[Comm] vopros pro iptables and FTP

Вт Сен 24 06:11:52 MSD 2002

Здравствуйте!

Конфигурил я тут iptables по умной книжке а там для разрешения работы
FTP приводятся нижеследующие правила:

    # outgoing request
    iptables -A OUTPUT -o $EXTERNAL_INTERFACE -p tcp  \
	     -s $IPADDR --source-port $UNPRIVPORTS \
	     --destination-port 21 -j ACCEPT

    iptables -A INPUT  -i $EXTERNAL_INTERFACE -p tcp ! --syn \
             --source-port 21 \
	     -d $IPADDR --destination-port $UNPRIVPORTS -j ACCEPT

    # PORT mode data channel
    iptables -A INPUT  -i $EXTERNAL_INTERFACE -p tcp  \
             --source-port 20 \
             -d $IPADDR --destination-port $UNPRIVPORTS -j ACCEPT

    iptables -A OUTPUT -o $EXTERNAL_INTERFACE -p tcp ! --syn \
             -s $IPADDR --source-port $UNPRIVPORTS \
             --destination-port 20 -j ACCEPT

Где UNPRIVPORTS="1024:" (т.е. все, что выше 1024)

Так вот, при такой конфигурации соединение с ftp сайтами устанавливается
и они пускают по паролю или без него, НО на любую команду (например ls),
после довольно долгого ожидания приходит такой вот ответ:

Faled to establish connection.

Соответственно не работает и apt-get.

Опытным путем я нашел решение, но понять этого не могу. Решение
заключается в добавлении следующих правил:

    iptables -A INPUT  -i $EXTERNAL_INTERFACE -p tcp  \
             --source-port $UNPRIVPORTS \
             -d $IPADDR --destination-port $UNPRIVPORTS -j ACCEPT

    iptables -A OUTPUT -o $EXTERNAL_INTERFACE -p tcp  \
             -s $IPADDR --source-port $UNPRIVPORTS \
             --destination-port $UNPRIVPORTS -j ACCEPT

Собственно, это часть правил для работы IRC (из книжки же).
Насколько я понимаю, получается, что для нормальной работы FTP
нужно разрешить связь на какой-то (какие-то) непривилегированный(е)
порт(ы).

Вопрос: какие именно порты и зачем???

Заранее большое спасибо за помощь.

С уважением,
Игорь Москалев.