ftp ALG問題

peruke

測試2.6.21內核(非標準)ftp 穿透防火墻，Windows自帶的ftp client不能下載文件，抓包發(fā)現(xiàn)ftp PORT命令包含私有IP：
PORT 192,168,1,100,12,172
500 Illegal PORT range rejected.
被ftp server拒絕了。

檢查了linux kernel 配置，NF_CONNTRACK_FTP 和NF_NAT_FTP 選項都是yes 的，按理ftp 載荷里私有IP應被修改為廣域網IP地址，
不知道為什么ftp ALG 沒有起作用。

跟標準2.6.21 kernel對比了一下，netfilter代碼基本相同，相信是2.6.21 kernel 本身就存在的bug，求patch，謝謝！

peruke

查看了內核nf_conntrack_ftp.c，有注冊ftp helper的代碼：

1. static int __init nf_conntrack_ftp_init(void)
   
2. {
   
3.         int i, j = -1, ret = 0;
   
4.         char *tmpname;
   
5. 
   
6.         ftp_buffer = kmalloc(65536, GFP_KERNEL);
   
7.         if (!ftp_buffer)
   
8.                 return -ENOMEM;
   
9. 
   
10.         if (ports_c == 0)
    
11.                 ports[ports_c++] = FTP_PORT;
    
12. 
    
13.         /* FIXME should be configurable whether IPv4 and IPv6 FTP connections
    
14.                  are tracked or not - YK */
    
15.         for (i = 0; i < ports_c; i++) {
    
16.                 ftp[i][0].tuple.src.l3num = PF_INET;
    
17.                 ftp[i][1].tuple.src.l3num = PF_INET6;
    
18.                 for (j = 0; j < 2; j++) {
    
19.                         ftp[i][j].tuple.src.u.tcp.port = htons(ports[i]);
    
20.                         ftp[i][j].tuple.dst.protonum = IPPROTO_TCP;
    
21.                         ftp[i][j].mask.src.l3num = 0xFFFF;
    
22.                         ftp[i][j].mask.src.u.tcp.port = htons(0xFFFF);
    
23.                         ftp[i][j].mask.dst.protonum = 0xFF;
    
24.                         ftp[i][j].max_expected = 1;
    
25.                         ftp[i][j].timeout = 5 * 60;        /* 5 Minutes */
    
26.                         ftp[i][j].me = THIS_MODULE;
    
27.                         ftp[i][j].help = help;
    
28.                         tmpname = &ftp_names[i][j][0];
    
29.                         if (ports[i] == FTP_PORT)
    
30.                                 sprintf(tmpname, "ftp");
    
31.                         else
    
32.                                 sprintf(tmpname, "ftp-%d", ports[i]);
    
33.                         ftp[i][j].name = tmpname;
    
34. 
    
35.                         DEBUGP("nf_ct_ftp: registering helper for pf: %d "
    
36.                                "port: %d\n",
    
37.                                 ftp[i][j].tuple.src.l3num, ports[i]);
    
38.                         ret = nf_conntrack_helper_register(&ftp[i][j]);
    
39.                         if (ret) {
    
40.                                 printk("nf_ct_ftp: failed to register helper "
    
41.                                        " for pf: %d port: %d\n",
    
42.                                         ftp[i][j].tuple.src.l3num, ports[i]);
    
43.                                 nf_conntrack_ftp_fini();
    
44.                                 return ret;
    
45.                         }
    
46.                 }
    
47.         }
    
48. 
    
49.         return 0;
    
50. }
    

復制代碼

并且在syslog中也有記錄：
Netfilter messages via NETLINK v0.30.
nf_conntrack version 0.5.0 (256 buckets, 2048 max)
nf_ct_ftp: registering helper for pf: 2 port: 21
nf_ct_ftp: registering helper for pf: 10 port: 21
ip_tables: (C) 2000-2006 Netfilter Core Team, Type=Restricted Cone
ipt_time loading
說明ftp helper 確實被注冊了，也沒有出錯。

但是，有LAN到WAN的ftp 連接時，且LAN端client 發(fā)出PORT命令，ftp help 函數竟沒有輸出任何東西，調試開關都已打開，奇怪。

請熟悉linux netfilter conntrack 的朋友幫忙釋疑��！

daniel_11

看看alg有沒有支持port方法？
我有patch，不過不能給你。

peruke

daniel_11:
你所說是否指nf_nat_ftp.c中的PORT方法？

1. static int (*mangle[])(struct sk_buff **, __be32, u_int16_t,
   
2.                        unsigned int, unsigned int, struct nf_conn *,
   
3.                        enum ip_conntrack_info, u32 *seq)
   
4. = {
   
5.         [NF_CT_FTP_PORT] = mangle_rfc959_packet,
   
6.         [NF_CT_FTP_PASV] = mangle_rfc959_packet,
   
7.         [NF_CT_FTP_EPRT] = mangle_eprt_packet,
   
8.         [NF_CT_FTP_EPSV] = mangle_epsv_packet
   
9. };
   

復制代碼

因為對netfilter conntrack整體框架不熟，所以里面的來龍去脈搞不清楚，以我的理解是：
nf_nat_ftp.c 中的函數 nf_nat_ftp 賦給指針nf_nat_ftp_hook，應該被nf_conntrack_ftp.c 中的help 函數在某個時間調用，如果是PORT命令，最終由 mangle_rfc959_packet 調用 nf_nat_mangle_tcp_packet來修改包。

daniel_11

peruke 發(fā)表于 2013-07-12 14:43
daniel_11:
你所說是否指nf_nat_ftp.c中的PORT方法？因為對netfilter conntrack整體框架不熟，所以里面的來 ...

因為port方法需要nat開port，需要根據ftp port命令內容建立正確的exp。

peruke

daniel_11 發(fā)表于 2013-07-12 14:48
因為port方法需要nat開port，需要根據ftp port命令內容建立正確的exp。

是的，nat所做的工作一個是開放port，另一個是修改私有IP為廣域網IP.

如果help 函數中的調試消息可以出來，對調試是很大的幫助，再問一下，什么情況下help 函數中的調試消息出不來呢？
謝謝！

daniel_11

peruke 發(fā)表于 2013-07-12 14:54
是的，nat所做的工作一個是開放port，另一個是修改私有IP為廣域網IP.

如果help 函數中的調試消息可以出 ...

連調試信息都沒有？你用pasv方法能出來不？用的什么方法看log？
有用conntrack tool來看看conntrack的信息么？
對于ftp alg流程，開個傳送門，http://www.72891.cn/thread-1935787-1-1.html

peruke

pasv模式也沒有調試信息，我用dmesg看的，相關消息如下：
Netfilter messages via NETLINK v0.30.
nf_conntrack version 0.5.0 (256 buckets, 2048 max)
nf_ct_ftp: registering helper for pf: 2 port: 21
nf_ct_ftp: registering helper for pf: 10 port: 21
ip_tables: (C) 2000-2006 Netfilter Core Team, Type=Restricted Cone
ipt_time loading

我在/proc/net/nf_conntrack 看的連接信息：
ipv4     2 tcp      6 3597 ESTABLISHED src=192.168.1.10 dst=193.162.146.4 sport=8118 dport=21 packets=9 bytes=427 src=193.162.146.4 dst=183.37.243.99 sport=21 dport=8118 packets=9 bytes=730 [ASSURED] mark=0 use=1

謝謝你的門，進去看看�。�