Добрый день.
Есть LAN, ходит в инет через гейт на дебиане.
На дебиане nat и firewall организован через iptables.
модули nf_nat_ftp и nf_conntrack_ftp загружены. Соединения изнутри разрешены - NEW на 21 порт и ESTABLISHED,RELATED.

Все было чудесно и прекрасно, пока на одном из внешних ресурсов зачем-то не подняли TLS на ftp. Поскольку модуль nf_conntrack_ftp не видит, что творится в дебрях шифрованного управляющего соединения, то, естественно, не может опознать RELATED data-коннектов и, соответственно, не проходит даже листинг директорий.
Сейчас из-за этого пришлось все соединения на данный фтпшник заруливать через прокси, но так как мне так не нужно, ищу обходные пути.
Спасибо за любые предложения.

• ftp c TLS и NAT iptables,ruata, 11:25 , 29-Дек-12
  • ftp c TLS и NAT iptables,rusya_rr, 17:45 , 29-Дек-12

http://en.wikipedia.org/wiki/FTPS

Firewall incompatibilities

Therefore, in many firewalled networks, an FTPS deployment will fail when an unencrypted FTP deployment will work. This problem can be solved with the use of a limited range of ports for data and configuring the firewall to open these ports.

Дла пасивного FTP
В случае клиента придется разрешать наружу порты > 1024
Или по возможности уточнить какие порты настроены на сервере (можно попробовать снифером)

> http://en.wikipedia.org/wiki/FTPS
> Firewall incompatibilities
> Therefore, in many firewalled networks, an FTPS deployment will fail when an
> unencrypted FTP deployment will work. This problem can be solved with
> the use of a limited range of ports for data and
> configuring the firewall to open these ports.

Да, спасибо. Тоже покопал и понял, что печаль.
В итоге поднял Frox и зарулил фтп-коннекты через него..