Oleg Rybnikov пишет: >> Некоторое время назад пробегала проблема с iptables и модулем >> ip_conntrack_ftp, >> который не работал, если порт был не 21 и если все это хозяйство за NAT >> стоит.
> а оно стоит за NAT разве? ;) На самом деле ip_conntrack_ftp занимается лишь слежением за FTP сессией для вычисления DATA соединений, получающих статус RELATED в conntrack. И благодаря ему FTP сервер может открывать DATA порт не на 20-м порту, а на любом случайном >1024 (как это умеет делать, например, vsftpd), а в iptables достаточно лишь сказать принимать входящие RELATED сессии, и тогда DATA соединения на эти случайные порты будут вычисляться сами и проходить через firewall. Без модуля же надо явно открывать DATA порты в iptables, что не очень элегантно. А вот при FTP сервере, запущенном на порту отличном от 21-го, надо явно информировать модуль соединения по каким портам прослушивать. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
