як пропустити ftp через iptables

[vanessa]

Щось я незнайду як це зробити.
# iptables -A INPUT --protocol tcp --dport 21 -j ACCEPT
цибвідкривою управляючий порт для ftp віддалені клієнти під'єднуються але далі ділоне йде.
читав щодля цього потрібно ще потрбний параметр в ядрі включити. У мене стоїть
<M> FTP protocol support
і що далі з цим робити ?

[RomadinR]

Ну, не погано було б вказати, який сервер використовуєте, перевірити, чи він запущений (як демон чи у xinetd)... Ну, ще логи сервера і протокол клієнта іноді допомагають...

[vanessa]

скажу.  сервер vsftp він точно запущений бо я із ним із локальної мережі можу з'єднатись. а от на інтерфейс ppp0 я навісив в кінець ланцюга INPUT правило
iptables -A INPUT -i ppp0 -m state --state NEW,INVALID -j DROP у кінець лацюга, а що перед цим  правилом - дивись перший пост в цій темі.

все, тему вичерпано. запрацювало після командни
# modprobe nf_nat_ftp

[PAL]

У першу чергу мани почитати щодо ftp тре.

А в манах сказано, що активний ftp використовує не один 21й порт. а два - 20 та 21.

А ще є й пасивний режим......

PS. Якщо є можливість скористатися http або sftp - краще ними. Бо ftp - це жахливо для адміна, якщо ftp стоїть за файрволом (а ще гірше - за натом)...

[bright]

Вся проблема в тому що встановлення з'єднання йде на 21 порт(керуюче з'єднання), а самі дані йдуть по 20 порт і дані про це йдуть в полі дата ТСР  пакету, а iptables не аналізує дане поле. Саме тому Ви може встановити з'єднання але нічого не можете скачувати. В iptables є допоміжні модулі які дозволяють вирішити дану проблему ip_conntrack_ftp (відслідковувати зєднання) та ip_nat_ftp (для того щоб працював коли використовується NAT)