[Comm] ftp пассивный режим и iptables
Sergei Boudnik
=?iso-8859-1?q?sergei_=CE=C1_boudnik=2Ekiev=2Eua?=
Чт Ноя 9 19:04:09 MSK 2006
Igo пишет:
> Чего не хватает чтобы пускал через пасивный режим
>
> $IPTABLES -A INPUT -p TCP -s ipaddr --dport 20 -j ACCEPT
>
Это не нужно вообще
> $IPTABLES -A INPUT -p TCP -d ipaddr --sport 20 -j ACCEPT
>
Это может пригодиться, чтобы самому качать в активном режиме
> $IPTABLES -A INPUT -p TCP -s ipaddr --dport 21 -j ACCEPT
>
Это нужно для любого ftp
> $IPTABLES -A INPUT -p TCP -d ipaddr --sport 21 -j ACCEPT
>
Это лишнее
> $IPTABLES -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
>
>
> [root на cerber sysconfig]# lsmod |grep ip
> ip_conntrack_ftp 3856 1
>
В идеале этот модуль должен отработать ftp соединения, но реальность
далека от идеала, поэтому приходится делать по-старинке:
$IPTABLES -A INPUT -p tcp --sport 32768:65535 --dport 32768:65535 -j ACCEPT
--
WBR, Sergei Boudnik
http://www.boudnik.kiev.ua
--------------------------
Tel: +38050 3584082
ICQ UIN: 56809672
SSB-RIPE
SSB1-UANIC
==========================
Trap for spam & virii:
trap на wildlist.org.ua
Подробная информация о списке рассылки community