Re: Активный FTP

To: "Debian Russian" <debian-russian@lists.debian.org>
Subject: Re: Активный FTP
From: "Dmitry Baryshkov" <dbaryshkov@gmail.com>
Date: Fri, 10 Mar 2006 15:39:37 +0300
Message-id: <bc64b4640603100439k6490f1ebq@mail.gmail.com>
In-reply-to: <874q26zdxl.fsf@stress.volot.net>
References: <878xrizekw.fsf@stress.volot.net> <bc64b4640603100415h17e75e8au@mail.gmail.com> <874q26zdxl.fsf@stress.volot.net>

Hello,

10 Mar 2006 15:23:18 +0300, StreSS<stress@gmail.ru> написал(а):
>
>  >>
>  >> Что здесь не так
>
>  DB >> Мануал плохо читали.
>
> ТОГДА я вообще не понимаю по какому принципу
> обрабатываются правила.
> Остается одно и самое тупое:
> Чем выше(раньше заданно) правило тем оно главнее?

В пределах таблицы да. В Вашем случае, все начинается в цепочке INPUT.
Проверяется, что пакет на 20 или 21 порт и, если это не так,
отбрасывается (Ведь Вы поставили -P INPUT DROP?). При этом passive ftp
Вы уже отрубили.

# iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT

тем и хороша, что позволяет почти не заботиться о портах, протоколах и
т.п. Пакеты от установленных соединений сразу разрешаются, не проходя
всю (иногда достаточно большую) таблицу фильтрации. Также этим
правилом разрешаются все пакеты, относящиеся к установленным
соединениям. Например тот самый passive ftp.

Еще недостаток вашей системы фильтрации: DROP'ается весь ICMP трафик.
А это иногда _очень_ неприятно. Не зря же протокол придумывали?

--
With best wishes
Dmitry Baryshkov

Reply to:

Follow-Ups:
- Re: Активный FTP
  - From: Artem Chuprina <ran@ran.pp.ru>

References:
- Активный FTP
  - From: StreSS <stress@gmail.ru>
- Re: Активный FTP
  - From: "Dmitry Baryshkov" <dbaryshkov@gmail.com>

Prev by Date: Re: Активный FTP
Next by Date: Re: Активный FTP
Previous by thread: Re: Активный FTP
Next by thread: Re: Активный FTP
Index(es):
- Date
- Thread