[Comm] ftp пассивный режим и iptables

Andrii Dobrovol`s`kii =?iso-8859-1?q?dobr_=CE=C1_iop=2Ekiev=2Eua?=
Чт Ноя 9 20:03:48 MSK 2006


Maxim Tyurin пишет:
> Sergei Boudnik пишет:
>> Igo пишет:
>>> Чего не хватает чтобы пускал через пасивный режим
>>>
>>> $IPTABLES -A INPUT -p TCP -s ipaddr --dport 20  -j ACCEPT
>>>   
>> Это не нужно вообще
>>> $IPTABLES -A INPUT -p TCP -d ipaddr --sport 20  -j ACCEPT
>>>   
>> Это может пригодиться, чтобы самому качать в активном режиме
>>> $IPTABLES -A INPUT -p TCP -s ipaddr --dport 21  -j ACCEPT
>>>   
>> Это нужно для любого ftp
>>> $IPTABLES -A INPUT -p TCP -d ipaddr --sport 21  -j ACCEPT
>>>   
>> Это лишнее
>>> $IPTABLES -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
>>>
>>>
>>> [root на cerber sysconfig]# lsmod |grep ip
>>> ip_conntrack_ftp        3856   1
>>>   
>> В идеале этот модуль должен отработать ftp соединения, но реальность 
>> далека от идеала, поэтому приходится делать по-старинке:
>>
>> $IPTABLES -A INPUT -p tcp --sport 32768:65535 --dport 32768:65535 -j ACCEPT
> 
> Не нужно вредных советов.
> И нормально работает трассировка ftp
> 
> Для работы ftp хватит:
> modprobe ip_conntrack_ftp
> iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A INPUT -p TCP -s ipaddr --dport 20  -j ACCEPT
> iptables -A INPUT -p TCP -s ipaddr --dport 21  -j ACCEPT
Это предлагается для клиента или для сервера?
И по моему одних INPUT-ов всё же будет маловато, если только наружу
не проходной двор...
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************

----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : signature.asc
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: OpenPGP digital signature
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20061109/f03515fe/attachment-0003.bin>


Подробная информация о списке рассылки community