https://www.opennet.dev/openforum/vsluhforumID1/80732.html Необычная проблема с пассивным режимом фтп, при политике запрета в iptables по умолчанию цепочки FORWARD.<br><br>SuSe 10.3, iptables 1.3.8, 1,4,1. <br><br>1 карта 192.168.13.108 смотрит во внутренню сеть с 192.168.13.0/24, 2 карта с 192.168.0.108 смотрит в dmz со шлюзом в инет 192.168.0.201.<br><br>Вспомогательные модули подргужены:<br># lsmod &#124;grep ftp<br>nf_nat_ftp 7296 0<br>nf_conntrack_ftp 13696 1 nf_nat_ftp<br>nf_nat 21912 2 nf_nat_ftp,iptable_nat<br>nf_conntrack 61684 7 xt_conntrack,nf_nat_ftp,nf_conntrack_ftp,xt_state,iptable_nat,nf_nat,nf_conntrack_ipv4<br><br>Правила iptables такие:<br>#!/bin/sh<br><br>. /etc/rc.status<br><br> echo 1 &gt; /proc/sys/net/ipv4/ip_forward<br><br> MB="/sbin/modprobe"<br> $MB ip_conntrack<br> $MB iptable_nat<br> $MB ip_conntrack_ftp<br> $MB ip_nat_ftp<br><br>ip_filter_start() {<br><br> iptables -P INPUT DROP<br> iptables -P OUTPUT DROP<br> iptables -P FORWARD DROP<br><br> iptables -A INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT<br> iptables -A OUTPUT -m https://www.opennet.dev/openforum/vsluhforumID1/80732.html#8 Thu, 09 Apr 2009 09:53:13 GMT Понимаю что пост старый, но вдруг кому еще надо будет, ибо у меня была подобная проблема<br><br><br><br>Обычно ставлю iptables -P OUTPUT ACCEPT, но это кому как нравиться<br><br><br>Правила ниже перекрывают все порты(поэтому остальные правила содержащие RELATED,ESTABLISHED не нужны), и даже делают дырку.... ибо NEW в инпуте, и остальных цепочках означает что вы открыли всем и вся<br>&gt;&gt;iptables -A INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT<br>&gt;&gt;iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT<br>&gt;&gt;iptables -A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT<br><br>Насколько я понимаю эти правила равны таким:<br>iptables -A INPUT -j ACCEPT<br>iptables -A OUTPUT -j ACCEPT<br>iptables -A FORWARD -j ACCEPT<br>:D<br><br>Предлагаю следующее:<br><br>#Ставим политики запрещение везде кроме OUTPUT<br>iptables -P INPUT DROP<br>iptables -P OUTPUT ACCEPT<br>iptables -P FORWARD DROP<br><br>Разрешаем уже установленные(ESTABLISHED) и форкнутые(RELATED) соединения.<br>iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCE https://www.opennet.dev/openforum/vsluhforumID1/80732.html#7 Fri, 13 Jun 2008 12:07:59 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;packet died: " <br>&gt;&gt;&gt;и посматрите логи <br>&gt;&gt;<br>&gt;&gt;Jun 13 11:45:12 linux-h3wk kernel: IPT FORWARD packet died: IN=eth1 OUT=eth2 SRC=192.168.163.67 DST=&lt;cut&gt; LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=25229 DF PROTO=TCP SPT=42140 DPT=59461 WINDOW=183 RES=0x00<br>&gt;&gt; ACK URGP=0 <br>&gt;&gt;Jun 13 11:45:15 linux-h3wk kernel: IPT FORWARD packet died: IN=eth1 OUT=eth2 SRC=192.168.163.67 DST=&lt;cut&gt; LEN=64 TOS=0x08 PREC=0x00 TTL=63 ID=25230 DF PROTO=TCP SPT=42140 DPT=59461 WINDOW=183 RES=0x00<br>&gt;&gt; ACK URGP=0 <br>&gt;&gt;Jun 13 11:45:21 linux-h3wk kernel: IPT FORWARD packet died: IN=eth1 OUT=eth2 SRC=192.168.163.67 DST=&lt;cut&gt; LEN=64 TOS=0x08 PREC=0x00 TTL=63 ID=25231 DF PROTO=TCP SPT=42140 DPT=59461 WINDOW=183 RES=0x00<br>&gt;<br>&gt;Тут фтп соединений вообще не видно. <br><br>Не видно по тому нет соединений по 20, 21 портам ? <br>Дык лог попало из цепочки FORWARD то что дропнулось, а 21 и 20 порты прошли по разрешающим правилам как я понял, тем более в /var/log/firewall более других строк нету кроме как что я написал вышк.<br> https://www.opennet.dev/openforum/vsluhforumID1/80732.html#6 Fri, 13 Jun 2008 10:59:06 GMT &gt;&gt;добавте правило: <br>&gt;&gt;iptables -A FORWARD -p tcp -j LOG --log-level DEBUG --log-prefix "IPT FORWARD <br>&gt;&gt;packet died: " <br>&gt;&gt;и посматрите логи <br>&gt;<br>&gt;Jun 13 11:45:12 linux-h3wk kernel: IPT FORWARD packet died: IN=eth1 OUT=eth2 SRC=192.168.163.67 DST=&lt;cut&gt; LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=25229 DF PROTO=TCP SPT=42140 DPT=59461 WINDOW=183 RES=0x00<br>&gt; ACK URGP=0 <br>&gt;Jun 13 11:45:15 linux-h3wk kernel: IPT FORWARD packet died: IN=eth1 OUT=eth2 SRC=192.168.163.67 DST=&lt;cut&gt; LEN=64 TOS=0x08 PREC=0x00 TTL=63 ID=25230 DF PROTO=TCP SPT=42140 DPT=59461 WINDOW=183 RES=0x00<br>&gt; ACK URGP=0 <br>&gt;Jun 13 11:45:21 linux-h3wk kernel: IPT FORWARD packet died: IN=eth1 OUT=eth2 SRC=192.168.163.67 DST=&lt;cut&gt; LEN=64 TOS=0x08 PREC=0x00 TTL=63 ID=25231 DF PROTO=TCP SPT=42140 DPT=59461 WINDOW=183 RES=0x00<br><br>Тут фтп соединений вообще не видно.<br> https://www.opennet.dev/openforum/vsluhforumID1/80732.html#5 Fri, 13 Jun 2008 10:57:50 GMT &gt; # passive ftp<br>&gt; iptables -A FORWARD -p tcp --sport 1024:65535 --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT<br>&gt; iptables -A FORWARD -p tcp --sport 21 --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT<br>&gt; iptables -A FORWARD -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT<br>&gt; iptables -A FORWARD -p TCP --dport 20 -j ACCEPT<br>&gt; iptables -A FORWARD -p TCP --sport 20 -j ACCEPT<br>&gt; iptables -A FORWARD -p TCP --dport 21 -j ACCEPT<br>&gt; iptables -A FORWARD -p TCP --sport 21 -j ACCEPT<br><br>У вас набор правил вообще странноватый. Я бы так сделал:<br>iptables -P FORWARD DROP<br>iptables -P INPUT DROP<br>iptables -P OUTPUT ACCEPT<br>iptables -A FORWARD -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT<br>iptables -A FORWARD -p tcp -m state --state NEW --dport 21 -j ACCEPT<br>iptables -A FORWARD -p tcp -m state --state NEW --sport 20 -j ACCEPT<br>iptables -A FORWARD -p icmp -j ACCEPT<br>Ну и маскарадить нужно соответствующие пакеты. По-моему, это https://www.opennet.dev/openforum/vsluhforumID1/80732.html#4 Fri, 13 Jun 2008 10:55:21 GMT &gt;добавте правило: <br>&gt;iptables -A FORWARD -p tcp -j LOG --log-level DEBUG --log-prefix "IPT FORWARD <br>&gt;packet died: " <br>&gt;и посматрите логи <br><br>Jun 13 11:45:12 linux-h3wk kernel: IPT FORWARD packet died: IN=eth1 OUT=eth2 SRC=192.168.163.67 DST=&lt;cut&gt; LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=25229 DF PROTO=TCP SPT=42140 DPT=59461 WINDOW=183 RES=0x00<br> ACK URGP=0<br>Jun 13 11:45:15 linux-h3wk kernel: IPT FORWARD packet died: IN=eth1 OUT=eth2 SRC=192.168.163.67 DST=&lt;cut&gt; LEN=64 TOS=0x08 PREC=0x00 TTL=63 ID=25230 DF PROTO=TCP SPT=42140 DPT=59461 WINDOW=183 RES=0x00<br> ACK URGP=0<br>Jun 13 11:45:21 linux-h3wk kernel: IPT FORWARD packet died: IN=eth1 OUT=eth2 SRC=192.168.163.67 DST=&lt;cut&gt; LEN=64 TOS=0x08 PREC=0x00 TTL=63 ID=25231 DF PROTO=TCP SPT=42140 DPT=59461 WINDOW=183 RES=0x00<br> https://www.opennet.dev/openforum/vsluhforumID1/80732.html#3 Fri, 13 Jun 2008 10:34:50 GMT &gt;[оверквотинг удален]<br>&gt; ;; <br>&gt;'stop') <br>&gt; ip_filter_stop <br>&gt; ;; <br>&gt;'restart') <br>&gt; ip_filter_restart <br>&gt; ;; <br>&gt;*) <br>&gt; echo "usage $0 start&#124;stop&#124;restart" <br>&gt;esac <br><br>добавте правило:<br>iptables -A FORWARD -p tcp -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: "<br>и посматрите логи<br> https://www.opennet.dev/openforum/vsluhforumID1/80732.html#2 Fri, 13 Jun 2008 09:34:30 GMT &gt;Так что за проблема-то? Ошибки в логах какие? <br><br>Соединение происходит, логин пароль спрашивает, авторизует, но после команды dir или ls через некоторое время просиходит разрыв связи.<br>Уточнение, пробовал на нескольких фтп серверах в инете.<br>В счетчиках дропнутых пакетов в iptables в цепочке FORWARD увеличиваются, хотя выше правила как бы разрешают всё что требуется для соединения.<br> https://www.opennet.dev/openforum/vsluhforumID1/80732.html#1 Fri, 13 Jun 2008 09:28:52 GMT &gt;[оверквотинг удален]<br>&gt; ;; <br>&gt;'stop') <br>&gt; ip_filter_stop <br>&gt; ;; <br>&gt;'restart') <br>&gt; ip_filter_restart <br>&gt; ;; <br>&gt;*) <br>&gt; echo "usage $0 start&#124;stop&#124;restart" <br>&gt;esac <br><br>Так что за проблема-то? Ошибки в логах какие?<br>