Назад | Перейти на главную страницу

Как я могу использовать nftables с пассивным FTP?

Ниже приведены правила, разрешающие пассивный FTP, который не работает.

/ proc / sys / net / netfilter / nf_conntrack_helper установлен в 1

Модуль nf_conntrack_ftp загружен.

Что могло его блокировать? Мне действительно нужен счетчик? Действительно ли мне нужна строка tcp dport 1024-65535, если я уже разрешаю установленные связанные соединения с установленным состоянием ct, связанной строкой accept?

table inet myhelpers {
        ct helper ftp-standard {
                type "ftp" protocol tcp
        }
    chain input {
                type filter hook prerouting priority 0;
                tcp dport 21 ct helper set "ftp-standard"
        }
}
table inet filter {
        chain input {
                type filter hook input priority 0; policy drop;


                ct state established,related accept

                # passive FTP
                tcp dport 21 ct state established,new counter accept
                tcp dport 20 ct state established,related counter accept
                tcp dport 1024-65535 ct state established,related counter accept

        }
}

Спасибо за ответ, А. Ты прав. Есть еще кое-что. Я тестировал FTP с TLS, а в TLS контрольное соединение зашифровано, поэтому брандмауэр не может знать, какой пассивный порт предлагает сервер. Я должен это указать. Как только я это сделал, все заработало.