IMHO.WS - Проблема с ftp и iptables

IMHO.WS (http://www.imho.ws/index.php)

- Пингвинятник (ОС *NIX) (http://www.imho.ws/forumdisplay.php?f=76)

- - Проблема с ftp и iptables (http://www.imho.ws/showthread.php?t=70593)

Проблема с ftp и iptables

Излагаю.
Есть на сервере ftp и фаерволл.
В самом начале при утановке правил доступа в таблице INPUT политики ACCEPT - доступ к ftp серверу нормальный (по локалке). При установки политики в DROP, коннект устанавливается в течении нескольких минут. После, пытается выдать список файлов, что заканчивается ручным дисконнектом, т.к. оченб это долго.

Все, что можно перерыл, исправлял, ничего не помогает. Помогите кто знает. (сервер ftp - Proftpd; их документацию смотрел, исправлял, ничего не помогает) :(

ftp протокол в так называемом активном режиме использует 2 порта 21 -ftp и 20 ftp-data . есть пассивный режим используется только 20 -й порт

по всей видимости при установки политики в drop ftp-data соединение автоматически дропается .

тебе нужен клиент который понимает пассивный режим , либо модули для iptables .

Я понял. У меня правила такие:

# Generated by iptables-save v1.2.9 on Tue Sep 21 10:41:08 2004
*filter
#:INPUT DROP [717:63333]
#:FORWARD DROP [0:0]
#:OUTPUT ACCEPT [1114:187608]
-F
-P INPUT DROP
-P FORWARD DROP
#-P OUTPUT ACCEPT

-A INPUT -i eth0 -d 192.168.1.130 -p tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -d 192.168.1.130 -p tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -d 192.168.1.130 -s 192.168.1.0 -p tcp --dport ftp -j ACCEPT
#-A INPUT -i eth0 -d 192.168.1.130 -s 192.168.1.0 -p udp --dport ftp -j ACCEPT
-A INPUT -i eth0 -d 192.168.1.130 -s 192.168.1.0 -p tcp --dport 20 -j ACCEPT
-A INPUT -i lo -d 127.0.0.1 -j ACCEPT
-A INPUT -i eth0 -d 192.168.1.130 -p icmp --icmp-type 8 -j ACCEPT

#for ping in
-A INPUT -p icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp --icmp-type 5 -j ACCEPT
-A INPUT -p icmp --icmp-type 8 -j ACCEPT
-A INPUT -p icmp --icmp-type 11 -j ACCEPT

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#for ping out
-A OUTPUT -p icmp --icmp-type 0 -j ACCEPT
-A OUTPUT -p icmp --icmp-type 3 -j ACCEPT
-A OUTPUT -p icmp --icmp-type 5 -j ACCEPT
-A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -p icmp --icmp-type 11 -j ACCEPT

#-A OUTPUT -p tcp -s 0.0.0.0/0 ftp -t 0x01 0x10
#-A OUTPUT -p tcp -s 0.0.0.0/0 ftp-data -t 0x01 0x08

COMMIT
# Completed on Tue Sep 21 10:41:08 2004

Значит, сюда достаточно добавить правила для ftp-data и тогда будет работать?

не все так легко .
ftp server сам открывает соединение со своего 20-ого порта , этот момент надо учитывать

у iptables есть модуль для этого дела.

вот нашел.
http://www.opennet.ru/docs/RUS/iptab...MPLEXPROTOCOLS

секция 4.8. Трассировка комплексных протоколов

http://www.rfc-editor.org/cgi-bin/rf...ile_format=txt

думаю ситуацию прояснит.

У самого документашка распечатана и не видел этого. Как говорится, смотришь в книгу - видишь фигу.

Всё заработало. Премного благодарен :)