vsftpd

[Marcus Toth iTA]

Hi,


On Tue, 28 Sep 2004, Michael Kollender wrote:

>
> So wie ich das sehe versucht sich der Client jetzt auf port 30728 zu
> verbinden. Wie erlaube ich jetzt diese Verbindung, ohne die hohen ports
> allgemein freizugeben? Reicht die gleiche Zeile unter Verwendung von
> --dport 1045:65000 und dann --state ESTABLISHED,RELATED
>

Tritt der Fehler ebenfalls auf, wenn Du das Kernelmodul ip_conntrack_ftp
geladen hast?
Dieses Modul "liest" den FTP Traffic mit und sperrt nach Bedarf genau den
ausverhandelten Highport für die jeweilige IP-Adresse frei. Dh. Du
müsstest eigentlich gar nichts an deinem Ruleset verändern.

Ich betreibe ebenfalls einen FTP-Server für Windowsclients (FC2, vsftpd,
nur passive FTP möglich) und da reicht eigentlich dieses geladene Modul
und folgend IPT Rule:

$iptables -A INPUT-ETH0 -s 0/0 -p tcp -d $MeineETH0 --dport 21 -j ACCEPT

hth,
lg Marcus

"To segfault is human, to bluescreen moronic."