iptables ftp passive

[shaulyn]

подскажите плииз, такая ситуация есть банк-клиент который работает по 20 и 21 порту в пассивном режиме. у меня есть скрипт с правилами ip[tables  в цепочке форвард 21 и 20 порт открыт но банк-клиент не подключается??? и еще один вопрос  почему в цепочке форвард ghb -m multiport --ports можно перечислить только 14 портов, а если дописывать еще он начинает ругаться

(Нажмите, чтобы показать/скрыть)

iptables v1.4.1.1: too many ports specified
Try `iptables -h' or 'iptables --help' for more information.

[Mam(O)n]

банк-клиент который работает по 20 и 21 порту в пассивном режиме
...
в цепочке форвард 21 и 20 порт открыт но банк-клиент не подключается?

Наверное что-то не так настроено или неверные вводные данные...

почему в цепочке форвард ghb -m multiport --ports можно перечислить только 14 портов,

Потомушта:

   multiport
       This module matches a set of source or destination  ports.   Up  to  15
       ports  can be specified. A port range (port:port) counts as two ports.
       It can only be used in conjunction with -p tcp or -p udp.

[shaulyn]

нет настроено все верно, на фтп по 21 порту лезет норм, но в пассивном режиме нет, сказали подгрузить модули нужно ip_nat_ftp  ip_conntrack_ftp
только как их подгрузить, modprobe ? можно ли в скрипт с правилами iptables дописать modprobe  ip_conntrack_ftp или достаточно один раз выполнить команду в шеле и все?

[fisher74]

В пассивном режиме вроде использется не 20-ый порт а высокие порты назначенные сервером во время организации передачи.
Нужно пользовать модуль conntrack
Подробности здесь

[shaulyn]

ну и как быть не ставить же теперь форвард в accept

[fisher74]

Я, если честно, только начал вникать в таблесы...
А данная процедура в FORWARD таблице не сработает?

[Mam(O)n]

Если следовать логике, то должно по идее хватить только подгрузки модуля ip_conntrack_ftp, который должен разбирать ftp трафик на предмет канала передачи данных и по идее, применять к данному каналу те же правила, что и к трафику по 21 порту... Но это только, то, как бы хотелось это видеть, и может это все бред, но если бы я разрабатывал данный модуль, то бы сделал именно такое поведение...

[shaulyn]

Я, если честно, только начал вникать в таблесы...
А данная процедура в FORWARD таблице не сработает?

да кароче вот попробовал modprobe подгрузить модули но сейчас нету возможности проверить, уехал с работы