このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

FTPのダイレクトルール このメッセージに返信する
日時: 2021/02/12(Fri) 21:23
名前: nw
URL:
Linuxのパケットフィルタリングでftpの通信を許可する時に設定する
ダイレクトルールについて質問です。

firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp -s ソースアドレス
--sport 21 (あ)-m conntrack (い)--ctstate ESTABLISHED -j ACCEPT

firewall-cmd --direct --add-rule ipv4 filter OUTPUT プライオリティ -p tcp -s ソースアドレス
--sport 21 (う)-m helper --helper ftp -m conntrack --ctstate RELATED,ESTABLISHED
-j ACCEPT

質問
・(あ)-m conntrack のコネクショントラッキングとはどういう意味ですか?
・(い)--ctstate ESTABLISHED のctstateとはどういう意味ですか?
普通のstateとどう違うんですか?
・(う)-m helper --helper ftp はどういう意味ですか?
よろしくお願いします。
記事編集 編集
Re: FTPのダイレクトルール このメッセージに返信する
日時: 2021/02/13(Sat) 02:16
名前: stranger
URL:
参考
http://www.asahi-net.or.jp/~aa4t-nngk/ipttut/output/explicitmatches.html

10.3.5. Conntrackマッチ
conntrackはstateの拡張バージョン
conntrackモデュールを指定したら ctstateを使う

10.3.9. Helperマッチ
パケットがどの conntrack ヘルパーに関係しているかに基づいてパケットを選定する

蛇足
rpm -ql iptables|grep xtables
を実行して末尾にsoの付いているのが使えるモデュールです
古いiptablesはconntrackが使えない

fedoraのパッケージをrpmbuildする場合
iptablesソースに含まれるconfigure.acがみそ
libxtables_vcurrent=15
libxtables_vage=5
に設定してあげると
15-5=10になってcentos7のiptablesと同じになる
注意
centos7のfirewalldと相性が悪いのでfirewalldをあきらめて
iptablesのserviceを起動する

無理にヴァージョンアップすることはない
(必要なライブラリもヴァージョンアップが必要)
それが安定したサーバの運営になります
どうしてもと言う人のために
記事編集 編集
Re: FTPのダイレクトルール このメッセージに返信する
日時: 2021/02/13(Sat) 18:28
名前: nw
URL:
ありがとうございました。
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -