Iptables FTP правила

0

0

создаем два правила:

iptables -A FORWARD -p tcp -s 192.168.44.16 -m multiport --dport 21 -j ACCEPT

iptables -A FORWARD -p tcp -d 192.168.44.16 -m multiport --sport 21 -j ACCEPT

позволяет пользователю за NAT работать только по FTP протоколу. Но проблема заключается в том, что при получении LIST GET Directory зависает на FTP клиенте соединение.

если прописать правила вида:

iptables -A FORWARD -p all -s 192.168.44.16 -j ACCEPT

iptables -A FORWARD -p all -d 192.168.44.16 -j ACCEPT

то все прекрасно работает. подскажите что не так сделано с моей стороны?

Ссылка

←	редирект портов средставми iptables, Не проброс!

Как подружить сервера?

→

В ядре включена поддержка FTP трассировщика? В цепочке Forward разрешены соединения со статусом RELATED? ftp протокол, помимо соединения по 21 порту, устанавливает т.н. data-соединение по 20 порту. когда в ядре есть поддержка ftp трассировщика, data-соединение помечается как related (независимо от того, пассивное оно или активное). p.s. исходя из написанного, -m multiport не нужен. он нужен для указания нескольких портов через запятую

anonymous
(29.11.07 09:26:57 MSK)

Ответ на: комментарий от anonymous 29.11.07 09:26:57 MSK

это лишнее
-m multiport

И подгружать модуль, и открыть 20 порт... как замечено сверху

deimos
(29.11.07 11:03:12 MSK)

Ответ на: комментарий от deimos 29.11.07 11:03:12 MSK

20 порт не нужен (т.к. только для active mode), лучше разрешить RELATED соединения + проверить [авто]загрузку модулей ip_nat_ftp, ip_conntrack_ftp.

spirit ★★★★★
(29.11.07 13:14:24 MSK)

Ссылка

Ответ на: комментарий от deimos 29.11.07 11:03:12 MSK

спасибо. достаточно было открыть еще и 20 порт.

anonymous
(06.12.07 15:17:28 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	редирект портов средставми iptables, Не проброс!

Admin

Как подружить сервера?

→

Похожие темы