[Firewall] Iptables e FTP passivo e attivo

[kylnas1]

Salve a tutti,
ho un server che mi funziona da firewall, ma ho problemi con FTP (a volte programmi di editor che salvano direttamente sul server mi si bloccano).

Queste le regole, mi dite se vanno bene?

$IF è l'interfaccia esterna.

codice:

modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

...

#porta ftp
$IPT -A FORWARD -s $INTRANET -p tcp --dport ftp -j ACCEPT
$IPT -A FORWARD -i $IF -p tcp ! --syn --sport ftp -j ACCEPT

##FTP passivo
$IPT -A INPUT -p tcp --sport 1024: --dport 1024:  -m state --state ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -p tcp --sport 1024: --dport 1024:  -m state --state ESTABLISHED,RELATED -j ACCEPT

Grazie

[kylnas1]

Ho un dubbio sul comando iptables -L:

codice:

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  10.0.0.0/24          anywhere            tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:ftp flags:!FIN,SYN,RST,ACK/SYN
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
ACCEPT     all  --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED

Le ultime 2 righe...sbaglio o dicono che tutti i pacchetti possono passare attraverso il firewall, anche dall'esterno?

Io non ho messo nessuna regola di quel tipo.

[Mobilez6600]

concordo....

[pard]

qualcuno o qualcosa l'avra` pur messa quella regola di accept finale -_-

[kylnas1]

Originariamente inviato da pard
qualcuno o qualcosa l'avra` pur messa quella regola di accept finale -_-

Le uniche regole che credo possano entrarci sono queste:

codice:

$IPT -A FORWARD -i $EXT_IF -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $INT_IF -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

e comunque sono esplicitate le interfacce...

[pard]

Ah ecco, ma le interfacce e` solo nel listato che non te le da` ma ci sono... usa -L -v e vedi.