From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <gnitarg@bellsouth.net>
Date: Mon, 23 Sep 2002 21:11:52 -0500 (CDT)
From: Igor Moskalev <gnitarg@bellsouth.net>
To: community@altlinux.ru
Message-ID: <Pine.LNX.4.44L.0209232045100.16169-100000@localhost.localdomain>
MIME-Version: 1.0
Content-Type: TEXT/PLAIN; charset=koi8-r
Content-Transfer-Encoding: 8BIT
Subject: [Comm] vopros pro iptables and FTP
Sender: community-admin@altlinux.ru
Errors-To: community-admin@altlinux.ru
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.0.13
Precedence: bulk
Reply-To: community@altlinux.ru
List-Unsubscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Id: <community.altlinux.ru>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
List-Archive: <http://www.altlinux.ru/pipermail/community/>
Archived-At: <http://lore.altlinux.org/community/Pine.LNX.4.44L.0209232045100.16169-100000@localhost.localdomain/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Здравствуйте!

Конфигурил я тут iptables по умной книжке а там для разрешения работы
FTP приводятся нижеследующие правила:

    # outgoing request
    iptables -A OUTPUT -o $EXTERNAL_INTERFACE -p tcp  \
	     -s $IPADDR --source-port $UNPRIVPORTS \
	     --destination-port 21 -j ACCEPT

    iptables -A INPUT  -i $EXTERNAL_INTERFACE -p tcp ! --syn \
             --source-port 21 \
	     -d $IPADDR --destination-port $UNPRIVPORTS -j ACCEPT

    # PORT mode data channel
    iptables -A INPUT  -i $EXTERNAL_INTERFACE -p tcp  \
             --source-port 20 \
             -d $IPADDR --destination-port $UNPRIVPORTS -j ACCEPT

    iptables -A OUTPUT -o $EXTERNAL_INTERFACE -p tcp ! --syn \
             -s $IPADDR --source-port $UNPRIVPORTS \
             --destination-port 20 -j ACCEPT


Где UNPRIVPORTS="1024:" (т.е. все, что выше 1024)

Так вот, при такой конфигурации соединение с ftp сайтами устанавливается
и они пускают по паролю или без него, НО на любую команду (например ls),
после довольно долгого ожидания приходит такой вот ответ:

Faled to establish connection.

Соответственно не работает и apt-get.

Опытным путем я нашел решение, но понять этого не могу. Решение
заключается в добавлении следующих правил:

    iptables -A INPUT  -i $EXTERNAL_INTERFACE -p tcp  \
             --source-port $UNPRIVPORTS \
             -d $IPADDR --destination-port $UNPRIVPORTS -j ACCEPT

    iptables -A OUTPUT -o $EXTERNAL_INTERFACE -p tcp  \
             -s $IPADDR --source-port $UNPRIVPORTS \
             --destination-port $UNPRIVPORTS -j ACCEPT


Собственно, это часть правил для работы IRC (из книжки же).
Насколько я понимаю, получается, что для нормальной работы FTP
нужно разрешить связь на какой-то (какие-то) непривилегированный(е)
порт(ы).

Вопрос: какие именно порты и зачем???

Заранее большое спасибо за помощь.

С уважением,
Игорь Москалев.