Διορθώστε την πρόσβαση FTP από υπολογιστή-πελάτη Linux με ενεργοποιημένο το τείχος προστασίας

Σήμερα, θα ήθελα να μοιραστώ την προσωπική μου εμπειρία με την πρόσβαση FTP στο Linux. Χάρη στα νέα λειτουργικά συστήματα της Microsoft, που δεν τα βρίσκω κατάλληλα για καθημερινή χρήση, πέρασα στο Linux πριν από μερικά χρόνια. Εκτελώ έναν διακομιστή FTP στο οικιακό μου δίκτυο και δεν μπόρεσα να έχω πρόσβαση σε αυτόν από τον υπολογιστή-πελάτη μου που εκτελείται Linux που έχει κανόνες τείχους προστασίας για να αποκλείει τις εισερχόμενες συνδέσεις, δηλαδή η πολιτική INPUT έχει οριστεί σε REJECT σε iptables. Να πώς διόρθωσα το πρόβλημα.

Υποθέτω ότι η πολιτική OUTPUT είναι ACCEPT τόσο σε υπολογιστές-πελάτες όσο και σε υπολογιστές διακομιστή.

Το λογισμικό διακομιστή FTP πρέπει να έχει ανοιχτές θύρες στον υπολογιστή-πελάτη για να δημιουργήσει μια παθητική σύνδεση. Στην περίπτωσή μου, όλες οι θύρες ήταν κλειστές εκτός από εκείνες τις θύρες που άνοιξαν ρητά για λογισμικό που χρειάζεται εισερχόμενες συνδέσεις όπως ο πελάτης torrent μου, ο διακομιστής πολυμέσων UPnP και ούτω καθεξής. Το πρόβλημα είναι ότι δεν μπορείτε να προβλέψετε ποια θύρα ακριβώς θα χρησιμοποιηθεί για τη σύνδεση στον υπολογιστή-πελάτη σας. Είναι μια τυχαία θύρα κάθε φορά που εκτελείτε τη σύνδεση. Ανακάλυψα δύο λύσεις.

Λύση #1. Χρησιμοποιήστε τη λειτουργική μονάδα πυρήνα nf_conntrack_ftp
Η μονάδα πυρήνα nf_conntrack_ftp σάς επιτρέπει να ξεμπλοκάρετε αυτόματα την πρόσβαση στην απαιτούμενη θύρα για τον διακομιστή FTP κάθε φορά που πραγματοποιείτε μια σύνδεση. Η μόνη απαίτηση για αυτήν την ενότητα είναι η ακόλουθη γραμμή στους κανόνες iptables (συνήθως είναι /etc/iptables/iptables.rules) στον υπολογιστή-πελάτη:

$IPT -A ΕΙΣΟΔΟΣ -i eth0 -m κατάσταση --κατάσταση ΣΧΕΤΙΚΟ, ΕΙΣΑΓΩΓΗ -j ΑΠΟΔΟΧΗ

Υπάρχει το eth0 είναι το όνομα της συσκευής του δικτύου σας.

Στη συνέχεια, πρέπει να φορτώσετε το nf_conntrack_ftp εάν δεν είναι φορτωμένο. Εκτελέστε την ακόλουθη εντολή ως root στον υπολογιστή-πελάτη

# modprobe nf_conntrack_ftp

Εάν ο διακομιστής σας χρησιμοποιεί κάποια μη προεπιλεγμένη θύρα (εκτός από τη θύρα 21), χρησιμοποιήστε την ακόλουθη εντολή:

# modprobe nf_conntrack_ftp ports=your_port

Αυτό θα παρέχει μια αυτόματη σύνδεση με όλες τις απαιτούμενες θύρες μεταξύ του διακομιστή FTP και του λογισμικού πελάτη σας. Αυτό λειτουργεί μέχρι να επανεκκινήσετε τον υπολογιστή σας.

Για να κάνετε αυτή την αλλαγή μόνιμη, πρέπει να δημιουργήσετε ένα νέο αρχείο κειμένου, /etc/modules-load.d/conntrack_ftp.conf και να προσθέσετε την ακόλουθη γραμμή σε αυτό το αρχείο:

nf_conntrack_ftp

Σε περίπτωση μη προεπιλεγμένης θύρας διακομιστή, πρέπει να δημιουργήσετε ένα πρόσθετο αρχείο, /etc/modprobe.d/conntrack_ftp.conf με το ακόλουθο περιεχόμενο:

επιλογές nf_conntrack_ftp ports=

Αυτό θα πρέπει να είναι αρκετό.

Λύση #2. Χρησιμοποιήστε μια σταθερή περιοχή παθητικών θυρών
Εάν δεν μπορείτε να χρησιμοποιήσετε τη λειτουργική μονάδα nf_conntrack_ftp, μπορείτε να ορίσετε μια σταθερή περιοχή θυρών για το λογισμικό διακομιστή FTP και να την ανοίξετε στον υπολογιστή-πελάτη. Για παράδειγμα, εδώ είναι πώς μπορεί να γίνει για την εφαρμογή vsftpd.

1. Στο αρχείο διαμόρφωσης του vsftpd, το οποίο είναι συνήθως /etc/vsftpd.conf, προσθέστε τις ακόλουθες γραμμές:

   pasv_min_port=5500. pasv_max_port=6500

   Αυτό πρέπει να γίνει από την πλευρά του διακομιστή. Μετά από αυτό θα πρέπει να επανεκκινήσετε το vsftpd.

2. Στους κανόνες iptables (συνήθως είναι /etc/iptables/iptables.rules) στον υπολογιστή-πελάτη, προσθέστε τον ακόλουθο κανόνα:

    $IPT -A INPUT -p tcp -s  --dport 5500:6500 -j ACCEPT

3. Εφαρμόστε τους κανόνες iptables ως εξής:

   # iptables-restore < /etc/iptables/iptables.rules

Αυτό είναι.