[Sysadmins] iptables rules DNAT ftp passive
Starodumoff Ilya
=?iso-8859-1?q?ripper=2Email_=CE=C1_gmail=2Ecom?=
Пт Май 16 19:41:22 MSD 2008
В сообщении от 16 мая 2008 Grigory Fateyev написал(a):
> Типа такого?
> $IPTABLES -t nat -A PREROUTING -p tcp -d $INET_1IP -m multiport --dport
> 1024: -j DNAT --to-destination $WEB1_VE
>
не... все не надо :)
ограничьте диапазон портов для соединения с сервером в пассивном режиме...
в proftpd:
PassivePorts 65000 65535
в vsftpd:
pasv_min_port=65000
pasv_max_port=65535
iptables -t nat -A PREROUTING -d $INET_1IP -p tcp --dport 65000:65535 \
-j DNAT --to-destination $WEB1_VE
> А в FORWARD ничего не надо?
конечно надо, если там полиси не accept стоит... :)
--
С уважением,
Стародумов Илья
Подробная информация о списке рассылки Sysadmins