Ниже приведены правила, разрешающие пассивный FTP, который не работает.
/ proc / sys / net / netfilter / nf_conntrack_helper установлен в 1
Модуль nf_conntrack_ftp загружен.
Что могло его блокировать? Мне действительно нужен счетчик? Действительно ли мне нужна строка tcp dport 1024-65535, если я уже разрешаю установленные связанные соединения с установленным состоянием ct, связанной строкой accept?
table inet myhelpers {
ct helper ftp-standard {
type "ftp" protocol tcp
}
chain input {
type filter hook prerouting priority 0;
tcp dport 21 ct helper set "ftp-standard"
}
}
table inet filter {
chain input {
type filter hook input priority 0; policy drop;
ct state established,related accept
# passive FTP
tcp dport 21 ct state established,new counter accept
tcp dport 20 ct state established,related counter accept
tcp dport 1024-65535 ct state established,related counter accept
}
}
Спасибо за ответ, А. Ты прав. Есть еще кое-что. Я тестировал FTP с TLS, а в TLS контрольное соединение зашифровано, поэтому брандмауэр не может знать, какой пассивный порт предлагает сервер. Я должен это указать. Как только я это сделал, все заработало.