: 50
Registered: October 2006
Member
From: *donpac.ru
gblond wrote on Tue, 08 January 2008 06:36

Проверьте, присутствуют ли в параметре IPTABLES (/etc/vz/vz.conf) модули iptable_nat и ip_nat_ftp.



Да, вот так:

IPTABLES="ipt_REJECT iptable_filter iptable_mangle iptable_nat ip_nat_ftp ip_conntrack_ftp"


работает. Также ftp работает без параметра IPTABLES в vz.conf вообще, но в этом случае уже iptables в VE жалуется на отсутствующие таблицу filter, цель REJECT и т.д.
Re: ip_conntrack_ftp for iptables/ftp server in VE [message #25804 is a reply to message #25792] Wed, 09 January 2008 09:01 Go to previous messageGo to next message
gblond is currently offline  gblond
Messages: 64
Registered: May 2007
Member
From: *sw.ru
Т.е. проблема решена добавлением iptable_nat и ip_nat_ftp или же все еще существует?
Re: ip_conntrack_ftp for iptables/ftp server in VE [message #25806 is a reply to message #25804] Wed, 09 January 2008 09:28 Go to previous message
enpx is currently offline  enpx
Messages: 50
Registered: October 2006
Member
From: *donpac.ru
решена
Previous Topic: Глюк dom0 (el5) относительно hwclock
Next Topic: /dev/shm inside VE
Goto Forum:
  


Current Time: Wed Nov 20 17:00:39 GMT 2019