FTP and firewall on linux box. Какие порты надо открыть для работы с FTP?

0

0

Достаточно ли 20/tcp и 21/tcp портов для нормальной работы ftp? может еще что надо разрешить?

на машине linux 2.6.13 и proftpd. все цепочки фаервола (iptables) по дефолту установлены в DROP. открываю 20/tcp и 21/tcp порты. ftp работает, но заметил, что сильно тормозит открытии соединения и чтении каталогов. порты открываю следующем образом: $IPTABLES -A INPUT -p tcp --dport 20:21 -j ACCEPT

Если INPUT обнулисть и сделать ACCEPT по дефолту, то открытие соединения и чтение каталогов происходит заметно быстрее.

ps: тему заводил и на opennet: http://www.opennet.ru/openforum/vsluhforumID10/2933.html

Ссылка

←	openldasp ssl+sasl+pam authorization

Logrotate

→

для фтп сервера, работающем в passive mode этих двух портов достаточно если у тебя фтп работает в active mode, читай доки в этом направлении

anonymous
(03.10.06 08:11:53 MSD)

$IPTABLES -A OUTPUT -p udp --dport 53 -j ACCEPT

~~sdio~~ ★★★★★
(03.10.06 08:15:36 MSD)

Ответ на: комментарий от anonymous 03.10.06 08:11:53 MSD

> для фтп сервера, работающем в passive mode этих двух портов достаточно
Наоборот, достаточно для работы в active режиме (при условии, что в OUTPUT нет запретов).
Более подробно смотреть здесь:
http://slacksite.com/other/ftp.html
(где-то аналогично было даже на русском)

spirit ★★★★★
(03.10.06 12:52:28 MSD)

Ссылка

Ответ на: комментарий от sdio 03.10.06 08:15:36 MSD

> $IPTABLES -A OUTPUT -p udp --dport 53 -j ACCEPT

совсем забыл сказать, что output в accept установлен. Только причем тут 53/udp, этоо же для dns надо?

> Наоборот, достаточно для работы в active режиме (при условии, что в OUTPUT нет запретов). Более подробно смотреть здесь: http://slacksite.com/other/ftp.html (где-то аналогично было даже на русском)

Так и понял, после того, как на opennet-e ответ про PassivePorts получил. По ссылке http://slacksite.com/other/ftp-appendix1.html именно про это и написано. Мне почемуто не помогало, когда я в конфиге прописывал

PassivePorts 49152 65534 сразу после опции Port.

И, соответственоо, открывал эти порты iptables-ом

$IPTABLES -A INPUT -p tcp --dport 49152:65534 -j ACCEPT

буду рыть на предмет PassivePorts... Может где еще что откопаю.

samson ★★
(03.10.06 17:26:45 MSD) автор топика

Ответ на: комментарий от samson 03.10.06 17:26:45 MSD

> $IPTABLES -A INPUT -p tcp --dport 49152:65534 -j ACCEPT

Лучше так:
# modprobe ip_conntrack_ftp
# iptables -A INPUT --match state --state RELATED,ESTABLISHED -j ACCEPT

ero-sennin ★★
(03.10.06 17:29:58 MSD)

Ответ на: комментарий от ero-sennin 03.10.06 17:29:58 MSD

заработало!!! че сделал, сам не пойму. все также дописал в конфиг PassivePorts и сделал ACCEPT на эти порты

> Лучше так:
# modprobe ip_conntrack_ftp
# iptables -A INPUT --match state --state RELATED,ESTABLISHED -j ACCEPT

а ip_conntrack_ftp что делает? там еще такойже для нат есть. стоит его подгружать или нет? У меня просто этот proftpd за шлюзом в инет стоит. на нем:
$IPTABLES -t nat -A PREROUTING -s $SOURCE -d $MY_IP -p tcp --dport 20:21 -j DNAT --to-destination $FTP_LOCAL_IP
$IPTABLES -t nat -A PREROUTING -s $SOURCE -d $MY_IP -p tcp --dport 49152:65534 -j DNAT --to-destination $FTP_LOCAL_IP

samson ★★
(03.10.06 17:43:32 MSD) автор топика

Ответ на: комментарий от samson 03.10.06 17:43:32 MSD

> а ip_conntrack_ftp что делает?

Позволяет использовать --state RELATED. =)

ero-sennin ★★
(03.10.06 17:46:11 MSD)

Ссылка

Всем спасибо! Думаю, тему можно считать закрытой.

samson ★★
(04.10.06 11:23:54 MSD) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	openldasp ssl+sasl+pam authorization

Admin

Logrotate

→

Похожие темы