English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận hệ điều hành *nix Về state RELATED trong iptables  XML
  [Question]   Về state RELATED trong iptables 19/04/2008 03:30:27 (+0700) | #1 | 126089
[Avatar]
 nhuhoang
Elite Member
[Minus]    0    [Plus]
Joined: 27/06/2007 00:49:10
Messages: 111
Location: /dev/null
Offline
[Profile] [PM] [WWW]
Trong định nghĩa thì RELATED là "một connection dùng để khởi tạo một connection khác"

The RELATED state refers to a connection that is used to facilitate another connection. A common example is an FTP session where control data is passed to one connection and actual file data flows through another one. 


Như vậy thì để giao thức FTP hoạt động bình thường thì đối với server ta chỉ cần mở cổng 21 là được hay phải ACCEPT thêm cổng 20 cho ftp-data?
Code:
iptables -A INPUT -p tcp -d x.x.x.x --dport 21 -m state --state NEW,ESTABLISH,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -s x.x.x.x --sport 21 -m state --state ESTABLISH,RELATED -j ACCEPT

Và có giao thức nào cần phải có state RELATED này nữa không?
[Up] [Print Copy]
  [Question]   Về state RELATED trong iptables 19/04/2008 03:54:32 (+0700) | #2 | 126102
[Avatar]
 quanta
Moderator
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

nhuhoang wrote:

...
Như vậy thì để giao thức FTP hoạt động bình thường thì đối với server ta chỉ cần mở cổng 21 là được hay phải ACCEPT thêm cổng 20 cho ftp-data?
Code:
iptables -A INPUT -p tcp -d x.x.x.x --dport 21 -m state --state NEW,ESTABLISH,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -s x.x.x.x --sport 21 -m state --state ESTABLISH,RELATED -j ACCEPT

 

Còn tùy bạn cấu hình cho FTP server hoạt động ở active hay passive mode.

nhuhoang wrote:

Và có giao thức nào cần phải có state RELATED này nữa không?
 

Ngoài ra, theo tớ biết state này còn được sử dụng để thông báo các ICMP error.
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Re: Về state RELATED trong iptables 19/04/2008 04:26:22 (+0700) | #3 | 126110
robot9999
Member
[Minus]    0    [Plus]
Joined: 13/02/2005 12:34:00
Messages: 1
Offline
[Profile] [PM]
Tham khảo về active FTP, passive FTP tại
_http://slacksite.com/other/ftp.html

Nếu bạn cấu hình FTP server hoạt động ở
- Active mode thì cần mở cổng 20 và 21.
- Passive mode thì chỉ cần mở cổng 21.

Theo hướng dẫn thì chỉ hiểu như thế thôi, nhưng ko rõ ưu/khuyết điểm của của 2 mode này.

Trong trường hợp FTP server (active mode) liệu có bị nghẽn tại cổng 20 khi có nhiều connections đồng thời đến server ko ?

Các bạn xin cho biết thêm. Thanks!
[Up] [Print Copy]
  [Question]   Về state RELATED trong iptables 19/04/2008 06:01:00 (+0700) | #4 | 126137
[Avatar]
 nhuhoang
Elite Member
[Minus]    0    [Plus]
Joined: 27/06/2007 00:49:10
Messages: 111
Location: /dev/null
Offline
[Profile] [PM] [WWW]

quanta wrote:
Ngoài ra, theo tớ biết state này còn được sử dụng để thông báo các ICMP error. 


Bạn có thể nói rõ hơn được không. Khi nào thì có các gói ICMP này? Kể cả khi DROP các packet ICMP thì nó vẫn có thể sinh ra được nữa không?
[Up] [Print Copy]
  [Question]   Về state RELATED trong iptables 19/04/2008 07:07:42 (+0700) | #5 | 126145
[Avatar]
 quanta
Moderator
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

nhuhoang wrote:

quanta wrote:
Ngoài ra, theo tớ biết state này còn được sử dụng để thông báo các ICMP error. 


Bạn có thể nói rõ hơn được không. Khi nào thì có các gói ICMP này? Kể cả khi DROP các packet ICMP thì nó vẫn có thể sinh ra được nữa không? 

Tớ đọc ở http://www.linuxtopia.org/Linux_Firewall_iptables/x1571.html, có đoạn này nói khá rõ:

Another hugely important part of ICMP is the fact that it is used to tell the hosts what happened to specific UDP and TCP connections or connection attempts. For this simple reason, ICMP replies will very often be recognized as RELATED to original connections or connection attempts. A simple example would be the ICMP Host unreachable or ICMP Network unreachable. These should always be spawned back to our host if it attempts an unsuccessful connection to some other host, but the network or host in question could be down, and hence the last router trying to reach the site in question will reply with an ICMP message telling us about it. In this case, the ICMP reply is considered as a RELATED packet. The following picture should explain how it would look.
 


In the above example, we send out a SYN packet to a specific address. This is considered as a NEW connection by the firewall. However, the network the packet is trying to reach is unreachable, so a router returns a network unreachable ICMP error to us. The connection tracking code can recognize this packet as RELATED. thanks to the already added tracking entry, so the ICMP reply is correctly sent to the client which will then hopefully abort. Meanwhile, the firewall has destroyed the connection tracking entry since it knows this was an error message.
 
Let's build on a great foundation!
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|