[Comm] vopros pro iptables and FTP

[Alex]

Tuesday, September 24, 2002, 6:11:52 AM, Igor Moskalev пишет:

IM> Конфигурил я тут iptables по умной книжке а там для разрешения работы
IM> FTP приводятся нижеследующие правила:

[...]

IM> Так вот, при такой конфигурации соединение с ftp сайтами устанавливается
IM> и они пускают по паролю или без него, НО на любую команду (например ls),
IM> после довольно долгого ожидания приходит такой вот ответ:
IM> Faled to establish connection.

[...]

IM> Насколько я понимаю, получается, что для нормальной работы FTP
IM> нужно разрешить связь на какой-то (какие-то) непривилегированный(е)
IM> порт(ы).

IM> Вопрос: какие именно порты и зачем???

В продвинутых протоколах используется одиночное сетевое соединение для
обмена данными (например HTTP по 80 порту).
FTP использует отдельный канал для КОМАНД (на 21 порту сервера) и отдельный
для ДАННЫХ (динамический).
Кроме того существуют еще и два режима организации канала данных -
пассивный (сервер и клиент соединяются по непривелигированным портам)
и активный (20 порт сервера --> непривелигированный порт клиента)
...
Короче говоря, для iptables есть спец модуль ip_conntrack_ftp, для
корректной работы с ftp


Alex