Urmărirea conexiunii FTP iptables nu funcționează

Sper că cineva mă poate îndruma în direcția corectă aici, vă rog.

Rularea proftpd (cu suport tls) pe un IP public.

Clientul FTP se conectează, dar nu poate face o listă de director. Când schimb politica „INPUT” pe iptables la ACCEPT, funcționează.

Următoarele sunt regulile mele relevante pentru iptables:

$IPTABLES -A INTRARE -i eno1 -s 0/0 -d x.x.x.x -p tcp --sport 1024:65535 -m multiport --dports 20,21,989,990 -m stare --state NEW,STABLISHED -j ACCEPT
$IPTABLES -A INTRARE -p tcp -s 0/0 --sport 1024:65535 -d x.x.x.x --dport 1024:65535 -m stare --state ESTABLISHED,RELATED -j ACCEPT

Am modulele connection_tracking activate.

server ~ # lsmod | grep nf_conntra
nf_conntrack_ftp 24576 3
nf_conntrack 176128 8 xt_conntrack,nf_nat,xt_state,xt_nat,xt_helper,nf_conntrack_ftp,xt_CT,xt_MASQUERADE
nf_defrag_ipv6 24576 1 nf_conntrack
nf_defrag_ipv4 16384 1 nf_conntrack
libcrc32c 16384 2 nf_conntrack,nf_nat

Am și nf_conntrack_helper activat în /proc

server ~ # cat /proc/sys/net/netfilter/nf_conntrack_helper
1

proftpd (cu suport tls)

Acest suport TLS este probabil de vină.

În mod normal, într-un firewall inteligent, atunci când permiteți FTP, trebuie să deschideți portul pentru conexiunea de control, TCP 21 și apoi, în protocolul FTP cu text clar, modulele conntrack pot scana și detecta PORT raspuns. Un modul de ajutor FTP conntrack va deschide automat numărul portului care este atribuit de serverul FTP acelui client specific, așa cum este legat, permițând renunțarea la controlul granular al accesului.

Când conexiunea este criptată cu TLS, firewall-ul nu mai poate detecta răspunsul PORT și, prin urmare, nu deschide automat portul alocat. Soluția pentru asta este:

• remediați intervalul de porturi pe care serverul FTP îl va folosi pentru conexiunile pasive într-un interval mic
  PassivePorts min-pasv-port max-pasv-port

• în firewall deschideți atât portul 21, cât și acel interval fix de porturi pentru conexiunile de date