[Comm] ftp сквозь iptables
Dmitry Lebkov
=?iso-8859-1?q?dima_=CE=C1_sakhalin=2Eru?=
Ср Фев 19 15:39:30 MSK 2003
On Wed, 19 Feb 2003 14:55:59 +0700
aek <aek на taxpol.krasnoyarsk.su> wrote:
> Hello community,
>
> есть правила
> /sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT
> /sbin/iptables -A INPUT -i eth0 -p tcp ! --syn --sport 21 -j ACCEPT
> /sbin/iptables -A INPUT -i eth0 -p tcp --dport 20 -j ACCEPT
> /sbin/iptables -A OUTPUT -o eth0 -p tcp ! --syn --sport 20 -j ACCEPT
> /sbin/iptables -A INPUT -i eth0 -p tcp --sport 1024:65535 --dport
> 1024:65535 -j ACCEPT/sbin/iptables -A OUTPUT -o eth0 -p tcp --sport
> 1024:65535 --dport 1024:65535 -j ACCEPT
>
> как отключаю iptables, фтпишка работает без проблем.
> как включаю iptables фтпишка соединяется,запрашивает логин, пароль,
> говорит что все Ок, но при попытке сделать ls выпадает по тайм ауту.
>
> Я гдето чегото не понимаю?
Если я ничего не перепутал, твой набор правил не учитывает ситуацию:
server:(20|21) syn -> client:(1024:65535) -- это ответ сервера в случае
passive mode.
А вся возня с модулями нужна только в том случае, если у тебя
используются правила для (S|D)NAT или MASQUERADING.
--
WBR, Dmitry Lebkov
Подробная информация о списке рассылки community