Поиск правил, основанных на FTP iptables для удаленного доступа через proftpd
У меня работает Ubuntu (16.04) proftpd и хочу получить доступ к удаленному ftp на мой сервер, используя брандмауэр (на основе n iptables). В моем маршрутизаторе я перенаправляю внешний порт (223) в порт 21 на моем сервере.
Как только я очищаю брандмауэр (т.е. брандмауэр не работает): все в порядке, а это значит, что я могу (с Total Commander), удаленное подключение, просмотр файлов и, таким образом, IMHO proftpd хорошо настроен. (FYI in proftpd У меня есть fi: PassivePorts 49152 65534)
Я попытался с удаленного (с Total Commander) подключиться к моему серверу, в то время как брандмауэр работает и использует следующие правила:
# Allow control connections initiated by the client to port 21 => (${!PORT}, as follows:
$IPTABLES -A INPUT -p tcp -m tcp --dport ${!PORT} -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m tcp --sport ${!PORT} -m conntrack --ctstate ESTABLISHED -j ACCEPT
# For active mode, allow data connections initiated by the server from port 20, as follows:
$IPTABLES -A OUTPUT -p tcp -m tcp --sport 20 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp -m tcp --dport 20 -m conntrack --ctstate ESTABLISHED -j ACCEPT
# For passive mode, allow data connections initiated by the client on unprivileged ports:
$IPTABLES -A INPUT -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED -j ACCEPT
Я удаленно подключен к серверу (так что логин в порядке), но он не извлекает список каталогов. :( В Total Commander я вижу:
2:220 ProFTPD 1.3.5a Server (my_server) [192.168.1.212]
2:USER user
2:331 Password required for root
2:PASS ***********
2:230 User root logged in
2:SYST
2:215 UNIX Type: L8
2:FEAT
2:211-Features:
2: SITE MKDIR
2: REST STREAM
2: UTF8
2: EPRT
2: SITE SYMLINK
2: EPSV
2: SITE UTIME
2: MDTM
2: SITE RMDIR
2: SITE COPY
2: LANG en-US.UTF-8*;en-US
2: SIZE
2:211 End
2:HELP SITE
2:214-HELP
2:214-CHGRP
2:214 CHMOD
2:OPTS UTF8 ON
2:200 UTF8 set to on
2:Connect ok!
2:PWD
2:257 "/home/user" is the current directory
2:Directory ophalen
2:TYPE A
2:200 Type set to APASV
2:227 Entering Passive Mode (192,168,101,2,192,53).
2:Server reports local IP -> Redirect to: w.x.y.z
2:PORT 192,168,2,64,223,127
2:200 PORT command successful
2:LIST -la
2:PORT failed, try PASV mode!
3:PASV
Он говорит порт 192,53, который (я думаю) является портом 49204. Так что в брандмауэре вместо «порт 1024:« Я попробовал »порт 1024 -65535 ", но, к сожалению,
На сервере загружаются следующие ftp-модули (lsmod | grep ftp):
nf_nat_ftp 16384 0
nf_conntrack_ftp 16384 1 nf_nat_ftp
nf_nat 28672 4 xt_nat,nf_nat_ftp,nf_nat_masquerade_ipv4,nf_nat_ipv4
nf_conntrack 114688 9 xt_nat,nf_conntrack_ftp,nf_conntrack_ipv4,ipt_MASQUERADE,nf_nat_ftp,nf_nat_masquerade_ipv4,xt_conntrack,nf_nat_ipv4,nf_nat
Любая идея получить список каталогов (так как это когда я подключаюсь без брандмауэра)?