ситуация:
имею фтп сервер (pure-ftpd). Сконфигурирован только на авторизацию через ssl/tls. Пытаюсь зайти из-за NAT домашней сетки на ФТП сервер, соответсвенно passive mode. Правила фильтра (iptables) настроены таким образом что разрешают соединение на 21 порт и дальнейшее разрешение соединений проходит через правило которое разрешает ESTAB, RELATED соединения.
результат:
фтп-клиент (lftp) соединяется, но листинг получить не может (не может соединится с ftp-data).
кусок tcpdump-дампа (1.1.1.1 - сервер, 10.10.10.10 - шлюз домашнего прова):
-------------------------------------------
IP 1.1.1.1.21 > 10.10.10.10.49424: tcp 85
IP 10.10.10.10.41770 > 1.1.1.1.19232: tcp 0
IP 1.1.1.1 > 10.10.10.10: ICMP host 1.1.1.1 unreachable - admin prohibited, length 68
IP 10.10.10.10.41770 > 1.1.1.1.19232: tcp 0
IP 1.1.1.1 > 10.10.10.10: ICMP host 1.1.1.1 unreachable - admin prohibited, length 68
-------------------------------------------
Понятно что отрабатывает завершающее правило фильтра iptables на ФТП сервере в котором стоит reject-with icmp-host-prohibited.
Только не понятно почему пакет доходит до последнего правила, а не ACCEPTится на правиле - ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
Если на ФТП сервере отключаю авторизацию через TLS, то с существующими правилами фильтра, нормально соединяюсь в passive mode.
Как побороть? Оставить и TLS и заставить понимать iptables что это RELATED соединения?
Ответ на:
комментарий
от Jaizer
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.