https://www.opennet.ru/openforum/vsluhforumID1/96010.html Внезапно, сложная задача: промаркировать весь FTP трафик на локальной машине и зарулить его по отдельному каналу. Локальная машина - FTP клиент, коннектится ко множеству неизвестных и неподконтрольных FTP серверов.<br>Промаркировать нужно и active и passive ftp (в последнем, помимо соединений на порты 21 и 20, устанавливается исходящее соединение на произвольный порт от 1024 до 65535)<br><br>Решил начать сначала с passive, подход в лоб не работает:<br><br>[code]<br>modprobe nf_conntrack_ftp<br>modprobe nf_nat_ftp<br>iptables -t mangle -I OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j MARK --set-mark 22<br>iptables -t mangle -I OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j MARK --set-mark 22<br>iptables -t mangle -A OUTPUT -p tcp -m helper --helper "ftp" -j MARK --set-mark 22<br>[/code]<br><br>Не работает - т.к. маркируются только коннекты на 20 и 21 порт, коннекты пассивного FTP на порты 1024 и выше не маркируются.<br><br>Вроде простая и старая как мир задача, но уже кажется, решения у нее нет, helper не работает, https://www.opennet.ru/openforum/vsluhforumID1/96010.html#9 Mon, 23 Feb 2015 14:11:20 GMT &gt; А это обязательно надо незаметно сделать не проще поставить прокси и не <br>&gt; парится с маркировкой?<br><br>Не, прокси не подходит никак.<br> https://www.opennet.ru/openforum/vsluhforumID1/96010.html#8 Sun, 22 Feb 2015 04:40:14 GMT А это обязательно надо незаметно сделать не проще поставить прокси и не парится с маркировкой?<br> https://www.opennet.ru/openforum/vsluhforumID1/96010.html#7 Fri, 20 Feb 2015 13:02:13 GMT &gt; мне кажется что вы неправильно используете helper <br>&gt; он работает с conntrack, вот в мануале <br>&gt; Example: FTP helper <br><br>Читал этот мануал, пробовал и в такой комбинации, не работает. Может быть он не работает для локальных соединений в принципе, а только для маршрутизируемых? Мало что-то документации по этому хелперу.<br> https://www.opennet.ru/openforum/vsluhforumID1/96010.html#6 Fri, 20 Feb 2015 12:58:11 GMT мне кажется что вы неправильно используете helper<br>он работает с conntrack, вот в мануале<br>Example: FTP helper<br><br>If your clients are authorized to access FTP outside of your network, you can add<br><br>iptables -A FORWARD -m conntrack --ctstate RELATED -m helper \\<br> --helper ftp -o $OUT_IFACE -p tcp \\<br> --dport 1024: -j ACCEPT<br>iptables -A FORWARD -m conntrack --ctstate RELATED -m helper \\<br> --helper ftp -i $OUT_IFACE -p tcp \\<br> --dport 1024: -j ACCEPT<br><br> https://www.opennet.ru/openforum/vsluhforumID1/96010.html#5 Fri, 20 Feb 2015 12:57:18 GMT Непонятно, почему ftp helper не работает? Он же вроде как раз для таких целей и задумывался.<br> https://www.opennet.ru/openforum/vsluhforumID1/96010.html#4 Fri, 20 Feb 2015 12:56:13 GMT &gt; Если по фтп лазят скрипты итп так как это локальная машина можно <br>&gt; их(скрипты) навесить на отдельного юзверя и матчить по owner-у.<br>&gt; Если это человек - надо думать, фтп как протокол та ещё пакость. <br><br>И скрипты, которые помимо FTP еще и по другим протоколам ходят, и человек. По владельцу уже давно бы сделал, это то просто.<br> https://www.opennet.ru/openforum/vsluhforumID1/96010.html#3 Fri, 20 Feb 2015 12:53:06 GMT Если по фтп лазят скрипты итп так как это локальная машина можно их(скрипты) навесить на отдельного юзверя и матчить по owner-у.<br>Если это человек - надо думать, фтп как протокол та ещё пакость.<br> https://www.opennet.ru/openforum/vsluhforumID1/96010.html#2 Fri, 20 Feb 2015 11:15:43 GMT &gt; Добрый день, а если инвертировать так сказать... т.е маркировать тот трафик который <br>&gt; возможно(80, rdp, все что угодно) и отправлять его в not_default маршрут, <br>&gt; а все остальное будет ftp...<br><br>Спасибо, но не вариант, неизвестно, какой трафик еще будет на этом клиенте.<br> https://www.opennet.ru/openforum/vsluhforumID1/96010.html#1 Fri, 20 Feb 2015 10:59:09 GMT Добрый день, а если инвертировать так сказать... т.е маркировать тот трафик который возможно(80, rdp, все что угодно) и отправлять его в not_default маршрут, а все остальное будет ftp... <br><br>