[Comm] ftp пассивный режим и iptables
Sergei Boudnik
=?iso-8859-1?q?sergei_=CE=C1_boudnik=2Ekiev=2Eua?=
Чт Ноя 9 21:15:19 MSK 2006
Maxim Tyurin пишет:
> Не нужно вредных советов.
> И нормально работает трассировка ftp
>
> Для работы ftp хватит:
> modprobe ip_conntrack_ftp
> iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A INPUT -p TCP -s ipaddr --dport 20 -j ACCEPT
> iptables -A INPUT -p TCP -s ipaddr --dport 21 -j ACCEPT
>
Мой совет исключительно для тех, у кого не отрабатывает ip_conntrack_ftp
К тому же, если отбросить паранойю в сторону, то на портах выше 32к
ломать нечего.
Но если есть возможность заставить нужных юзверей использовать
правильные ftp-клиенты, то лишние порты, конечно же, лучше не открывать.
--
WBR, Sergei Boudnik
http://www.boudnik.kiev.ua
--------------------------
Tel: +38050 3584082
ICQ UIN: 56809672
SSB-RIPE
SSB1-UANIC
==========================
Trap for spam & virii:
trap на wildlist.org.ua
Подробная информация о списке рассылки community