Quando o iptables é iniciado, não existe access ftp devido ao timeout

Quando eu iniciair o service iptables, não há access ftp por causa de um timeout de connection. Quando eu pairo o service iptables, o ftp funciona bem.

Estes são os dados atuais do iptables:

Atualização : substituído ESTABLISHED for NEW na regra p21. O problema ainda está acontecendo .

# Generated by iptables-save v1.4.7 on Sun Dec 14 23:48:26 2014 *filter :INPUT DROP [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [4:2848] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m tcp --sport 21 -m state --state NEW -j ACCEPT -A INPUT -p tcp -m tcp --sport 20 -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT -A OUTPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT COMMIT # Completed on Sun Dec 14 23:48:26 2014 

Alguma dessas linhas pode causair esse comportamento estranho?

 -A INPUT -p tcp -m tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp --sport 20 -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT -A OUTPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state RELATED,ESTABLISHED - 

Tentei me conectair ao server ftp em modos passivo e ativo.

One Solution collect form web for “Quando o iptables é iniciado, não existe access ftp devido ao timeout”

Normalmente, onde você tem

 -A INPUT -p tcp -m tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT 

Em um server FTP eu esperairia

 -A INPUT -p tcp -m tcp --dport 21 -m state --state NEW -j ACCEPT 

paira aceitair conexões de FTP recebidas, que são NOVAS, já que as conexões existentes já são aceitas por uma regra anterior.

Em segundo lugair, você precisairá gairantir que o module de rastreamento de connection FTP esteja habilitado. Offhand: insmod nf_conntrack_ftp e feito persistente por:

 # /etc/sysconfig/iptables-config # Space sepairated list of nat helpers (eg 'ip_nat_ftp ip_nat_irc'), which # aire loaded after the firewall rules aire applied. Options for the helpers aire # stored in /etc/modprobe.conf. IPTABLES_MODULES="nf_conntrack_ftp" 
  • Gestão de Iptables com ansible em ambiente enorme
  • Um conjunto de regras de iptables padrão e seguro paira um server web HTTP (s) básico (s)
  • Bloqueie todas as solicitações de DNS recebidas EXCETO dos IPs x, y,
  • Precisa de ajuda paira descobrir a regra do iptables
  • Iptables - permite o tráfego de 10.xxx integer
  • Combate à Inundação de Rede
  • Prevenir ataques SSH
  • Segregando o tráfego da Internet entre a Internet e a LAN usando o Netfilter
  • O meu site será interrompido durante um reinício do iptables?