Squid3 работа ftp и порты >1023

[Fair]

Добый день.
Решил разрешить пользователям пользоваться ftp через squid3 (squid-3.3.8 )
Добавил 21 порт в safe_port (соответственно allow)
Ну и заодно
acl FTP proto FTP
always_direct allow FTP

Так же сквид лезет в интернет не напрямую, а через FW, где для него тоже свой набор правил, добавил туда 21 порт в разрешенные.

применил, проверяю, коннект виснет request timedown

Смотрю в логи FW, и в момент соединения со сквида летит пакет не только на 21 порт фтп сервера, но и еще рандомный over above 1023 (ну тоесть может и 1090 и 22222 как попадется).
Естестевенно если на FW разрешаю порты >1023 для сквида все работает, вопрос, что это за коннекции помимо фтп и можно ли их убрать что бы работало? Для меня не секьюрно открывать на FW порты >1023 для сервера.

[ArcFi]

https://help.ubuntu.ru/wiki/iptables#%D0%B2%D0%B5%D0%B1_%D0%B8_%D1%84%D0%B0%D0%B9%D0%BB%D0%BE%D0%B2%D1%8B%D0%B5_%D1%81%D0%B5%D1%80%D0%B2%D0%B8%D1%81%D1%8B

[Fair]

https://help.ubuntu.ru/wiki/iptables#%D0%B2%D0%B5%D0%B1_%D0%B8_%D1%84%D0%B0%D0%B9%D0%BB%D0%BE%D0%B2%D1%8B%D0%B5_%D1%81%D0%B5%D1%80%D0%B2%D0%B8%D1%81%D1%8B

Не совсем понимаю, что именно тут ко мне относиться, на FW я 21 порт разрешил сквиду, если открывать >1023 то работает, откуда беруться со сквида эти коннекты при проксировании фтп?

Проверил на соседнем стареньком сервере с 2.5 сквидом, там этих коннектов нет, онли 21 порт и все работает.
Пользователь решил продолжить мысль 08 Октября 2014, 17:04:47:Хм вроде доперло, это пассивный режим при работе с фтп, фтп сервер отсылает клиенту порт для работы с данными >1023

[ArcFi]

необходима загрузка модуля nf_conntrack_ftp

[fisher74]

необходима загрузка модуля

+1

Код: [Выделить]

sudo modprobe nf_conntrack_ftp
sudo su -c "echo nf_conntrack_ftp > /etc/modprobe.d/fw_ftp.conf"