Re: Активный FTP

To: debian-russian@lists.debian.org
Subject: Re: Активный FTP
From: Artem Chuprina <ran@ran.pp.ru>
Date: Fri, 10 Mar 2006 15:34:30 +0300
Message-id: <93588585@tigger.lan.cryptocom.ru>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <878xrizekw.fsf@stress.volot.net> (stress@gmail.ru's message of "10 Mar 2006 15:09:19 +0300")
References: <878xrizekw.fsf@stress.volot.net>

StreSS -> debian-russian@lists.debian.org  @ 10 Mar 2006 15:09:19 +0300:


 S> Есть в сети ftp сервак он же прокся.
 S> При этих правилах пускать пускает, но ни список
 S> файлов/диркторий не выдает долго думает (точнее
 S> ждет ответа)

Правила приведены с него?

 S> ${IPTABLES} -A INPUT --protocol tcp -j TCP_PACKETS

 S> ${IPTABLES} -A TCP_PACKETS \
 S>            --source ${LAN_IP_RANGE} --destination ${LAN_IP} \
 S>            --destination-port 20 -j ALLOWED

Порт 20 в active варианте протокола - _исходящий_.  В смысле -
соединение устанавливается _с_ него.  Мораль.  OUTPUT покажи.

 S> ${IPTABLES} -A TCP_PACKETS -p TCP \
 S>             --source ${LAN_IP_RANGE} --destination ${LAN_IP} \
 S>             --destination-port 21 -j ALLOWED 

 S> ${IPTABLES} -A ALLOWED -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT

Ну и как совершенно верно заметили, ESTABLISHED,RELATED надо разрешать
без ограничения на протокол tcp.  Сильно способствует.

 S> ${IPTABLES} -A ALLOWED -p TCP --syn -j ACCEPT

 S> ${IPTABLES} -A ALLOWED -p TCP -j DROP

 S> модули ip_contrac_ftp,

он, вообще-то, ip_conntrack_ftp...

 S> ip_nat_ftp есть

-- 
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru

Работай хоть за четверых.  Только не говори им об этом.
	Кнышев.

Reply to:

Follow-Ups:
- Re: Активный FTP
  - From: StreSS <stress@gmail.ru>

References:
- Активный FTP
  - From: StreSS <stress@gmail.ru>

Prev by Date: I need help ;-)
Next by Date: Re: Активный FTP
Previous by thread: Re: Активный FTP
Next by thread: Re: Активный FTP
Index(es):
- Date
- Thread