Iptables и пасивен FTP

Малка бележка за това как да конфигуриратеiptables на сървъра, за да позволите пасивниFTP връзки към него. В интернет има написани много статии по тази тема, но описаният вариант от моя гледна точка е най-правилният и оптимален.

Първо трябва да конфигурирате сървъраFTP. Ще конфигурираме сървъра да използва фиксиран диапазон от високи портове, например 49152-65535. Тези портове са динамични или частни според спецификацията на IANA. Конфигурацията на всеки конкретенFTP сървър ще изглежда различно.

Заvsftpd, например, трябва да редактирате файла/etc/vsftpd/vsftpd.conf(в зависимост от операционната система пътят може да е различен) и да добавите (или промените) следните редове:

Заproftpdвъв файла /etc/proftpd.conf (отново пътят може да се различава в зависимост от операционната система или метода на инсталиране), трябва да се направят следните промени в раздела Global:

И подобно за всички другиFTP сървъри.

След извършване на промени, съответно, сървърът трябва да се рестартира.

Сега трябва да заредим модулаip_conntrack_ftp заiptables. ВRedHat/CentOS е достатъчно да добавите връзка за изтегляне на модула ip_conntrack_ftp към файла /etc/sysconfig/iptables-config:

и редактирайте /etc/sysconfig/iptables, като добавите ред към него, който позволява входящи връзки към порт 21. Пример заIptables, конфигурация, добавеният ред е номер 8.

Сега трябва да рестартирате защитната стена:

Можете да проверите дали обхватът на портовете е правилен сlsmod:

В резултат на това системата ще отговори с нещо подобно:

Отсега нататък може да се използва пасивен режимFTP.

Малко допълнение: Аковашият сървър е зад NAT, може да се наложи да заредите друг модул -ip_nat_ftp.

---