[Comm] ftp сквозь iptables

[Dmitry Lebkov]

On Wed, 19 Feb 2003 14:55:59 +0700
aek <aek на taxpol.krasnoyarsk.su> wrote:

> Hello community,
> 
> есть правила
> /sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT
> /sbin/iptables -A INPUT  -i eth0 -p tcp ! --syn --sport 21 -j ACCEPT
> /sbin/iptables -A INPUT  -i eth0 -p tcp --dport 20 -j ACCEPT
> /sbin/iptables -A OUTPUT -o eth0 -p tcp ! --syn --sport 20 -j ACCEPT
> /sbin/iptables -A INPUT  -i eth0 -p tcp --sport 1024:65535 --dport
> 1024:65535 -j ACCEPT/sbin/iptables -A OUTPUT -o eth0 -p tcp --sport
> 1024:65535 --dport 1024:65535 -j ACCEPT
> 
> как отключаю iptables, фтпишка работает без проблем.
> как включаю iptables фтпишка соединяется,запрашивает логин, пароль,
> говорит что все Ок, но при попытке сделать ls выпадает по тайм ауту.
> 
> Я гдето чегото не понимаю?

Если я ничего не перепутал, твой набор правил не учитывает ситуацию:

server:(20|21) syn -> client:(1024:65535) -- это ответ сервера в случае
passive mode. 

А вся возня с модулями нужна только в том случае, если у тебя
используются правила для (S|D)NAT или MASQUERADING.

--
WBR, Dmitry Lebkov