FTp adgang gennem iptables

nu er jeg ikke linux haj, men vil lige nævne, hvis der bruges passiv ftp kan det være problemet.

Den sidste regel i INPUT chain kan du lave med : iptables -A INPUT -j LOG og så kan du prøve at forbinde udefra og derefter kigge i /var/log/messages for at se hvilke pakker, der bliver droppet.

Jeg glemte at sige at port 20 også er involveret i den ene mode af FTP. Port 1500 til 5000 er involveret i den anden mode. Jeg kan bare aldrig huske hvad der er hvad.

port 20 har da ikke noget med ftp at gøre

og de passive porte bestemmer man normalt selv

riversen -> her er et uddrag af c:\windows\system32\drivers\etc\services :
ftp-data          20/tcp                          #FTP, data
ftp                21/tcp                          #FTP. control

well, kig i rfc'en...der står intet nævnt, og det tager jeg for gode varer

data port angives enten af klienten i port kommandoen eller fra serveren ved passiv, og hvis det kun var port 20 ved passiv betyder det kun en passiv klient af gangen

iøvrigt er der heller ingenting i vejen med at bruge port 9900-10000 i den passive mode, som jeg går ud fra du kaldet "den anden mode"

riversen -> Du har ret. Port 20 bruges kun ved aktiv FTP. De fleste klienter idag kører vist passiv FTP.
For at komme tilbage til the_boos.dk's problem. Du kunne måske prøve dette her :
"iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT"
Det hele på en linie, uden quotes.
På den måde bruger du ip_conntrack_ftp kernemodulet til at acceptere indgående forb på den port over 1024, som klient og server nu måtte vælge.

det bruges heller ikke fast til aktiv ftp...

http://www.iana.org/assignments/port-numbers
Det er vist autoriteten når det kommer til numre på dit og dat på internettet.

jeg holder ved. Har programmeret en ftp-server, og brugte det ikke. Kan måske være man binder lokalt til port20 fra serversiden men klient porten er i hvert fald ikke 20