proftpd и iptables - не устанавливает соединение ...
Уважаемые!
Подскажите пожалуйста в чем может быть проблема с доступом по фтп.
Машина с двумя сетевыми интерфейсами, настраивал в точности с wiki:
http://ru.gentoo-wiki.com/Настройка_Squid_с_поддержкой_ntlm.htm
Без iptables - работает без проблем, а с ним не устанавливает соединение ...
Притом FORWARDING на другие фтп устанавливает, а сам на себя не дает зайти.
Часть конфига iptables, для фтп:
....
$IPT -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -p tcp -d 0/0 --sport 21 -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPT -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
$IPT -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
....
модули nf_nat_ftp и nf_conntrack_ftp - подгружены ...
Даже с localhost не могу зайти ...
Что еще нужно?
- Для комментирования войдите или зарегистрируйтесь
Попробуйте
Попробуйте первые два правила заменить на:
$IPT -A INPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
Картина та же - не устанавливает
Спасибо за отклик, но так и не удалось получить соединение ...
В начале были пляски вокруг анонимного доступа в самом Proftpd, победил, отбросив флаг 'acl' при сборке.
А сейчас вот это ...
Может еще что покурить ?
Всё! Решилось!
Добавил строку разрешающую 21 порт:
iptables -A INPUT -p TCP --dport 21 -i ${EXTIF} -j ACCEPT
После которой баню всех, кроме внутренней сети
iptables -A INPUT -p TCP -i ! ${INTIF} -d 0/0 --dport 0:1023 -j DROP
Для FTP:
iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp -d 0/0 --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --sport 1024: -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
:. а для потомков?
а на вики добавить пару строчек - для потомков и последователей можно?
_________________
:. Поделись опытом на ru.gentoo-wiki.com или на www.gentoo-wiki.com