[Sysadmins] iptables rules DNAT ftp passive

[Starodumoff Ilya]

В сообщении от 16 мая 2008 Grigory Fateyev написал(a):
> Типа такого?
> $IPTABLES -t nat -A PREROUTING -p tcp -d $INET_1IP -m multiport --dport
> 1024: -j DNAT --to-destination $WEB1_VE
>
не... все не надо :)
ограничьте диапазон портов для соединения с сервером в пассивном режиме...

в proftpd:
PassivePorts 65000 65535

в vsftpd:
pasv_min_port=65000
pasv_max_port=65535

iptables -t nat -A PREROUTING -d $INET_1IP -p tcp --dport 65000:65535 \
-j DNAT --to-destination $WEB1_VE


> А в FORWARD ничего не надо?
конечно надо, если там полиси не accept стоит... :)

-- 
С уважением,
Стародумов Илья