Re: vsftpd и активный firewal

To: Debian-russian <debian-russian@lists.debian.org>
Subject: Re: vsftpd и активный firewal
From: Igor Goldenberg <igogold@gmail.com>
Date: Thu, 29 Jan 2009 11:14:28 +0500
Message-id: <49814944.4050507@gmail.com>
In-reply-to: <49807849.5020803@simm.ru>
References: <dbf157780901270534w4ad4ef20w704f31dbbaaaab17@mail.gmail.com> <200901281730.39074.bart@solarnet.ru> <49806F45.8000604@simm.ru> <200901281815.37079.bart@solarnet.ru> <49807849.5020803@simm.ru>

Oleg Rybnikov пишет:

>> Некоторое время назад пробегала проблема с iptables и модулем ip_conntrack_ftp,
>> который не работал, если порт был не 21 и если все это хозяйство за NAT стоит.

> а оно стоит за NAT разве? ;)

На самом деле ip_conntrack_ftp занимается лишь слежением за FTP сессией
для вычисления DATA соединений, получающих статус RELATED в conntrack.

И благодаря ему FTP сервер может открывать DATA порт не на 20-м порту, а
на любом случайном >1024 (как это умеет делать, например, vsftpd), а в
iptables достаточно лишь сказать принимать входящие RELATED сессии, и
тогда DATA соединения на эти случайные порты будут вычисляться сами и
проходить через firewall. Без модуля же надо явно открывать DATA порты в
iptables, что не очень элегантно. А вот при FTP сервере, запущенном на
порту отличном от 21-го, надо явно информировать модуль соединения по
каким портам прослушивать.

Reply to:

Follow-Ups:
- Re: vsftpd и активный firewal
  - From: Sapytsky Ilya <sova00@gmail.com>

References:
- vsftpd и активный firewal
  - From: Sapytsky Ilya <sova00@gmail.com>
- Re: vsftpd и активный firewal
  - From: Mikhail A Antonov <bart@solarnet.ru>
- Re: vsftpd и активный firewal
  - From: Oleg Rybnikov <oleg@simm.ru>
- Re: vsftpd и активный firewal
  - From: Mikhail A Antonov <bart@solarnet.ru>
- Re: vsftpd и активный firewal
  - From: Oleg Rybnikov <oleg@simm.ru>

Prev by Date: Samba+антивирус
Next by Date: Re: Samba+антивирус
Previous by thread: Re: vsftpd и активный firewal
Next by thread: Re: vsftpd и активный firewal
Index(es):
- Date
- Thread