Maxim Tyurin пишет:
> Sergei Boudnik пишет:
>> Igo пишет:
>>> Чего не хватает чтобы пускал через пасивный режим
>>>
>>> $IPTABLES -A INPUT -p TCP -s ipaddr --dport 20  -j ACCEPT
>>>   
>> Это не нужно вообще
>>> $IPTABLES -A INPUT -p TCP -d ipaddr --sport 20  -j ACCEPT
>>>   
>> Это может пригодиться, чтобы самому качать в активном режиме
>>> $IPTABLES -A INPUT -p TCP -s ipaddr --dport 21  -j ACCEPT
>>>   
>> Это нужно для любого ftp
>>> $IPTABLES -A INPUT -p TCP -d ipaddr --sport 21  -j ACCEPT
>>>   
>> Это лишнее
>>> $IPTABLES -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
>>>
>>>
>>> [root@cerber sysconfig]# lsmod |grep ip
>>> ip_conntrack_ftp        3856   1
>>>   
>> В идеале этот модуль должен отработать ftp соединения, но реальность 
>> далека от идеала, поэтому приходится делать по-старинке:
>>
>> $IPTABLES -A INPUT -p tcp --sport 32768:65535 --dport 32768:65535 -j ACCEPT
> 
> Не нужно вредных советов.
> И нормально работает трассировка ftp
> 
> Для работы ftp хватит:
> modprobe ip_conntrack_ftp
> iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A INPUT -p TCP -s ipaddr --dport 20  -j ACCEPT
> iptables -A INPUT -p TCP -s ipaddr --dport 21  -j ACCEPT
Это предлагается для клиента или для сервера?
И по моему одних INPUT-ов всё же будет маловато, если только наружу
не проходной двор...
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************