Как я могу использовать nftables с пассивным FTP?

Question

Как я могу использовать nftables с пассивным FTP?

Ниже приведены правила разрешения пассивного FTP, которые не работают.

/ proc / sys / net / netfilter / nf_conntrack_helper установлен в 1

Модуль nf_conntrack_ftp загружен.

Что может блокировать это? Мне действительно нужен счетчик? Действительно ли мне нужна линия tcp dport 1024-65535, если я уже разрешаю установление связанных соединений с установленным состоянием ct, связанной строкой приема?

table inet myhelpers {
        ct helper ftp-standard {
                type "ftp" protocol tcp
        }
    chain input {
                type filter hook prerouting priority 0;
                tcp dport 21 ct helper set "ftp-standard"
        }
}
table inet filter {
        chain input {
                type filter hook input priority 0; policy drop;


                ct state established,related accept

                # passive FTP
                tcp dport 21 ct state established,new counter accept
                tcp dport 20 ct state established,related counter accept
                tcp dport 1024-65535 ct state established,related counter accept

        }
}

1

linux-networking ftp nftables passive

Источник

mauricev 15 мар '19 в 15:32

1 ответ

Другие вопросы по тегам linux-networking ftp nftables passive

mauricev 17 мар '19 в 03:04 2019-03-17 03:04 · Answer 1 · 2019-03-17 03:04

Спасибо за ответ, А.Б. Вы правы. Есть что-то еще. Я тестировал FTP с TLS, а в TLS управляющее соединение зашифровано, поэтому брандмауэр не может знать, какой пассивный порт предлагает сервер. Я должен указать это. Как только я это сделал, все заработало.