From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Mon, 23 Sep 2002 21:11:52 -0500 (CDT) From: Igor Moskalev To: community@altlinux.ru Message-ID: MIME-Version: 1.0 Content-Type: TEXT/PLAIN; charset=koi8-r Content-Transfer-Encoding: 8BIT Subject: [Comm] vopros pro iptables and FTP Sender: community-admin@altlinux.ru Errors-To: community-admin@altlinux.ru X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.0.13 Precedence: bulk Reply-To: community@altlinux.ru List-Unsubscribe: , List-Id: List-Post: List-Help: List-Subscribe: , List-Archive: Archived-At: List-Archive: List-Post: Здравствуйте! Конфигурил я тут iptables по умной книжке а там для разрешения работы FTP приводятся нижеследующие правила: # outgoing request iptables -A OUTPUT -o $EXTERNAL_INTERFACE -p tcp \ -s $IPADDR --source-port $UNPRIVPORTS \ --destination-port 21 -j ACCEPT iptables -A INPUT -i $EXTERNAL_INTERFACE -p tcp ! --syn \ --source-port 21 \ -d $IPADDR --destination-port $UNPRIVPORTS -j ACCEPT # PORT mode data channel iptables -A INPUT -i $EXTERNAL_INTERFACE -p tcp \ --source-port 20 \ -d $IPADDR --destination-port $UNPRIVPORTS -j ACCEPT iptables -A OUTPUT -o $EXTERNAL_INTERFACE -p tcp ! --syn \ -s $IPADDR --source-port $UNPRIVPORTS \ --destination-port 20 -j ACCEPT Где UNPRIVPORTS="1024:" (т.е. все, что выше 1024) Так вот, при такой конфигурации соединение с ftp сайтами устанавливается и они пускают по паролю или без него, НО на любую команду (например ls), после довольно долгого ожидания приходит такой вот ответ: Faled to establish connection. Соответственно не работает и apt-get. Опытным путем я нашел решение, но понять этого не могу. Решение заключается в добавлении следующих правил: iptables -A INPUT -i $EXTERNAL_INTERFACE -p tcp \ --source-port $UNPRIVPORTS \ -d $IPADDR --destination-port $UNPRIVPORTS -j ACCEPT iptables -A OUTPUT -o $EXTERNAL_INTERFACE -p tcp \ -s $IPADDR --source-port $UNPRIVPORTS \ --destination-port $UNPRIVPORTS -j ACCEPT Собственно, это часть правил для работы IRC (из книжки же). Насколько я понимаю, получается, что для нормальной работы FTP нужно разрешить связь на какой-то (какие-то) непривилегированный(е) порт(ы). Вопрос: какие именно порты и зачем??? Заранее большое спасибо за помощь. С уважением, Игорь Москалев.