Jump to content

Allow ftp, drop other

heap
 Share

Recommended Posts

heap

heap

Posted
Posted

Доброго времени всем.

 

Озадачился следующим моментом. Нужно запретить пользователям соединения наружу по всем портам, кроме 1-1024, но при этом чтобы работал активный и пассивный режим фтп. Как этого можно достич?

s.lobanov

s.lobanov

Posted
Posted

Для трафика от сервера это делается так:

 

modprobe nf_conntrack_ftp

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -j DROP

 

т.е. нужно загрузить соответствующий helper и использовать фичу RELATED.

Для транзитного трафика делается аналогичное, но зависит от того, используется NAT или нет (если что, то модуль называется nf_nat_ftp)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.