[Comm] ftp пассивный режим и iptables
Maxim Tyurin
=?iso-8859-1?q?mrkooll_=CE=C1_bungarus=2Einfo?=
Чт Ноя 9 19:48:49 MSK 2006
Sergei Boudnik пишет:
> Igo пишет:
>> Чего не хватает чтобы пускал через пасивный режим
>>
>> $IPTABLES -A INPUT -p TCP -s ipaddr --dport 20 -j ACCEPT
>>
> Это не нужно вообще
>> $IPTABLES -A INPUT -p TCP -d ipaddr --sport 20 -j ACCEPT
>>
> Это может пригодиться, чтобы самому качать в активном режиме
>> $IPTABLES -A INPUT -p TCP -s ipaddr --dport 21 -j ACCEPT
>>
> Это нужно для любого ftp
>> $IPTABLES -A INPUT -p TCP -d ipaddr --sport 21 -j ACCEPT
>>
> Это лишнее
>> $IPTABLES -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
>>
>>
>> [root на cerber sysconfig]# lsmod |grep ip
>> ip_conntrack_ftp 3856 1
>>
> В идеале этот модуль должен отработать ftp соединения, но реальность
> далека от идеала, поэтому приходится делать по-старинке:
>
> $IPTABLES -A INPUT -p tcp --sport 32768:65535 --dport 32768:65535 -j ACCEPT
Не нужно вредных советов.
И нормально работает трассировка ftp
Для работы ftp хватит:
modprobe ip_conntrack_ftp
iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p TCP -s ipaddr --dport 20 -j ACCEPT
iptables -A INPUT -p TCP -s ipaddr --dport 21 -j ACCEPT
--
With Best Regards, Maxim Tyurin
JID: MrKooll на jabber.pibhe.com
___
/ _ )__ _____ ___ ____ _______ _____
/ _ / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/ \_,_/___/
/___/
Подробная информация о списке рассылки community