Re: Активный FTP
AC >> StreSS -> debian-russian@lists.debian.org @ 10 Mar 2006 15:09:19 +0300:
S>> Есть в сети ftp сервак он же прокся.
S>> При этих правилах пускать пускает, но ни список
S>> файлов/диркторий не выдает долго думает (точнее
S>> ждет ответа)
AC >> Правила приведены с него?
С него и приведены (ох дурак я дурак, трудно я понимаю)
S>> ${IPTABLES} -A INPUT --protocol tcp -j TCP_PACKETS
S>> ${IPTABLES} -A TCP_PACKETS \
S>> --source ${LAN_IP_RANGE} --destination ${LAN_IP} \
S>> --destination-port 20 -j ALLOWED
AC >> Порт 20 в active варианте протокола - _исходящий_. В смысле -
AC >> соединение устанавливается _с_ него. Мораль. OUTPUT покажи.
Уже могу не показывать усе пашет всем спавибо!
S>> ${IPTABLES} -A TCP_PACKETS -p TCP \
S>> --source ${LAN_IP_RANGE} --destination ${LAN_IP} \
S>> --destination-port 21 -j ALLOWED
S>> ${IPTABLES} -A ALLOWED -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
AC >> Ну и как совершенно верно заметили, ESTABLISHED,RELATED надо разрешать
AC >> без ограничения на протокол tcp. Сильно способствует.
S>> ${IPTABLES} -A ALLOWED -p TCP --syn -j ACCEPT
S>> ${IPTABLES} -A ALLOWED -p TCP -j DROP
S>> модули ip_contrac_ftp,
AC >> он, вообще-то, ip_conntrack_ftp...
S>> ip_nat_ftp есть
AC >> --
AC >> Artem Chuprina
AC >> RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
AC >> Работай хоть за четверых. Только не говори им об этом.
AC >> Кнышев.
AC >> --
AC >> To UNSUBSCRIBE, email to debian-russian-REQUEST@lists.debian.org
AC >> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
--
.: StreSS <aka ShaD0FF> :.
.: ICQ - 121525811 :.
.: Tula Unix User Group http://www.tuug.h16.ru :.
.: Vita sene liberate nihil :.
Reply to: