Необычная проблема с ftp и iptables

http://www.linux.org.ru/jump-message.jsp?msgid=3558453&cid=3562729:

>все так и есть, без фаервола зашло почти мгновенно но только в активном режиме, в пасивном тоже не отдает ЛИСТ, так что стоит копать в это сторону, с фаерволом ни с моего роутера ни с тачки за ним я нее смог зайти.

>Pontostroy (*) (13.03.2009 19:36:04)

Эта, запусти снифер на фаерволе и посмотри что режется.

Отвечу здесь на ваше сообщение по поводу ftp://global_vova:test123@cleverweb.mk.ua

Данный сервер настроен немного криво, а именно, в нем включено обращение к identd (это демон такой, погуглите). Сейчас он мало где включен, но когда его нет на машине (на клиенте ftp) и файервол выключен, то ядро сразу сообщает, что порт 113 недоступен, поэтому коннект быстрый. А когда файерволом 113 порт дропают, то ftp сервер ждет таймаут, поэтому долго.

А ещё, похоже на сервере установлен файервол, а модуль nf_conntrack_ftp не загружен, потому только активный режим работает (когда сервер подключается к клиенту), а пассивный не работает.

>Данный сервер настроен немного криво, а именно, в нем включено обращение к identd (это демон такой, погуглите). Сейчас он мало где включен, но когда его нет на машине (на клиенте ftp) и файервол выключен, то ядро сразу сообщает, что порт 113 недоступен, поэтому коннект быстрый. А когда файерволом 113 порт дропают, то ftp сервер ждет таймаут, поэтому долго.

На этом сервере я ничего делать не могу, что с моим можно сделать? Что это за порт такой, я знаю для ftp используется 20 и 21-й?

>А ещё, похоже на сервере установлен файервол, а модуль nf_conntrack_ftp не загружен, потому только активный режим работает (когда сервер подключается к клиенту), а пассивный не работает.

Ну это чужой ftp-сервер и я с ним ничего сделать не могу, тем более, что на горе ;) у нас таких несколько - я только один привёл. Мне нужно со своего Интернет-сервера заходить, но это не главное - главное, чтобы из нашей локалки могли заходить. Раньше с виндового сервера в интернет заходили, но возвращаться не хочется, там включали NAT и открывали всё, что только можно, чтобы на эти сервера можно было достучаться, в результате получили троянов и вирусов на всю локалку. ;)

nf_conntrack_ftp всё остальное связанное с нат-ом связанное у меня включено, я писал, lsmod-ом проверял.

>Эта, запусти снифер на фаерволе и посмотри что режется.

А можно поподробнее пожалуйста, а то у меня квалификация не совсем админская? ;) Почему-то "Матрица" вспомнилась. :) Какой посоветуете? Wireshark (Ehtereal) будет достаточно? Как не потонуть в том море информации, которую он выдаёт?

Сейчас буду пробовать: дома тоже Сусе и на ftp можно достучаться только при отключённом файрволе.

>А можно поподробнее пожалуйста, а то у меня квалификация не совсем админская? ;) Почему-то "Матрица" вспомнилась. :) Какой посоветуете? Wireshark (Ehtereal) будет достаточно? Как не потонуть в том море информации, которую он выдаёт?

Ну вроде отфильтровал я этот "диалог" и даже нашёл место, где возникает проблема:
469 285.521321 eurositehosting.net ppp-80-252-249-107.wildpark.net TCP ftp-data > 57015 [SYN] Seq=0 Win=65535 Len=0 MSS=1460 WS=1 TSV=258160267 TSER=0

Это он мне с 20 го порта посылает данные на 57015, а так как я не принимаю, так продолжается несколько раз, а потом он присылает:
484 305.522535 eurositehosting.net ppp-80-252-249-107.wildpark.net FTP Response : 421 No transfer timeout (300 seconds): closing control connection

По номеру порта поставил
FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"
в /ect/sysconfig/SuSEfirewall2 - давно интуиция подсказывала это сделать ;) - и... удалось залогиниться на ftp с включённым файрволом!!! А Novell хочет эту опцию выкинуть!!! Надо им будет отписать, чтобы они этого не делали!!! ;)

Значит работает! Только медленно почему-то заходит в первый раз, но может это ещё от клиента зависит. Теперь вопрос: будет ли оно теперь из локалки также работать?! Но это я смогу проверить только в понедельник 16-го.

попробывал проделать данный фокус, из локалки оно не будет работать, надо явно перенаправлять порты для тачек внутри сети, для этого есть FW_FORWARD_MASQ но он не подерживает диапозоны, каждый порт нужно вручную перенаправлять внутрь сети, на определенный ip, а ваш фтп выбирае порты случайно, и диапазон огромен, мож в правилах iptables есть чего разумного, по этому поводу.

Вместе с вышеуказанной опцией поставил:

FW_SERVICES_ACCEPT_RELATED_EXT="192.168.3.0/24,tcp,21 192.168.3.0/24,tcp,20"

- заработало на клиентах! Описание:

# Services to allow that are considered RELATED by the connection tracking
# engine.
#
# Format: space separated list of net,protocol[,sport[,dport]]
#
# Example:
# Allow samba broadcast replies marked as related by
# nf_conntrack_netbios_ns from a certain network:
# "192.168.1.0/24,udp,137"
#
# See also FW_LOAD_MODULES
#
FW_SERVICES_ACCEPT_RELATED_EXT="192.168.3.0/24,tcp,21 192.168.3.0/24,tcp,20"

Т.е. видимо он пропускает сервисы, которые относятся к ftp при включённом nf_conntrack_ftp естественно.

Всем спасибо за помощь!!!

Для тех, кто любит GUI прилагается скриншот: http://imageshost.ru/links/495960b88006b434d4a76c8832d91cc6