URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 2422
[ Назад ]

Исходное сообщение
"iptables and active FTP"
Отправлено Daimos , 14-Ноя-05 16:55

На машине (Debian 3.1)стоит две сетевых карты, одна смотрит в локалку eth0, вторая eth1 подключена к ADSL-модему Prestige 650R-E1.
ip - реальный, но модеме включен НАТ, но все порты прокинуты в нем на ip адрес сетевой карты eth1.
Не пускает по active FTP из локалки в инет. Настройки крутил и так и эдак.
Наоборот не надо.
Пожалуйста, покажите пример настройки iptables для active FTP.
iptables-save
-A INPUT -i ! eth1 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED -j ACCEPT
-A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 113 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20:21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2049:2050 -j DROP
-A INPUT -p tcp -m tcp --dport 6000:6063 -j DROP
-A INPUT -p tcp -m tcp --dport 7000:7010 -j DROP
-A INPUT -p tcp -m tcp --dport 1024:65535 -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
COMMIT
*nat
:PREROUTING ACCEPT [69153:7030073]
:POSTROUTING ACCEPT [188723:10419132]
:OUTPUT ACCEPT [138463:8834584]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT

Содержание

iptables and active FTP,liks, 18:25 , 14-Ноя-05
- iptables and active FTP,Daimos, 09:08 , 15-Ноя-05
  - iptables and active FTP,GreatFoolDad, 12:48 , 29-Ноя-05
    - iptables and active FTP,Daimos, 09:34 , 15-Дек-05

Сообщения в этом обсуждении

"iptables and active FTP"
Отправлено liks , 14-Ноя-05 18:25

ФТП в активном режиме использует 20, 21 порты. Соответственно Вам надо смотреть чтобы они были открыты. Если коннекты идут не на сервак, то смотрите таблицу FORWARD, очень часто из-за этого возникают траблы.

"iptables and active FTP"
Отправлено Daimos , 15-Ноя-05 09:08

>ФТП в активном режиме использует 20, 21 порты. Соответственно Вам надо
>смотреть чтобы они были открыты. Если коннекты идут не на сервак,
>то смотрите таблицу FORWARD, очень часто из-за этого возникают траблы.
Да я в курсе, какие порты используются. В таблице FORWARD есть только LOG и перенаправление для других портов совсем.

"iptables and active FTP"
Отправлено GreatFoolDad , 29-Ноя-05 12:48

В Мандрейке (и еще много где )эту проблему решали подгрузкой модулей
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp

Там это железно работает

"iptables and active FTP"
Отправлено Daimos , 15-Дек-05 09:34

>В Мандрейке (и еще много где )эту проблему решали подгрузкой модулей
>
>/sbin/modprobe ip_conntrack
>/sbin/modprobe ip_conntrack_ftp
>/sbin/modprobe ip_nat_ftp
Да, действительно, эти модули надо было подгружать - по умолчанию не хотят :-(
Спасибо за помощь, успел в другом месте найти этот же совет :)