LINUX.ORG.RU
ФорумAdmin

iptables ftp


0

0

Привет всем!

Что-то я совсем уже запутался.
Сижу 2 дня не могу придумать как грамотно выпустить клиентов на
внешний фтп-сервер...
открываю 20 и 21 порт...что-то не чильно работает.

НЕ затруднит ли кого-нить скинуть пару строчек из вашего iptables
для доступа на внешний фтп для активного и пассивного соединения...

Сенкс!


кури ман айпитаблса на предмет -m state и статуса RELATED

sidor ★★
()

куча док в гугле на эту тему. Копать в сторону nf_nat_ftp, nf_conntrack_ftp

true_admin ★★★★★
()

Надеюсь ты в форварде не выставляешь ограничения по портам?

Вообще идея проста как швабра:
modprobe nf_conntrack_ftp nf_nat_ftp
iptables -I FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# Дальше разрешаешь от клиентов все что нужно.

(В старых ядрах названия модулей начинаются не на nf_, а на ip_).

nnz ★★★★
()
Ответ на: комментарий от nnz

Решил проблему добавлением в rc.firewall
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_queue
/sbin/modprobe ip_conntrack_ftp

## FTP
$IPT -A OUTPUT -s 0/0 -d 0/0 -p tcp --dport 21 -j ACCEPT
$IPT -A INPUT -s 0/0 -d 0/0 -p tcp --sport 21 -j ACCEPT
$IPT -A INPUT -s 0/0 -d 0/0 -p tcp --sport 20 -j ACCEPT
$IPT -A OUTPUT -s 0/0 -d 0/0 -p tcp --dport 20 -j ACCEPT

$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Всё заработало.
Всем спасибо за помощь!

BusTeR
() автор топика
Ответ на: комментарий от BusTeR

1. ip_queue вообще никаким боком.
2. -s 0/0 -d 0/0 писать не надо, это предполагается по умолчанию.
3. Если нужно обеспечить FTP для клиентов, которые используют этот сервер как шлюз, достаточно разрешить 21 порт в FORWARD.
INPUT и OUTPUT отвечают за коннекты самого сервера.

nnz ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.