IPTABLES: что нужно для FTP?

или юзай ФТП в пассивном режиме или открывай UDP трафик

iptables -A INPUT -i eth0 -p tcp -s $LAN -d $IP --dport 20:21 -j ACCEPT

iptables -A INPUT -i eth0 -p tcp -s $LAN --sport 113 -d $IP -j ACCEPT

iptables -A INPUT -i eth0 -p tcp ! --syn -s $LAN --sport 1024:65535 -d $IP --dport 1024:65535 -j ACCEPT

туда же

2desperado: Головушкой е..нулся? FTP _не_использует_ UDP. 2anonymous: В пассивном режиме (как я понял, ты говоришь про этот случай) data connection устанавливает client с непривилегированного порта на непривилегированный порт ftp сервера. Номера портов выбираются случайно из некоторого диапазона. Вообще, какой смысл закрывать непривилегированные порты? Прикрой службы, который висят на портах выше 1023, а все остальные порты выше 1023 оставь открытыми. Passive mode будет работать. Если не хочешь так, можно использоать active. При active, data connection устанавливает сервер с порта 20 на непривилегированный порт клиента. При этом будет достаточно тех правил, что ты прописал (при условии -P OUTPUT ACCEPT).

2 last anonymous:
Не правы вы, батенька. Во-первых, зачем сюда путать ident? Может, человек не хочет этого. Во-вторых, "! --syn" означает, что никто не сможет инициировать TCP connect на эти порты (1024:65535), так что passive ftp (именно про него спрашивает человек) работать не будет.

to вопрошавший аноним:

для организации фтп в нормальном режиме (21 запрос/общение,20 - даные)
необходимо и доcтаточно:
ессно откроем и 20 и 21 и акуратненько так следующим правилом:
<INPUT | FORWARD | OUTPUT - в зависимости от задачь поставленных перед фтп - но если предполагается использования в обоих направлениях да ещё и юзера будут узать - то для всех правил> -m state --state RELATED,ESTABLISHED -j ACCEPT

сорри - обшибочка вышла (UDP)...

действительно сначала клиент открывает соединение с 21 портом сервера, потом 20 порт сервера открывает содинение с портом >= 1024 клиента.