[セキュリティ]


この日記のはてなブックマーク数 このエントリーを含むはてなブックマーク
iptablesでFTPを通すには20番ポートと21番ポートをあけるだけではpassive modeのFTPはうまく通してくれません。ip_conntrack_ftpとip_nat_ftp二つのモージュールをロードする必要があります。(ip_nat_ftpは必須ではないかも・・・)

[root@www etc]# modprobe ip_conntrack_ftp
[root@www etc]# modprobe ip_nat_ftp


きちんとモジュールがロードされているか確認

[root@www etc]# lsmod
Module                  Size  Used by    Not tainted
ip_nat_ftp              3920   0  (unused)
iptable_nat            22808   1  [ip_nat_ftp]
ip_conntrack_ftp        5392   1  [ip_nat_ftp]
ip_conntrack           29800   2  [ip_nat_ftp iptable_nat ip_conntrack_ftp]
iptable_filter          2412   0  (autoclean) (unused)
ip_tables              16544   4  [iptable_nat iptable_filter]
audit                  90744   2  (autoclean)
e1000                  77884   2
floppy                 57552   0  (autoclean)
sg                     37388   0  (autoclean)
keybdev                 2976   0  (unused)
mousedev                5688   0  (unused)
hid                    22308   0  (unused)
input                   6176   0  [keybdev mousedev hid]
ehci-hcd               20776   0  (unused)
usb-uhci               26860   0  (unused)
usbcore                81152   1  [hid ehci-hcd usb-uhci]
ext3                   89992   3
jbd                    55092   3  [ext3]
megaraid2              38376   4
diskdumplib             5260   0  [megaraid2]
sd_mod                 13936   8
scsi_mod              115240   3  [sg megaraid2 sd_mod]


iptablesの起動スクリプトを使用してフィルタを適用する場合、/etc/sysconfig/iptables-configの以下の行に記述しておけば、自動的にロードされます。

IPTABLES_MODULES="ip_conntrack_ftp ip_nat_ftp"


[関連記事]
モジュール関連のコマンド

関連記事
sshdfilter
iptalbesでdhcpを通す
ssh-agent - 公開鍵認証の鍵管理
chrootssh
chrootkit - rootkitの検出
scponly
iptablesでftpを通す
macアドレスによるフィルタリング
公開鍵認証でパスワードなしにログイン
tripwireによるファイル改竄検知
zlib + libpng + gd + mrtgのインストール
SNMPの設定
rp_filter - スプーフィング対策
nmapによるOSの特定
john the ripper
system-config-securitylevel-tui - ファイアウォールの設定
iptables - SNAT
iptables - DNAT
MRTGディレクトリにアクセスできない
iptablesでpingを通す
sudo
/etc/ftpusers でftpのアクセス制限
Ctrl+Alt+deleteキーによる再起動の禁止
sshdがサポートするプロトコルのバージョン
qpopperのバージョンを隠すには
iptablesのルール一覧を表示するには
BINDのバージョン情報を隠すには
iptables 設定 - ルールの削除
tcp_syncookies - SYN Flood攻撃を防ぐには
SSHでログインできるユーザを制限
RedHat 9.0以前のパッケージのアップデート
iplogによるトラフィック監視
suコマンドの制限
rootユーザで直接SSHへログインするのを防ぐ
広告