Parandage FTP-juurdepääs Linuxi klientarvutist, kus tulemüür on lubatud

Täna tahaksin jagada oma isiklikku kogemust FTP-juurdepääsuga Linuxis. Tänu Microsofti uutele operatsioonisüsteemidele, mis minu arvates igapäevaseks kasutamiseks ei sobi, läksin paar aastat tagasi Linuxile üle. Kasutan oma koduvõrgus FTP-serverit ja ma ei pääsenud sellele oma töötavast klientarvutist juurde Linux, millel on tulemüürireeglid sissetulevate ühenduste blokeerimiseks, st SISEND-poliitika olekuks on seatud REJECT iptables. Siin on, kuidas ma probleemi lahendasin.

Eeldan, et VÄLJASTUSpoliitika on ACCEPT nii kliendi kui ka serveri masinates.

Passiivse ühenduse loomiseks peavad FTP-serveri tarkvaral olema klientarvutis avatud pordid. Minu puhul olid kõik pordid suletud, välja arvatud need pordid, mis avati selgesõnaliselt sissetulevaid ühendusi vajava tarkvara jaoks, nagu minu torrent-klient, UPnP-meediumiserver ja nii edasi. Probleem on selles, et te ei saa ennustada, millist porti teie klientmasinaga ühenduse loomiseks täpselt kasutatakse. See on juhuslik port iga kord, kui ühenduse loote. Avastasin kaks lahendust.

Lahendus nr 1. Kasutage kerneli moodulit nf_conntrack_ftp
Kerneli moodul nf_conntrack_ftp võimaldab igal ühenduse loomisel automaatselt deblokeerida juurdepääsu FTP-serveri vajalikule pordile. Ainus nõue selle mooduli jaoks on järgmine rida teie iptablesi reeglites (tavaliselt on see /etc/iptables/iptables.rules) klientarvutis:

$IPT -A SISEND -i eth0 -m olek --olek SEOTUD, KEHTESTATUD -j NÕUSTU

Seal on eth0 on teie võrguseadme nimi.

Järgmiseks peate laadima faili nf_conntrack_ftp, kui seda ei laadita. Käivitage järgmine käsk klientarvutis administraatorina

# modprobe nf_conntrack_ftp

Kui teie server kasutab mõnda mittevaikeporti (peale pordi 21), kasutage järgmist käsku:

# modprobe nf_conntrack_ftp ports=teie_port

See tagab automaatse ühenduse kõigi vajalike portidega FTP-serveri ja teie klienditarkvara vahel. See toimib kuni arvuti taaskäivitamiseni.

Selle muudatuse püsivaks muutmiseks peate looma uue tekstifaili /etc/modules-load.d/conntrack_ftp.conf ja lisama sellele failile järgmise rea:

nf_conntrack_ftp

Mittevaikeserveri pordi korral peate looma järgmise sisuga lisafaili /etc/modprobe.d/conntrack_ftp.conf:

suvandid nf_conntrack_ftp ports=

Sellest peaks piisama.

Lahendus nr 2. Kasutage fikseeritud passiivsete pordide vahemikku
Kui te ei saa moodulit nf_conntrack_ftp kasutada, saate määrata FTP-serveri tarkvarale fikseeritud pordivahemiku ja avada selle klientarvutis. Näiteks siin on, kuidas seda saab teha rakenduse vsftpd jaoks.

1. Lisage vsftpd konfiguratsioonifaili, mis on tavaliselt /etc/vsftpd.conf, järgmised read:

   pasv_min_port=5500. pasv_max_port=6500

   Seda tuleks teha serveri poolel. Pärast seda peaksite vsftpd taaskäivitama.

2. Lisage klientarvuti iptablesi reeglitesse (tavaliselt on see /etc/iptables/iptables.rules) järgmine reegel:

    $IPT -A SISEND -p tcp -s  --dport 5500:6500 -j NÕUSTU

3. Rakendage iptablesi reegleid järgmiselt:

   # iptables-restore < /etc/iptables/iptables.rules

See on kõik.