ftp ALG问题

peruke

测试2.6.21内核(非标准)ftp 穿透防火墙，Windows自带的ftp client不能下载文件，抓包发现ftp PORT命令包含私有IP：
PORT 192,168,1,100,12,172
500 Illegal PORT range rejected.
被ftp server拒绝了。

检查了linux kernel 配置，NF_CONNTRACK_FTP 和NF_NAT_FTP 选项都是yes 的，按理ftp 载荷里私有IP应被修改为广域网IP地址，
不知道为什么ftp ALG 没有起作用。

跟标准2.6.21 kernel对比了一下，netfilter代码基本相同，相信是2.6.21 kernel 本身就存在的bug，求patch，谢谢！

peruke

查看了内核nf_conntrack_ftp.c，有注册ftp helper的代码：

1. static int __init nf_conntrack_ftp_init(void)
   
2. {
   
3.         int i, j = -1, ret = 0;
   
4.         char *tmpname;
   
5. 
   
6.         ftp_buffer = kmalloc(65536, GFP_KERNEL);
   
7.         if (!ftp_buffer)
   
8.                 return -ENOMEM;
   
9. 
   
10.         if (ports_c == 0)
    
11.                 ports[ports_c++] = FTP_PORT;
    
12. 
    
13.         /* FIXME should be configurable whether IPv4 and IPv6 FTP connections
    
14.                  are tracked or not - YK */
    
15.         for (i = 0; i < ports_c; i++) {
    
16.                 ftp[i][0].tuple.src.l3num = PF_INET;
    
17.                 ftp[i][1].tuple.src.l3num = PF_INET6;
    
18.                 for (j = 0; j < 2; j++) {
    
19.                         ftp[i][j].tuple.src.u.tcp.port = htons(ports[i]);
    
20.                         ftp[i][j].tuple.dst.protonum = IPPROTO_TCP;
    
21.                         ftp[i][j].mask.src.l3num = 0xFFFF;
    
22.                         ftp[i][j].mask.src.u.tcp.port = htons(0xFFFF);
    
23.                         ftp[i][j].mask.dst.protonum = 0xFF;
    
24.                         ftp[i][j].max_expected = 1;
    
25.                         ftp[i][j].timeout = 5 * 60;        /* 5 Minutes */
    
26.                         ftp[i][j].me = THIS_MODULE;
    
27.                         ftp[i][j].help = help;
    
28.                         tmpname = &ftp_names[i][j][0];
    
29.                         if (ports[i] == FTP_PORT)
    
30.                                 sprintf(tmpname, "ftp");
    
31.                         else
    
32.                                 sprintf(tmpname, "ftp-%d", ports[i]);
    
33.                         ftp[i][j].name = tmpname;
    
34. 
    
35.                         DEBUGP("nf_ct_ftp: registering helper for pf: %d "
    
36.                                "port: %d\n",
    
37.                                 ftp[i][j].tuple.src.l3num, ports[i]);
    
38.                         ret = nf_conntrack_helper_register(&ftp[i][j]);
    
39.                         if (ret) {
    
40.                                 printk("nf_ct_ftp: failed to register helper "
    
41.                                        " for pf: %d port: %d\n",
    
42.                                         ftp[i][j].tuple.src.l3num, ports[i]);
    
43.                                 nf_conntrack_ftp_fini();
    
44.                                 return ret;
    
45.                         }
    
46.                 }
    
47.         }
    
48. 
    
49.         return 0;
    
50. }
    

复制代码

并且在syslog中也有记录：
Netfilter messages via NETLINK v0.30.
nf_conntrack version 0.5.0 (256 buckets, 2048 max)
nf_ct_ftp: registering helper for pf: 2 port: 21
nf_ct_ftp: registering helper for pf: 10 port: 21
ip_tables: (C) 2000-2006 Netfilter Core Team, Type=Restricted Cone
ipt_time loading
说明ftp helper 确实被注册了，也没有出错。

但是，有LAN到WAN的ftp 连接时，且LAN端client 发出PORT命令，ftp help 函数竟没有输出任何东西，调试开关都已打开，奇怪。

请熟悉linux netfilter conntrack 的朋友帮忙释疑！！

daniel_11

看看alg有没有支持port方法？
我有patch，不过不能给你。

peruke

daniel_11:
你所说是否指nf_nat_ftp.c中的PORT方法？

1. static int (*mangle[])(struct sk_buff **, __be32, u_int16_t,
   
2.                        unsigned int, unsigned int, struct nf_conn *,
   
3.                        enum ip_conntrack_info, u32 *seq)
   
4. = {
   
5.         [NF_CT_FTP_PORT] = mangle_rfc959_packet,
   
6.         [NF_CT_FTP_PASV] = mangle_rfc959_packet,
   
7.         [NF_CT_FTP_EPRT] = mangle_eprt_packet,
   
8.         [NF_CT_FTP_EPSV] = mangle_epsv_packet
   
9. };
   

复制代码

因为对netfilter conntrack整体框架不熟，所以里面的来龙去脉搞不清楚，以我的理解是：
nf_nat_ftp.c 中的函数 nf_nat_ftp 赋给指针nf_nat_ftp_hook，应该被nf_conntrack_ftp.c 中的help 函数在某个时间调用，如果是PORT命令，最终由 mangle_rfc959_packet 调用 nf_nat_mangle_tcp_packet来修改包。

daniel_11

peruke 发表于 2013-07-12 14:43
daniel_11:
你所说是否指nf_nat_ftp.c中的PORT方法？因为对netfilter conntrack整体框架不熟，所以里面的来 ...

因为port方法需要nat开port，需要根据ftp port命令内容建立正确的exp。

peruke

daniel_11 发表于 2013-07-12 14:48
因为port方法需要nat开port，需要根据ftp port命令内容建立正确的exp。

是的，nat所做的工作一个是开放port，另一个是修改私有IP为广域网IP.

如果help 函数中的调试消息可以出来，对调试是很大的帮助，再问一下，什么情况下help 函数中的调试消息出不来呢？
谢谢！

daniel_11

peruke 发表于 2013-07-12 14:54
是的，nat所做的工作一个是开放port，另一个是修改私有IP为广域网IP.

如果help 函数中的调试消息可以出 ...

连调试信息都没有？你用pasv方法能出来不？用的什么方法看log？
有用conntrack tool来看看conntrack的信息么？
对于ftp alg流程，开个传送门，http://bbs.chinaunix.net/thread-1935787-1-1.html

peruke

pasv模式也没有调试信息，我用dmesg看的，相关消息如下：
Netfilter messages via NETLINK v0.30.
nf_conntrack version 0.5.0 (256 buckets, 2048 max)
nf_ct_ftp: registering helper for pf: 2 port: 21
nf_ct_ftp: registering helper for pf: 10 port: 21
ip_tables: (C) 2000-2006 Netfilter Core Team, Type=Restricted Cone
ipt_time loading

我在/proc/net/nf_conntrack 看的连接信息：
ipv4     2 tcp      6 3597 ESTABLISHED src=192.168.1.10 dst=193.162.146.4 sport=8118 dport=21 packets=9 bytes=427 src=193.162.146.4 dst=183.37.243.99 sport=21 dport=8118 packets=9 bytes=730 [ASSURED] mark=0 use=1

谢谢你的门，进去看看！！