Перезагрузке Ipsec не удается загрузить ipsec.conf Strongswan 5.0
Процесс httpd работает? Попробуйте это (или подобный) команда оболочки на Вашем XServe:
ps -ef | grep httpd
каков вывод?
KM
Вам необходимо явно разрешить доступ к диапазону входящих портов ftp-data . Ответ Ник рекомендует статически открывать полный диапазон, но это может быть и , и открытым. Кроме того, RELATED бесполезен в этом случае, потому что модуль conntrack_ftp не может отслеживать зашифрованное управляющее соединение.
Я рекомендую использовать последнее совпадение . Попробуйте следующее:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state NEW -j in_new
iptables -A in_new -p tcp --sport 1024: --syn --dport 64000:65535 -m recent --name ftpdata --update --seconds 1800 --reap -j ACCEPT
iptables -A in_new -p tcp --syn --dport ftp -m recent --name ftpdata --set -j ACCEPT
Правило - set будет соответствовать управляющему соединению и добавит исходный IP-адрес в список последних ftpdata . Правило - update сделает большую часть интересной работы:
- Соответствует, если адрес источника пакета находится в списке
ftpdata(- обновление) и адрес источника был замечен в течение последних 1800 секунд (- -seconds 1800). - При совпадении будет обновлена временная метка «последнего посещения» исходного адреса (
- update). - Записи в
ftpdata, который не был виден за последние 1800, будет удален (- reap).
Итак, после того, как контрольное соединение было ACCEPT ed, у вас есть 1800 секунд для инициации данных. соединения. По истечении этого времени вам нужно будет повторно открыть управляющее соединение, чтобы повторно добавить адрес источника в список ftpdata .
Неудобство этого решения, если эти ftp-клиенты не смогут инициировать соединения для передачи данных через 1800 секунд после их последнего времени установления контрольного соединения. Вы можете использовать 24 часа, если хотите, это будет меньше открытых в любом случае, чем если бы весь диапазон портов был постоянно открыт. У вас также может быть такая последовательность:
iptables -A INPUT -m state --state ESTABLISHED -p tcp --dport ftp -m recent --set
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
для обновления адреса источника всякий раз, когда приходит установленный пакет управляющего соединения, но я предпочитаю, чтобы правило - состояние СВЯЗАННО, УСТАНОВЛЕНО вверху.
Проверьте также параметры accept_timeout , data_connection_timeout и idle_session_timeout в vsftpd.conf .
iptables -A INPUT -m state --state ESTABLISHED -p tcp --dport ftp -m recent --set
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
для обновления адреса источника всякий раз, когда приходит установленный пакет управляющего соединения, но я предпочитаю, чтобы правило - состояние СВЯЗАННО, УСТАНОВЛЕНО вверху.
Проверьте также параметры accept_timeout , data_connection_timeout и idle_session_timeout в vsftpd.conf .
iptables -A INPUT -m state --state ESTABLISHED -p tcp --dport ftp -m recent --set
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
для обновления адреса источника всякий раз, когда приходит установленный пакет управляющего соединения, но я предпочитаю, чтобы правило - состояние СВЯЗАННО, УСТАНОВЛЕНО вверху.
Проверьте также параметры accept_timeout , data_connection_timeout и idle_session_timeout в vsftpd.conf .
Поскольку вы, вероятно, создали релиз разработчика непосредственно из архива, причина может быть в том, что вы не предоставили правильные параметры ./ configure (например, - префикс и ] --sysconfdir ) для замены сценария ipsec , предоставляемого пакетом Fedora Openswan по умолчанию. Чтобы избежать конфликта, вы можете все равно удалить этот пакет, в противном случае вы также можете использовать параметр - with-ipsec-script = strongswan , чтобы переименовать сценарий strongSwan ipsec в ] strongswan .