heap Опубликовано 2 декабря, 2010 · Жалоба Доброго времени всем. Озадачился следующим моментом. Нужно запретить пользователям соединения наружу по всем портам, кроме 1-1024, но при этом чтобы работал активный и пассивный режим фтп. Как этого можно достич? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 2 декабря, 2010 · Жалоба Для трафика от сервера это делается так: modprobe nf_conntrack_ftp iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -j DROP т.е. нужно загрузить соответствующий helper и использовать фичу RELATED. Для транзитного трафика делается аналогичное, но зависит от того, используется NAT или нет (если что, то модуль называется nf_nat_ftp) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
heap Опубликовано 4 декабря, 2010 · Жалоба Спасибо. Решил хелпером ftp, но по-моему достаточно nf_conntrack_ftp подгрузить, даже в случае с НАТ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...